Академия
0 Корзина
Перейти в корзину
Получить цены в WhatsApp
2024_03_19_KП_EltexCM.xlsx

ESR-1511 сервисный маршрутизатор Eltex

ЕРРРП (ТОРП)
Индивидуальный заказ
Артикул:

ESR-1511

Сервисный маршрутизатор ESR-1511 – это устройство, представляющие собой универсальную аппаратную платформу и способное выполнять широкий круг задач, связанных с сетевой защитой.

ОКПД2 КТРУ: 26.30.11.120-00000002
Eltex
Наличие:
Скидка с первого заказа!
Гарантия до 5 лет
Мы дилер №1 Eltex
Возраст: 25 лет
Офис: Москва
Опыт работы с Eltex: 2 года
Выполненные проекты:
  • Инсталляция коммутаторов для видеонаблюдения, Wi-Fi, СКУД и телефонии в здании дошкольных групп на 350 мест в районе Молжаниновский
  • Оснащение бесшовного Wi-Fi в НИИ, г. Санкт-Петербург
  • Поставка межэтажных коммутаторов для медицинского учреждения, г. Казань
Касьяненко Михаил
Возраст: 33 года
Офис: Москва
Опыт работы с Eltex: 7 лет
Выполненные проекты:
  • ЦОД для организации из системы здравоохранения, г.Москва
  • Реализация проекта телефонии 1500 абонентов для предприятия атомной отрасли
  • Поставка PoE коммутаторов для организации видеонаблюдения для крупного аэропорта Москвы
  • Организация телефонии и ШПД для крупного ВУЗа в Санкт-Петербурге
  • Построение ядра сети в Мурманском морском порту
  • Сеть ШПД и Wi-Fi по филиалам предприятия судостроительной отрасли
  • Более 10 проектов сдали СОРМ для операторов связи по всей России
  • Более 20 проектов GPON для операторов связи по всей России
  • ЦОД для предприятия структуры Росатом
  • Русский соколиный центр Камчатка, Петропавловск-Камчатский - ШПД + wi-fi
Ларин Алексей (Москва)
Возраст: 31 год
Офис: Москва
Опыт работы с Eltex: 4 года
Выполненные проекты:
Рекун Антон (Москва)
Возраст: 30 лет
Офис: Москва
Опыт работы с Eltex: 4 года
Выполненные проекты:
  • Построение Сети ШПД и Wi-Fi для государственных ВУЗов Москвы и регионов.
  • Северный Речной вокзал г.Москвы, организация ЛВС, видеонаблюдения.
  • Организация ядра сети, агрегации и доступа для «Объединённой двигателестроительной корпорации» , входящей в состав "Ростеха"
Поддубный Владислав (Москва)
Возраст: 33 года
Офис: Москва
Опыт работы с Eltex: 4 года
Выполненные проекты:
  • Реализации СОРМ-3 для операторов связи
  • Организация видеонаблюдения и хранения данных в Министерстве образования и науки Республики Татарстан
  • Проекты реконструкции ведомственных сетей связи комбинатов Росрезерва
  • Модернизация сети связи в Краснодарском высшем военном училище
  • Создание защищённого контура сети с шифрованием FSTEC в филиале энергетической компании в Санкт-Петербурге
  • Построение локально-вычислительной сети ситуационного центра для транспортной нефтегазовой компании
  • Создание защищенной распределенной сети связи для филиалов Газпром Газораспределение Самара
  • Построение локально-вычислительной сети на объектах Русал
  • Организация IP-телефони для подразделений Норникель
  • Построение промышленной локально-вычислительной сети и IP-телефонии в филиалах ЛОЭСК
Фадин Дмитрий (Москва)
Возраст: 51 год
Офис: Москва
Опыт работы с Eltex: 4 года
Выполненные проекты:
  • Комплексная модернизация инфраструктуры стадиона Витязь, г Вологда
  • Расширение существующей сети для Электромеханического Завода
  • Модернизация телефонии на предприятии по производству металлопродукции
  • Построение ЛВС для Школы на 275 мест в Московоской области
Сытый Александр (Москва)
Возраст: 25 лет
Офис: Москва
Опыт работы с Eltex: 2 года
Выполненные проекты:
  • Инсталляция коммутаторов для видеонаблюдения, Wi-Fi, СКУД и телефонии в здании дошкольных групп на 350 мест в районе Молжаниновский
  • Оснащение бесшовного Wi-Fi в НИИ, г. Санкт-Петербург
  • Поставка межэтажных коммутаторов для медицинского учреждения, г. Казань
Касьяненко Михаил (Москва)
Возраст: 32 года
Офис: Москва
Опыт работы с Eltex: 2 года
Выполненные проекты:
  • Модернизация ШПД сети для предприятия энергетической сферы, г. Дубна
  • Организация Wi-Fi и ШПД в крупном спортивном комплексе в г. Москва
  • Реализован проект по созданию подвижного пункта управления (Камаз) в нефтяной сфере
  • Поставка оборудования для космической программы РФ
Файзрахманов Марат (Москва)
Возраст: 40 лет
Офис: Москва
Опыт работы с Eltex: 2 года
Выполненные проекты:
  • Реализация проектов GPON и телефонии для региональных операторов связи в различных регионах РФ
  • Реализация промышленной ЛВС в составе комплексных решений поставщиков для горнодобывающего сектора
  • Организация сети передачи данных для внедрения новых систем Московского Метрополитена
  • Проекты по модернизации телефонии на базе Softswitch на сети крупных корпоративных заказчиков
  • Модернизация сети передачи данных на предприятиях лидирующей группы компаний в отрасли машиностроения
  • Построение локально-вычислительной сети ситуационного центра в Чувашской Республике
  • Модернизация сети связи на объектах Мосэнерго
  • Модернизация сетей доступа на объектах компаний банковского сектора и госучреждений
Каночкин Виталий (Москва)
Возраст: 25 лет
Офис: Москва
Опыт работы с Eltex: 2 года
Выполненные проекты:
  • Замена оборудования иностранных вендоров в Московском Колледже
  • Реструктуризация ЛВС для компании "Российский Экологический Оператор"
  • Построение беспроводной бесшовной сети на базе Wi-Fi 6 в Беловской Городской больницы
  • Построение сети Wi-Fi на 200 точек доступа в школе им. М.К. Тагирова
  • Реконструкция ЛВС в МФЦ г. Москвы. Замена оборудования Cisco
  • Организация СКС и домофонной сети в ЖК "Столичные Поляны"
  • Замена оборудования Huawei и Cisco для организации защищенной сети на трассе М-12 (система видеонаблюдения и телефонии на ВПУ)
Дудоров Дмитрий (Москва)
Возраст: 28 лет
Офис: Москва
Опыт работы с Eltex: 2 года
Бринева Анна (Москва)
Офис: Москва
Выполненные проекты:
  • Организация автоматической системы паспортного контроля в аэропорте Внуково
  • Расширение ЛВС в одной из структур Росрезерва
  • Построение сети в МБОУ ООШ №6 г. Губкинский
Бурдюгова Татьяна (Москва)
Офис: Москва
Выполненные проекты:
  • Модернизация ЛВС для средней общеобразовательной школы в Тверской области на 255 мест
  • Замена оборудования Cisco для построения 100 Гбит ядра сети института электронной техники г. Москвы
  • VoIP телефония на 100 SIP абонентов для Гостинично-оздоровительного комплекса Краснодарского края
  • Организация ЛВС на 1000 портов для строительной компании в Самарской области
  • Оснащение системы видеонаблюдения на 125 камер нефтеперерабатывающего завода Нижегородской области
Наполов Илья (Москва)
Офис: Москва
Выполненные проекты:
  • Подключение IP-телефонии в Екатеринбургской Электросетевой компании
  • Организация локальной сети для видеонаблюдения на объекте строительства Росавтодор
  • Построение ЛВС для системы контроля и управления доступом на объекте дирекции по МТО и хозяйственному обеспечению Администрации Волгоградской области по сохранению объекта культурного наследия
Сутоцких Илья (Москва)
Офис: Москва
Выполненные проекты:
  • Построение СКС в поликлинике для подключения рабочих мест в Московской области, г. Лобня
Васильева Татьяна (Москва)
Офис: Москва
Шатуха Егор (Москва)
Офис: Москва
Выполненные проекты:
  • Реализация проекта телефонии 1000 абонентов для предприятия пищевой отрасли
  • Проект по созданию СКС для станции переливания крови в городе Санкт-Петербург в 5-ти этажном здании с центром коммутации
  • Модернизация оборудования систем телемеханики и связи для терминала транспортной компании в г. Йошкар-Ола
  • Подключение пользователей к локальной сети на объекте компании ПАО Россети
  • Подключение объекта городского комплексного центра социального обслуживания населения к мультисервисной сети широкополосного доступа
Купчиненко Дмитрий (Москва)
Возраст: 36 лет
Офис: Новосибирск
Опыт работы с Eltex: 7 лет
Выполненные проекты:
Акименко Евгений (Новосибирск)
Макаревич Евгений (Новосибирск)
Возраст: 33 года
Офис: Новосибирск
Опыт работы с Eltex: 9 лет
Выполненные проекты:
  • Модернизация сети ШПД АО "Концерн "Созвездие"
  • Модернизация сети, переход на отечественного вендора ООО "Татаиснефть"
  • Создание сети нового тракторного завода (НТЗ) - КЗ Ростсельмаш
Самойлов Иван (Новосибирск)
Возраст: 35 лет
Офис: Новосибирск
Опыт работы с Eltex: 6 лет
Выполненные проекты:
  • Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Новосибирск
  • Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Омск
  • Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Воронеж
Монтоев Анатолий (Новосибирск)
Офис: Новосибирск
Маргарита Кириллова (Новосибирск)
Возраст: 30 лет
Офис: Новосибирск
Опыт работы с Eltex: 7 лет
Выполненные проекты:
  • Создание IP-телефонии на базе ECSS-10 для Газпром Недра г. Тюмень
  • Создание IP-телефонии на базе SMG-3016 для ПАО "Кузнецов"
  • Организация сети GPON для оператора DGTEK Австралия, г. Мельбурн
  • Модернизация телекоммуникационной сети в ПАО Камчатскэнерго
Серажим Антон (Новосибирск)
Возраст: 38 лет
Офис: Новосибирск
Опыт работы с Eltex: 4 года
Выполненные проекты:
  • Модернизация телефонии в Управлении Гидрометеорологии на базе АТС SMG-1016M
  • Проект бесшовного Wi-Fi роуминга для ВУЗа
  • Модернизация ЛВС для Высшего учебного заведения
Буйнич Алексей (Новосибирск)
Возраст: 37 лет
Офис: Новосибирск
Опыт работы с Eltex: 3 года
Выполненные проекты:
  • Организация системы видеонаблюдения на 7 этажах в ТРЦ, г Москва
  • Поставка оборудования ШПД, Wi-Fi и VoIP телефонии для строительства Хореографической академии и Музыкальной школы на Дальнем Востоке
  • Проработка решения по созданию ЦОД на металлургическом комбинате, Сибирский ФО
  • Строительство физкультурно-оздоровительного комплекса в Ленинградской области, поставка оборудования ШПД, Организация Wi-Fi, и VoIP телефонии
  • Проработка и реализация решения по созданию Wi-Fi сети для государственных ВУЗов в городах Томск, Москва, Новосибирск
  • Построение бесшовного Wi-Fi на территории производственного комплекса и центрального склада фармацевтической компании
  • Поставка оборудования ШПД и VoIP телефонии для проекта капитального ремонта школы в Волгоградской области
Бекетов Максим (Новосибирск)
Возраст: 35 лет
Офис: Новосибирск
Опыт работы с Eltex: 3 года
Выполненные проекты:
  • Школа г. Москва, р-н Люблино: построение сетевой инфраструктуры (ШПД, Wi-Fi, VoIP)
  • Складское помещение крупной компании в г. Красноярске: проект по организации Wi-Fi в офисе
  • Проект Сибирского государственного индустриального университета по модернизации внутренней сети ШПД
  • Проект модернизации сети передачи данных в Администрации Карасукского р-на Новосибирской области.
Передерин Сергей (Новосибирск)
Возраст: 27 лет
Офис: Новосибирск
Опыт работы с Eltex: 2 года
Выполненные проекты:
  • Реализация Wi-Fi точек на крупном логистическом складе транспортной компании
  • Разработка и реализация проекта по внедрению технологического видеонаблюдения в транспортно - упаковочной линии цеха целлюлозно - бумажного комбината
  • Модернизация телефонии в Удмуртском драмтеатре
  • Модернизация ЛВС на производстве в Нижнекамске
Вербицкий Кирилл (Новосибирск)
Возраст: 31 год
Офис: Новосибирск
Опыт работы с Eltex: 4 года
Выполненные проекты:
  • Обучение по курсу "Использование коммутаторов MES" для СПБ ГБУ Ленсвет
  • Проект модернизации ЛВС для УССИ ФСО СПБ
  • Замена оборудования иностранных вендоров в высших учебных заведениях
Карсакова Ксения (Новосибирск)
Возраст: 26 лет
Офис: Новосибирск
Шаяхметов Илья (Новосибирск)
Возраст: 32 года
Офис: Новосибисрк
Репьюк Алексей (Новосибисрк)
Возраст: 36 лет
Офис: Казань
Опыт работы с Eltex: 4 года
Выполненные проекты:
  • Проработка решения по созданию Wi-Fi сети для государственных ВУЗов
  • Поставка коммутаторов доступа в 85 регионов России по заданию Судебного департамента;
  • Построение ядра сети для бюро морского машиностроения в г. Санкт-Петербург
Муртазин Камиль (Казань)

Общие параметры ESR-1511 Eltex

Установка в стойку esr 1U
BRAS esr Да
ФСТЭК Нет
Количество портов 1G 8
Количество портов 10G 4
Количество портов 40G 2
Питание 2 смен.БП
Количество маршрутов OSPF 500k
Количество маршрутов ISIS 500k
Количество маршрутов RIP 10k
Макс. скорость портов 40 G
В реестре Минпромторга (ТОРП) Да
Размер базы FIB 1.7M
Количество маршрутов BGP 5M
Производительность (фреймы 1518B) Гбит/с 18.6
Производительность (фреймы 1518B) k пкт/с 1531.2
Производительность (фреймы 74B) Гбит/с 0.9
Производительность (фреймы 74B) k пкт/с 1516.1
Производительность IMIX, Гбит/с 8.4
Производительность IMIX, k пкт/с 1530.7
IPsec Гбит/с 4.5
Downlink порты RJ-45 8
Downlink порты SFP 4
Downlink порты SFP+ 4
Downlink порты QSFP+ 2
Размер коробки ШхВхГ, мм 430 x 44 x 425
Вес брутто, кг 7

Основные преимущества:

  • Масштабируемое решение для различных областей применения
  • Развитый интерфейс командной строки для управления
  • Гибкое конфигурирование сервисов
  • Возможность сопряжения с оборудованием ведущих производителей
  • Аппаратное ускорение обработки данных
  • Модели устройств с повышенной надежностью и резервированием критичных узлов

Функциональное назначение
Сервисные маршрутизаторы ESR-1500 и ESR-1511 – это устройства, представляющие собой универсальную аппаратную платформу и способные выполнять широкий круг задач, связанных с сетевой защитой. В линейке представлены модели, ориентированные на применение в сетях различных масштабов – от сетей малых предприятий, до сетей операторов связи и дата-центров.

Производительность
Ключевыми элементами ESR являются средства аппаратного ускорения обработки данных, позволяющие достичь высоких уровней производительности. Программная и аппаратная обработка распределена между узлами устройства.

Типовые задачи, решаемые с помощью сервисных маршрутизаторов:

  • маршрутизация данных
  • построение защищенного периметра сети (Firewall, NAT)
  • разграничение прав доступа
  • организация защищенных сетевых туннелей
  • построение распределенных частных сетей
  • объединение удаленных офисов компаний в единую сеть
  • фильтрация сетевых данных по различным критериям
  • взаимодействие с существующей сетевой инфраструктурой заказчика, использование определяемых отраслевыми стандартами типов каналов связи — каналы ТЧ

Совместимые модули питания: PM160-48/12, PM160-220/12

Интерфейсы
  • 4хCombo 10/100/1000BASE-T/ 1000BASE-X SFP (LAN/WAN)
  • 4хEthernet 10/100/1000BASE-T (LAN/WAN)
  • 4х10GBASE-R SFP+/1000BASE-X SFP (LAN/WAN)
  • 2x40GBASE-X QSFP+ (LAN/WAN)
  • 1xConsole (RJ-45)
  • 1xOOB
  • 2хUSB 2.0
  • 1 слот для SD-карт
    Подключаемые интерфейсы
    • USB 3G/4G/LTE модем
    • E1 TopGate SFP
    Производительность
    • Производительность Firewall/NAT/маршрутизации (фреймы 1518B) - 18,6 Гбит/c; 1531,2k пакетов/с
    • Производительность Firewall/NAT/маршрутизации (фреймы 74B) - 897,5 Мбит/c; 1516,1k пакетов/c
    • Производительность Firewall/NAT/маршрутизации (IMIX)1 - 8,4 Гбит/с; 1530,7k пакетов/c
    • Производительность IPsec VPN (фреймы 1456B) - 4,5 Гбит/c;
      390,4k пакетов/с
    • Производительность IPsec (IMIX) - 2,6 Гбит/с; 494,8k пакетов/c
    • Производительность одного IPsec-туннеля (фреймы 74B) - 20,6 Мбит/c; 34,7k пакетов/с
    • Производительность одного IPsec-туннеля (фреймы 1456B) - 306,6 Мбит/с; 26,5k пакетов/c
    • Производительность одного IPsec-туннеля (IMIX)2 - 163,9 Мбит/c;
      30,9k пакетов/с
    • Производительность коммутации MPLS (фреймы 1518B) - 16,72 Гбит/с; 1381k пакетов/с
    Системные характеристики
    • Количество VPN-туннелей - 500
    • Статические маршруты - 11k
    • Количество конкурентных сессий - 512k
    • Поддержка VLAN - до 4k активных VLAN в соответствии с 802.1Q
    • Количество маршрутов BGP - 5M
    • Количество BGP-соседей - 1k
    • Количество маршрутов OSPF - 500k
    • Количество маршрутов RIP - 10k
    • Количество маршрутов ISIS - 500k
    • Таблица MAC-адресов - 128k
    • Размер базы FIB - 1,7M
    • VRF - 32
    Клиенты Remote Access VPN
    • PPTP/PPPoE/L2TP/OpenVPN/IPsec XAUTH
    Сервер Remote Access VPN
    • L2TP/PPTP/OpenVPN/IPsec XAUTH
    Site-to-site VPN
    • IPSec: режимы "policy-based" и "route-based"
    • DMVPN
    • Алгоритмы шифрования DES, 3DES, AES, Blowfish, Camelia
    • Аутентификация сообщений IKE MD5, SHA-1, SHA-2
    Туннелирование
    • IPoGRE, EoGRE
    • IPIP
    • L2TPv3
    • LT (inter VRF routing)
    Функции L2
    • Коммутация пакетов (bridging)
    • Агрегация интерфейсов LAG/LACP (802.3ad)
    • Поддержка VLAN (802.1Q) 
    • Логические интерфейсы
    • LLDP, LLDP MED
    • VLAN на основе MAC
    Функции L3 (IPv4/IPv6)
    • Трансляция адресов NAT, Static NAT, ALG
    • Статические маршруты
    • Динамические протоколы маршрутизации RIPv2, OSPFv2/v3, IS-IS, BGP
    • Фильтрация маршрутов (prefix list)
    • VRF
    • Policy Based Routing (PBR)
    • BFD для BGP, OSPF, статических маршрутов
    BRAS (IPoE)3
    • Терминация пользователей
    • Белые/черные списки URL
    • Квотирование по объёму трафика, по времени сессии, по сетевым приложениям
    • HTTP/HTTPS Proxy
    • HTTP/HTTPS Redirect
    • Аккаунтинг сессий по протоколу Netflow
    • Взаимодействие с серверами ААА, PCRF
    • Управление полосой пропускания по офисам и SSID, сессиям пользователей
    • Аутентификация пользователей по MAC- или IP-адресам
    Функции сетевой защиты 
    • Система обнаружения и предотвращения вторжений (IPS/IDS)3  
    • Взаимодействие с Eltex Distribution Manager для получения лицензируемого контента - наборы правил, предоставляемые Kaspersky SafeStream II3
    • Web-фильтрация по URL, по содержимому (cookies, ActiveX, JavaScript) 
    • Zone-based Firewall
    • Фильтрация на базе L2/L3/L4-полей и по приложениям
    • Поддержка списков контроля доступа (ACL) на базе L2/L3/L4-полей
    • Защита от DoS/DDoS атак и оповещение об атаках
    • Логирование событий атак, событий срабатывания правил
    Качество обслуживания (QoS)
    • До 8-ми приоритетных или взвешанных очередей на порт
    • L2- и L3-приоритизация трафика (802.1p (cos), DSCP, IP Precedence (tos))
    • Предотвращение перегрузки очередей RED, GRED
    • Назначение приоритетов по портам, по VLAN
    • Средства перемаркирования приоритетов
    • Применение политик (policy-map)
    • Управление полосой пропускания (shaping)
    • Иерархический QоS
    • Маркировка сессий
    Управление IP-адресацией (IPv4/IPv6)
    • Статические IP-адреса
    • DHCP-клиент
    • DHCP Relay Option 82
    • Встроенный сервер DHCP, поддержка опций 43, 60, 61, 150
    • DNS resolver
    • IP unnumbered
      Средства обеспечения надежности сети
      • VRRP v2,v3
      • Tracking на основании VRRP или SLA теста
        • Управление параметрами VRRP
        • Управление параметрами PBR
        • Управление административным статусом интерфейса
        • Активация и деактивация статического маршрута
        • Управление атрибутом AS-PATH и preference в route-map 
      • Балансировка нагрузки на WAN-интерфейсах, перенаправление потоков данных, переключение при оценке качества канала
      • Резервирование сессий firewall
        Мониторинг и управление
        • Поддержка стандартных и расширенных SNMP MIB, RMONv1
        • Встроенный Zabbix agent
        • Аутентификация по локальной базе пользователей, RADIUS, TACACS+, LDAP
        • Защита от ошибок конфигурирования, автоматическое восстановление конфигурации. Возможность сброса конфигурации к заводским настройкам
        • Интерфейсы управления CLI
        • Поддержка Syslog
        • Монитор использования системных ресурсов
        • Ping, traceroute (IPv4/IPv6), вывод информации о пакетах в консоли
        • Обновление ПО, загрузка и выгрузка конфигурации по TFTP, SCP, FTP, SFTP, HTTP(S)
        • Поддержка NTP
        • Netflow v5/v9/v10 (экспорт статистики URL для HTTP, host для HTTPS)
        • Локальное управление через консольный порт RS-232 (RJ-45)
        • Удаленное управление, протоколы Telnet, SSH (IPv4/IPv6)
        • Вывод информации по сервисам/процессам
        • Локальное/удаленное сохранение конфигураций
          маршрутизатора
        MPLS
        • Поддержка протокола LDP
        • Поддержка L2VPN VPWS
        • Поддержка L2VPN VPLS Martini Mode
        • Поддержка L2VPN VPLS Kompella Mode
        • Поддержка L3VPN MP-BGP
        Функции контроля SLA
        • Eltex SLA 
        • Оценка параметров каналов связи:
          • Delay (one-way/two-way)
          • Jitter (one-way/two-way)
          • Packet loss (one-way/two-way)
          • Коэффициент ошибок в пакетах
          • Нарушение последовательности доставки пакетов
        MPLS
        • Поддержка протокола LDP
        • Поддержка L2VPN VPWS
        • Поддержка L2VPN VPLS Martini Mode
        • Поддержка L2VPN VPLS Kompella Mode
        • Поддержка L3VPN MP-BGP
        Физические характеристики и условия окружающей среды
        • Максимальная потребляемая мощность: 128 Вт
        • Максимальный уровень шума - 70 дБ
        • Питание:
          • 100-240В AC, 50-60 Гц
          • 36-72В DC
          • до двух источников питания с возможностью горячей замены 
        • Интервал рабочих температур: от -10 до +45°С
        • Интервал температуры хранения от -40 до +70°С
        • Относительная влажность при эксплуатации: не более 80%
        • Относительная влажность при хранении: от 10% до 95%
        • Габариты (мм) (ШхВxГ, мм): 430х44х425
        • Вес: 7 кг
        • Срок службы: не менее 15 лет

        Набор функций соответствует версии ПО 1.20

        18:74;5:512;7:1518

        28:74;5:512;7:1456

        3 Активизируется лицензией  
        ESR-1511
        Сервисный маршрутизатор ESR-1511, 4x10/100/1000BASE-T, 4хCombo 10/100/1000BASE-T/1000BASE-X, 4х10GBASE-R SFP+, 2x40GBASE-SR4/LR4 QSFP+ 8 ГБ RAM, 1 ГБ Flash, 2 слота для модулей питания
        ESR-1511-IPS/IDS
        Опция IPS/IDS для сервисного маршрутизатора ESR-1511, межсетевого экрана ESR-1511 FSTEC
        PM160-220/12
        Модуль питания PM160-220/12, 220V AC, 160W
        PM160-48/12
        Модуль питания PM160-48/12, 48V DC, 160W
        ESR-wiSLA-L
        Неисключительная лицензия ESR-wiSLA на ПО для маршрутизаторов серии ESR
        Сертификаты на гарантию, замену, техподдержку
        Скачать регламенты
        Продление гарантийного обслуживания, ESR-1511 (используется при покупке с новым оборудованием. Включена в т.ч. стандартная гарантия производителя - 1 год)
        [ для нового оборудования ]
        до 2 лет +15% от цены оборудования
        EW-ESR-1511-2Y
        до 3 лет +25% от цены оборудования
        EW-ESR-1511-3Y
        до 5 лет +40% от цены оборудования
        EW-ESR-1511-5Y
        Продление гарантийного обслуживания, ESR-1511 (используется при покупке для ранее приобретенного оборудования)
        [ для уже купленного оборудования ]
        на 1 год +12% от цены оборудования
        EW-ESR-1511-1Y
        Сертификат на консультационные услуги по вопросам эксплуатации оборудования Eltex - ESR-1511 - безлимитное количество обращений 8х5 (услуга оказывается по московскому времени)
        1 год +6% от цены оборудования
        SC-ESR-1511-B-1Y
        3 года +15% от цены оборудования
        SC-ESR-1511-B-3Y
        5 лет +32% от цены оборудования
        SC-ESR-1511-B-5Y
        Сертификат на услугу по отправке оборудования на подмену на следующий рабочий день (next business shipping) в случае выхода из строя оборудования, ESR-1511 (услуга оказывается при наличии действующей гарантии)
        1 год +30% от цены оборудования
        NBS-ESR-1511-1Y
        3 годa +75% от цены оборудования
        NBS-ESR-1511-3Y
        5 лет +93,75% от цены оборудования
        NBS-ESR-1511-5Y
        Обучение в Академии Eltex
        Базовый курс Академии Eltex: Использование коммутаторов Eltex
        Базовый курс Академии Eltex: Использование маршрутизаторов Eltex
        Базовый курс Академии Eltex: Точки доступа Enterprise и Контроллер беспроводной сети Eltex
        [ESR] Очистка конфигурации ESR или сброс на заводскую конфигурацию для версий до 1.1.0 включительно
        Очистка конфигурации происходит путем копирования конфигурации по умолчанию в candidate-config и применения внесенных изменений:

        esr# copy fs://default-config fs://candidate-config

        Процесс сброса на заводскую конфигурацию аналогичен.

        esr# copy fs://factory-config fs://candidate-config

        Изменения конфигурации вступают в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Источник:
        docs.eltex-co.ru

        [ESR] Настройка SNMP
        SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — протокол, предназначенный для управления устройствами в IP-сетях на основе архитектур TCP/UDP. SNMP предоставляет данные для управления в виде переменных, описывающих конфигурацию управляемой системы.

        Задача: Настроить SNMPv3 сервер с аутентификацией и шифрованием данных для пользователя admin. IP-адрес маршрутизатора esr - 192.168.52.41, ip-адрес сервера - 192.168.52.8.

        Рисунок 1 - Схема сети.
        Рисунок 1 – Схема сети

        Решение:

        Предварительно нужно выполнить следующие действия:

        • указать зону для интерфейса gi1/0/1;
        • настроить IP-адрес для интерфейсов gi1/0/1.

        Основной этап конфигурирования:

        Включаем SNMP-сервер:

        esr(config)# snmp-server

        Создаем пользователя SNMPv3:

        esr(config)# snmp-server user admin

        Определим режим безопасности:

        esr(snmp-user)# authentication access priv

        Определим алгоритм аутентификации для SNMPv3-запросов:

        esr(snmp-user)# authentication algorithm md5

        Устанавим пароль для аутентификации SNMPv3-запросов:

        esr(snmp-user)# authentication key ascii-text 123456789

        Определим алгоритм шифрования передаваемых данных:

        esr(snmp-user)# privacy algorithm aes128

        Устанавим пароль для шифрования передаваемых данных:

        esr(snmp-user)# privacy key ascii-text 123456789

        Активируем SNMPv3-пользователя :

        esr(snmp-user)# enable

        Определяем сервер-приемник Trap-PDU сообщений:

        esr(config)# snmp-server host 192.168.52.41

        Изменения конфигурации вступят в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Источник:
        docs.eltex-co.ru

        [ESR] Настройка MultiWAN
        Рекомендуемый порядок действий:

        Задача: Настроить маршрут к серверу (108.16.0.1/28) с возможностью балансировки нагрузки.

        Рисунок 1 - Схема сети.
        Рисунок 1 – Схема сети

        Решение:

        Предварительно нужно выполнить следующие действия:

        • настроить зоны для интерфейсов te1/0/1 и te1/0/2;
        • указать IP-адреса для интерфейсов te1/0/1 и te1/0/2.

        Основной этап конфигурирования:

        Настроим маршрутизацию:

        еsr(config)# ip route 108.16.0.0/28 wan load-balance rule 1

        Создадим правило WAN:

        еsr(config)# wan load-balance rule 1

        Укажем участвующие интерфейсы:

        еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/2
        еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/1

        Включим созданное правило балансировки и выйдем из режима конфигурирования правила:

        еsr(config-wan-rule)# enable
        еsr(config-wan-rule)# exit

        Создадим список для проверки целостности соединения:

        еsr(config)# wan load-balance target-list google

        Создадим цель проверки целостности:

        esr(config-target-list)# target 1

        Зададим адрес для проверки, включим проверку указанного адреса и выйдем:

        еsr(config-wan-target)# ip address 8.8.8.8
        еsr(config-wan-target)# enable
        еsr(config-wan-target)# exit

        Настроим интерфейсы. В режиме конфигурирования интерфейса te1/0/1 указываем nexthop:

        еsr(config)# interface tengigabitethernet 1/0/1
        еsr(config-if)# wan load-balance nexthop 203.0.0.1

        В режиме конфигурирования интерфейса te1/0/1 указываем список целей для проверки соединения:

        еsr(config-if)# wan load-balance target-list google

        В режиме конфигурирования интерфейса te1/0/1 включаем WAN-режим и выходим:

        еsr(config-if)# wan load-balance enable
        еsr(config-if)# exit

        В режиме конфигурирования интерфейса te1/0/2 указываем nexthop:

        еsr(config)# interface tengigabitethernet 1/0/2
        еsr(config-if)# wan load-balance nexthop 65.6.0.1

        В режиме конфигурирования интерфейса te1/0/2 указываем список целей для проверки соединения:

        еsr(config-if)# wan load-balance target-list google

        В режиме конфигурирования интерфейса te1/0/2 включаем WAN-режим и выходим:

        еsr(config-if)# wan load-balance enable
        еsr(config-if)# exit

        Изменения конфигурации вступят в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Для переключения в режим резервирования настроим следующее:

        Заходим в режим настройки правила WAN:

        еsr(config)# wan load-balance rule 1

        Функция MultiWAN также может работать в режиме резервирования, в котором трафик будет направляться в активный интерфейс c наибольшим весом. Включить данный режим можно следующей командой:

        еsr(config-wan-rule)# failover

        Изменения конфигурации вступят в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Источник:
        docs.eltex-co.ru

        [ESR] Конфигурирование Destination NAT
        Функция Destination NAT (DNAT) состоит в преобразовании IP-адреса назначения у пакетов, проходящих через сетевой шлюз.

        DNAT используется для перенаправления трафика, идущего на некоторый «виртуальный» адрес в публичной сети, на «реальный» сервер в локальной сети, находящийся за сетевым шлюзом. Эту функцию можно использовать для организации публичного доступа к серверам, находящимся в частной сети и не имеющим публичного сетевого адреса.

        Задача: Организовать доступ из публичной сети, относящейся к зоне «UNTRUST», к серверу локальной сети в зоне «TRUST». Адрес сервера в локальной сети - 10.1.1.100. Сервер должен быть доступным извне по адресу 1.2.3.4, доступный порт 80.

        Решение:

        Создадим зоны безопасности «UNTRUST» и «TRUST». Установим принадлежность используемых сетевых интерфейсов к зонам. Одновременно назначим IP-адреса интерфейсам.

        esr# configure
        esr(config)# security zone UNTRUST
        esr(config-zone)# exit
        esr(config)# security zone TRUST
        esr(config-zone)# exit
        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# security-zone TRUST
        esr(config-if-gi)# ip address 10.1.1.1/25
        esr(config-if-gi)# exit
        esr(config)# interface tengigabitethernet 1/0/1
        esr(config-if-te)# ip address 1.2.3.4/29
        esr(config-if-te)# security-zone UNTRUST
        esr(config-if-te)# exit

        Создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.

        • NET_UPLINK – профиль адресов публичной сети;
        • SERVER_IP – профиль адресов локальной сети;
        • SRV_HTTP – профиль портов.

        esr(config)# object-group network NET_UPLINK
        esr(config-object-group-network)# ip address 1.2.3.4
        esr(config-object-group-network)# exit
        esr(config)# object-group service SRV_HTTP
        esr(config-object-group-network)# port 80
        esr(config-object-group-network)# exit
        esr(config)# object-group network SERVER_IP
        esr(config-object-group-network)# ip address 10.1.1.100
        esr(config-object-group-network)# exit

        Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 1.2.3.4 из внешней сети.

        esr(config)# nat destination
        esr(config-dnat)# pool SERVER_POOL
        esr(config-dnat-pool)# ip address 10.1.1.100
        esr(config-dnat-pool)# ip port 80
        esr(config-dnat-pool)# exit

        Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «UNTRUST». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».

        esr(config-dnat)# ruleset DNAT
        esr(config-dnat-ruleset)# from zone UNTRUST
        esr(config-dnat-ruleset)# rule 1
        esr(config-dnat-rule)# match destination-address NET_UPLINK
        esr(config-dnat-rule)# match protocol tcp
        esr(config-dnat-rule)# match destination-port SERV_HTTP
        esr(config-dnat-rule)# action destination-nat pool SERVER_POOL
        esr(config-dnat-rule)# enable
        esr(config-dnat-rule)# exit
        esr(config-dnat-ruleset)# exit
        esr(config-dnat)# exit

        Для пропуска трафика, идущего из зоны «UNTRUST» в «TRUST», создадим соответствующую пару зон. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP», и прошедший преобразование DNAT.

        esr(config)# security zone-pair UNTRUST TRUST
        esr(config-zone-pair)# rule 1
        esr(config-zone-rule)# match source-address any
        esr(config-zone-rule)# match destination-address SERVER_IP
        esr(config-zone-rule)# match protocol any
        esr(config-zone-rule)# match destination-nat
        esr(config-zone-rule)# action permit
        esr(config-zone-rule)# enable
        esr(config-zone-rule)# exit
        esr(config-zone-pair)# exit
        esr(config)# exit

        Изменения конфигурации вступят в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Произведенные настройки можно посмотреть с помощью команд:

        esr# show ip nat destination pools
        esr# show ip nat destination rulesets
        esr# show ip nat proxy-arp
        esr# show ip nat translations

        Источник:
        docs.eltex-co.ru

        [ESR] Применение заводских настроек на ESR
        Чтобы выполнить сброс к заводским настройкам, нужно выполнить команды:
        Сброс конфигурации до заводских настроек
        esr-Х# copy system:factory-config system:candidate-config 
        Copy factory configuration to candidate configuration...
        Read factory configuration...
         
        Применение конфигурации
        esr-Х# commit 
        Nothing to commit in configuration
        2017-01-16T08:57:27+00:00 %CLI-I-CRIT: user admin from console input: commit
        esr-Х# confirm 
        Nothing to confirm in configuration. You must commit some changes first.
        2017-01-16T08:57:30+00:00 %CLI-I-CRIT: user admin from console input: confirm

         

        Если нет удаленного доступа, то нужно нажать функциональную кнопку F на передней панели более, чем на 10 секунд. При отпускании кнопки маршрутизатор перезагрузится с заводскими настройками.

        Источник:
        docs.eltex-co.ru

        [ESR] Настройка VRF Lite
        VRF (Virtual Routing and Forwarding) – технология, которая позволяет изолировать маршрутную информацию, принадлежащую различным классам (например, маршруты одного клиента).

        Рисунок 1 - Схема сети.
        Рисунок 1 – Схема сети

        Задача: К маршрутизатору серии ESR подключены 2 сети, которые необходимо изолировать от остальных сетей.

        Решение:

        Создадим VRF:

        esr(config)# ip vrf bit
        esr(config-vrf)# exit

        Создадим зону безопасности:

        esr(config)# security zone vrf-sec
        esr(config-zone)# ip vrf forwarding bit
        esr(config-zone)# exit

        Создадим правило для пары зон и разрешим любой TCP/UDP-трафик:

        esr(config)# security zone-pair vrf-sec vrf-sec
        esr(config-zone-pair)# rule 1
        esr(config-zone-rule)# match source-address any
        esr(config-zone-rule)# match destination-address any
        esr(config-zone-rule)# match protocol udp
        esr(config-zone-rule)# match source-port any
        esr(config-zone-rule)# match destination-port any
        esr(config-zone-rule)# action permit
        esr(config-zone-rule)# enable
        esr(config-zone-rule)# exit
        esr(config-zone-pair)# rule 2
        esr(config-zone-rule)# match source-address any
        esr(config-zone-rule)# match destination-address any
        esr(config-zone-rule)# match protocol tcp
        esr(config-zone-rule)# match source-port any
        esr(config-zone-rule)# match destination-port any
        esr(config-zone-rule)# action permit
        esr(config-zone-rule)# enable
        esr(config-zone-rule)# exit

        Создадим привязку интерфейсов, назначим IP-адреса, укажем принадлежность к зоне:

        esr(config)# interface gigabitethernet 1/0/7
        esr(config-if-gi)# ip vrf forwarding bit
        esr(config-if-gi)# ip address 10.20.0.1/24
        esr(config-if-gi)# security-zone vrf-sec
        esr(config-if-gi)# exit
        esr(config)# interface gigabitethernet 1/0/14.10
        esr(config-subif)# ip vrf forwarding bit
        esr(config-subif)# ip address 10.30.0.1/16
        esr(config-subif)# security-zone vrf-sec
        esr(config-subif)# exit
        esr(config)# exit

        Изменения конфигурации вступят в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Информацию об интерфейсах, привязанных к VRF, можно посмотреть командой:

        esr# show ip vrf

        Таблицу маршрутов VRF можно просмотреть с помощью команды:

        esr# show ip route vrf bit

        Источник:
        docs.eltex-co.ru

        [ESR] Настройка Netflow
        Netflow — сетевой протокол, предназначенный для учета и анализа трафика.

        Netflow позволяет передавать данные о трафике (адрес отправителя и получателя, порт, количество информации и др.) с сетевого оборудования (сенсора) на коллектор. В качестве коллектора может использоваться обычный сервер.

        Задача: Организовать учет трафика с интерфейса gi1/0/1 для передачи на сервер через интерфейс gi1/0/8 для обработки.

        Рисунок 1 - Схема сети.
        Рисунок 1 – Схема сети

        Решение:

        Предварительно нужно выполнить следующие действия:

        • На интерфейсах gi1/0/1, gi1/0/8 отключить firewall командой «ip firewall disable». (С версии ПО 1.1.0 необязательно отключать firewall)
        • Назначить IP-адреса на портах.

        Основной этап конфигурирования:

        Укажем IP-адрес коллектора:

        esr(config)# netflow collector 10.10.0.2

        Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1/0/1:

        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# ip netflow export

        Активируем netflow на маршрутизаторе.:

        еsr(config)# netflow enable

        Изменения конфигурации вступят в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Для просмотра статистики Netflow используется команда:

        esr# show netflow statistics

        Источник:
        docs.eltex-co.ru

        [ESR] Базовый QoS
        QoS (Quality of Service) – технология предоставления различным классам трафика различных приоритетов в обслуживании.

        Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.

        Задача: Настроить следующие ограничения на интерфейсе gigabitethernet 1/0/8: передавать трафик с DSCP 22 в восьмую приоритетную очередь, трафик с DSCP 14 в седьмую взвешенную очередь, установить ограничение по скорости в 60 Мбит/с для седьмой очереди.

        Рисунок 1 - Схема сети.
        Рисунок 1 – Схема сети

        Решение:

        Для того чтобы восьмая очередь стала приоритетной, а с первой по седьмую взвешенной, ограничим количество приоритетных очередей до 1:

        esr(config)# priority-queue out num-of-queues 1

        Перенаправим трафик с DSCP 22 в восьмую приоритетную очередь:

        esr(config)# qos map dscp-queue 22 to 8

        Перенаправим трафик с DSCP 14 в седьмую взвешенную очередь:

        esr(config)# qos map dscp-queue 14 to 7

        Включим QoS на входящем интерфейсе со стороны LAN:

        esr(config)# interface gigabitethernet 1/0/5
        esr(config-if-gi)# qos enable
        esr(config-if-gi)# exit

        Включим QoS на интерфейсе со стороны WAN:

        esr(config)# interface gigabitethernet 1/0/8
        esr(config-if-gi)# qos enable

        Установим ограничение по скорости в 60Мбит/с для седьмой очереди:

        esr(config-if)# traffic-shape queue 7 60000
        esr(config-if)# exit

        Изменения конфигурации вступят в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Просмотреть статистику по QoS можно командой (только для ESR-100/ESR-200):

        esr# show qos statistics gigabitethernet 1/0/8

        Источник:
        docs.eltex-co.ru

        [ESR] Расширенный QoS
        QoS (Quality of Service) – технология предоставления различным классам трафика различных приоритетов в обслуживании.

        Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.

        Задача: Классифицировать приходящий трафик по подсетям (10.0.11.0/24, 10.0.12.0/24), произвести маркировку по DSCP (38 и 42) и произвести разграничение по подсетям (40 Мбит/с и 60 Мбит/с), ограничить общую полосу до 250 Мбит/с, остальной трафик обрабатывать через механизм SFQ.

        Рисунок 1 - Схема сети.
        Рисунок 1 – Схема сети

        Решение:

        Настроим списки доступа для фильтрации по подсетям, выходим в глобальный режим конфигурации:

        esr(config)# ip access-list extended fl1
        esr(config-acl)# rule 1
        esr(config-acl-rule)# action permit
        esr(config-acl-rule)# match protocol any
        esr(config-acl-rule)# match source-address 10.0.11.0 255.255.255.0
        esr(config-acl-rule)# match destination-address any
        esr(config-acl-rule)# enable
        esr(config-acl-rule)# exit
        esr(config-acl)# exit
        esr(config)# ip access-list extended fl2
        esr(config-acl)# rule 1
        esr(config-acl-rule)# action permit
        esr(config-acl-rule)# match protocol any
        esr(config-acl-rule)# match source-address 10.0.12.0 255.255.255.0
        esr(config-acl-rule)# match destination-address any
        esr(config-acl-rule)# enable
        esr(config-acl-rule)# exit
        esr(config-acl)# exit

        Создаем классы fl1 и fl2, указываем соответствующие списки доступа, настраиваем маркировку:

        esr(config)# class-map fl1
        esr(config-class-map)# set dscp 38
        esr(config-class-map)# match access-group fl1
        esr(config-class-map)# exit
        esr(config)# class-map fl2
        esr(config-class-map)# set dscp 42
        esr(config-class-map)# match access-group fl2
        esr(config-class-map)# exit

        Создаём политику и определяем ограничение общей полосы пропускания:

        esr(config)# policy-map fl
        esr(config-policy-map)# shape average 250000

        Осуществляем привязку класса к политике, настраиваем ограничение полосы пропускания и выходим:

        esr(config-policy-map)# class fl1
        esr(config-class-policy-map)# shape average 40000
        esr(config-class-policy-map)# exit
        esr(config-policy-map)# class fl2
        esr(config-class-policy-map)# shape average 60000
        esr(config-class-policy-map)# exit

        Для другого трафика настраиваем класс с режимом SFQ:

        esr(config-policy-map)# class class-default
        esr(config-class-policy-map)# mode sfq
        esr(config-class-policy-map)# fair-queue 800
        esr(config-class-policy-map)# exit
        esr(config-policy-map)# exit

        Включаем QoS на интерфейсах, политику на входе интерфейса gi 1/0/19 для классификации и на выходе gi1/0/20 для применения ограничений и режима SFQ для класса по умолчанию:

        esr(config)# interface gigabitethernet 1/0/19
        esr(config-if-gi)# qos enable
        esr(config-if-gi)# service-policy input fl
        esr(config-if-gi)# exit
        esr(config)# interface gigabitethernet 1/0/20
        esr(config-if-gi)# qos enable
        esr(config-if-gi)# service-policy output fl
        esr(config-if-gi)# exit

        Изменения конфигурации вступят в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Для просмотра статистики используется команда:

        esr# do show qos policy statistics gigabitethernet 1/0/20

        Источник:
        docs.eltex-co.ru

        [ESR] Конфигурирование Firewall
        Firewall – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

        Задача: Разрешить обмен сообщениями по протоколу ICMP между устройствами ПК1, ПК2 и маршрутизатором ESR.

        Рисунок 1 - Схема сети.
        Рисунок 1 - схема сети.

        Решение:

        Для каждой сети ESR создадим свою зону безопасности:

        esr# configure
        esr(config)# security zone LAN
        esr(config-zone)# exit
        esr(config)# security zone WAN
        esr(config-zone)# exit

        Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:

        esr(config)# interface gi1/0/2
        esr(config-if-gi)# ip address 192.168.12.2/24
        esr(config-if-gi)# security-zone LAN
        esr(config-if-gi)# exit
        esr(config)# interface gi1/0/3
        esr(config-if-gi)# ip address 192.168.23.2/24
        esr(config-if-gi)# security-zone WAN
        esr(config-if-gi)# exit

        Для настройки правил зон безопасности потребуется создать профиль адресов сети «LAN», включающий адреса, которым разрешен выход в сеть «WAN», и профиль адресов сети «WAN».

        esr(config)# object-group network WAN
        esr(config-object-group-network)# ip address-range 192.168.23.2
        esr(config-object-group-network)# exit
        esr(config)# object-group network LAN
        esr(config-object-group-network)# ip address-range 192.168.12.2
        esr(config-object-group-network)# exit
        esr(config)# object-group network LAN_GATEWAY
        esr(config-object-group-network)# ip address-range 192.168.12.1
        esr(config-object-group-network)# exit
        esr(config)# object-group network WAN_GATEWAY
        esr(config-object-group-network)# ip address-range 192.168.23.3
        esr(config-object-group-network)# exit

        Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК1 к ПК2. Действие правил разрешается командой enable:

        esr(config)# security zone-pair LAN WAN
        esr(config-zone-pair)# rule 1
        esr(config-zone-rule)# action permit
        esr(config-zone-rule)# match protocol icmp
        esr(config-zone-rule)# match destination-address WAN
        esr(config-zone-rule)# match source-address LAN
        esr(config-zone-rule)# enable
        esr(config-zone-rule)# exit
        esr(config-zone-pair)# exit

        Для пропуска трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК2 к ПК1. Действие правил разрешается командой enable:

        esr(config)# security zone-pair WAN LAN
        esr(config-zone-pair)# rule 1
        esr(config-zone-rule)# action permit
        esr(config-zone-rule)# match protocol icmp
        esr(config-zone-rule)# match destination-address LAN
        esr(config-zone-rule)# match source-address WAN
        esr(config-zone-rule)# enable
        esr(config-zone-rule)# exit
        esr(config-zone-pair)# exit

        На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Создадим пару зон для трафика, идущего из зоны «WAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК2 и маршрутизатором ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «WAN»:

        esr(config)# security zone-pair WAN self
        esr(config-zone-pair)# rule 1
        esr(config-zone-rule)# action permit
        esr(config-zone-rule)# match protocol icmp
        esr(config-zone-rule)# match destination-address WAN
        esr(config-zone-rule)# match source-address WAN_GATEWAY
        esr(config-zone-rule)# enable
        esr(config-zone-rule)# exit
        esr(config-zone-pair)# exit

        Создадим пару зон для трафика, идущего из зоны «LAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:

        esr(config)# security zone-pair LAN self
        esr(config-zone-pair)# rule 1
        esr(config-zone-rule)# action permit
        esr(config-zone-rule)# match protocol icmp
        esr(config-zone-rule)# match destination-address LAN
        esr(config-zone-rule)# match source-address LAN_GATEWAY
        esr(config-zone-rule)# enable
        esr(config-zone-rule)# exit
        esr(config-zone-pair)# exit
        esr(config)# exit

        Изменения конфигурации вступят в действие по следующим командам:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Посмотреть членство портов в зонах можно с помощью команды:

        esr# show security zone

        Посмотреть пары зон и их конфигурацию можно с помощью команд:

        esr# show security zone-pair
        esr# show security zone-pair configuration

        Посмотреть активные сессии можно с помощью команд:

        esr# show ip firewall sessions

        Источник:
        docs.eltex-co.ru

        [ESR] Настройка LACP
        LACP — протокол для агрегирования каналов, позволяет объединить несколько физических каналов в один логический.

        Такое объединение позволяет увеличивать пропускную способность и надежность канала.

        Задача: Настроить агрегированный канал между маршрутизатором ESR и коммутатором.

        Рисунок 1 - Схема сети.
        Рисунок 1 – Схема сети

        Решение:

        Предварительно нужно выполнить следующие настройки:

        • На интерфейсах gi1/0/1, gi1/0/2 отключить зону безопасности командой «no security-zone».

        Основной этап конфигурирования:

        Cоздадим интерфейс port-channel 2:

        esr(config)# interface port-channel 2

        Включим физические интерфейсы gi1/0/1, gi1/0/2 в созданную группу агрегации каналов:

        esr(config)# interface gigabitethernet 1/0/1-2
        esr(config-if-gi)# channel-group 2 mode auto

        Изменения конфигурации вступят в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Дальнейшая конфигурация port-channel проводится как на обычном физическом интерфейсе.

        Источник:
        docs.eltex-co.ru

        [ESR] Управление резервированием настройка VRRP
        VRRP (Virtual Router Redundancy Protocol) — сетевой протокол, предназначенный для увеличения доступности маршрутизаторов, выполняющих роль шлюза по умолчанию.

        Это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего IP-адреса, который и будет использоваться как шлюз по умолчанию для компьютеров в сети.

        Задача 1: Организовать виртуальный шлюз для локальной сети в VLAN 50, используя протокол VRRP. В качестве локального виртуального шлюза используется IP адрес 192.168.1.1.

        Рисунок 1 - Схема сети.
        Рисунок 1 – Схема сети

        Решение:

        Предварительно нужно выполнить следующие действия:

        • создать соответствующий саб-интерфейс;
        • настроить зону для саб-интерфейса;
        • указать IP-адрес для саб-интерфейса.

        Основной этап конфигурирования:

        Настроим маршрутизатор R1.

        В созданном саб-интерфейсе настроим VRRP. Укажем уникальный идентификатор VRRP:

        R1(config)# interface gi 1/0/5.50
        R1(config-subif)# vrrp id 10

        Укажем IP-адрес виртуального шлюза 192.168.1.1/24:

        R1(config-subif)# vrrp ip 192.168.1.1

        Включим VRRP:

        R1(config-subif)# vrrp
        R1(config-subif)# exit

        Изменения конфигурации вступят в действие после применения:

        R1# commit
        Configuration has been successfully committed
        R1# confirm
        Configuration has been successfully confirmed

        Произвести аналогичные настройки на R2.

        Задача 2: Организовать виртуальные шлюзы для подсети 192.168.20.0/24 в VLAN 50 и подсети 192.168.1.0/24 в VLAN 60, используя протокол VRRP c функцией синхронизации Мастера. Для этого используем объединение VRRP-процессов в группу. В качестве виртуальных шлюзов используются IP-адреса 192.168.1.1 и 192.168.20.1.


        Рисунок 2 – Схема сети

        Решение:

        Предварительно нужно выполнить следующие действия:

        • создать соответствующие саб-интерфейсы;
        • настроить зону для саб-интерфейсов;
        • указать IP-адреса для саб-интерфейсов.

        Основной этап конфигурирования:

        Настроим маршрутизатор R1.

        Настроим VRRP для подсети 192.168.1.0/24 в созданном саб-интерфейсе.

        Укажем уникальный идентификатор VRRP:

        R1(config-sub)# interface gi 1/0/5.50
        R1(config-subif)# vrrp id 10

        Укажем IP-адрес виртуального шлюза 192.168.1.1:

        R1(config-subif)# vrrp ip 192.168.1.1

        Укажем идентификатор VRRP-группы:

        R1(config-subif)# vrrp group 5

        Включим VRRP:

        R1(config-subif)# vrrp
        R1(config-subif)# exit

        Настроим VRRP для подсети 192.168.20.0/24 в созданном саб-интерфейсе.

        Укажем уникальный идентификатор VRRP:

        R1(config-sub)# interface gi 1/0/6.60
        R1(config-subif)# vrrp id 20

        Укажем IP-адрес виртуального шлюза 192.168.20.1:

        R1(config-subif)# vrrp ip 192.168.20.1

        Укажем идентификатор VRRP-группы:

        R1(config-subif)# vrrp group 5

        Включим VRRP:

        R1(config-subif)# vrrp
        R1(config-subif)# exit

        Изменения конфигурации вступят в действие после применения:

        R1# commit
        Configuration has been successfully committed
        R1# confirm
        Configuration has been successfully confirmed

        Произвести аналогичные настройки на R2.

        Источник:
        docs.eltex-co.ru

        [ESR] Настройка RIP
        RIP — дистанционно-векторный протокол динамической маршрутизации, который использует количество транзитных участков в качестве метрики маршрута.

        Максимальное количество транзитных участков (hop), разрешенное в RIP, равно 15. Каждый RIP-маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд. RIP работает на 3-м уровне стека TCP/IP, используя UDP-порт 520.

        Задача: Настроить на маршрутизаторе протокол RIP для обмена маршрутной информацией с соседними маршрутизаторами. Маршрутизатор должен анонсировать статические маршруты и подсети 115.0.0.0/24, 14.0.0.0/24, 10.0.0.0/24. Анонсирование маршрутов должно происходить каждые 25 секунд.

        Рисунок 1 - Схема сети.
        Рисунок 1 - Схема сети.

        Решение:

        Предварительно нужно настроить IP-адреса на интерфейсах согласно схеме сети, приведенной на рисунке 1.

        Перейдём в режим конфигурирования протокола RIP:

        esr(config)# router rip

        Укажем подсети, которые будут анонсироваться протоколом: 115.0.0.0/24, 14.0.0.0/24 и 10.0.0.0/24:

        esr(config-rip)# network 115.0.0.0/24
        esr(config-rip)# network 14.0.0.0/24
        esr(config-rip)# network 10.0.0.0/24

        Для анонсирования протоколом статических маршрутов выполним команду:

        esr(config-rip)# redistribute static

        Настроим таймер, отвечающий за отправку маршрутной информации:

        esr(config-rip)# timers update 25

        После установки всех требуемых настроек включаем протокол:

        esr(config-rip)# enable

        Изменения конфигурации вступят в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Для того чтобы просмотреть таблицу маршрутов RIP воспользуемся командой:

        esr# show ip rip

        Помимо настройки протокола RIP, необходимо в firewall разрешить UDP-порт 520.

        Источник:
        docs.eltex-co.ru

        [ESR] Настройка зеркалирования
        Зеркалирование трафика — функция маршрутизатора, предназначенная для перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора (локальное зеркалирование) или на удаленное устройство (удаленное зеркалирование).

        Задача: Организовать удаленное зеркалирование трафика по VLAN 50 с интерфейса gi1/0/11 для передачи на сервер для обработки.

        Рисунок 1 - Схема сети.
        Рисунок 1 – Схема сети

        Решение:

        Предварительно нужно выполнить следующие действия:

        • Создать VLAN 50;
        • На интерфейсе gi 1/0/5 добавить VLAN 50 в режиме general.

        Основной этап конфигурирования:

        Укажем VLAN, по которой будет передаваться зеркалированный трафик:

        еsr1000(config)# port monitor remote vlan 50

        На интерфейсе gi 1/0/5 укажем порт для зеркалирования:

        еsr1000(config)# interface gigabitethernet 1/0/5
        еsr1000(config-if-gi)# port monitor interface gigabitethernet 1/0/11

        Укажем на интерфейсе gi 1/0/5 режим удаленного зеркалирования:

        еsr1000(config-if-gi)# port monitor remote

        Изменения конфигурации вступят в действие после применения:

        esr1000# commit
        Configuration has been successfully committed
        esr1000# confirm
        Configuration has been successfully confirmed

        Источник:
        docs.eltex-co.ru

        [ESR] Конфигурирование статических маршрутов
        Статическая маршрутизация – вид маршрутизации, при котором маршруты указываются в явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации.

        Задача: Настроить доступ к сети Internet для пользователей локальной сети 192.168.1.0/24 и 10.0.0.0/8, используя статическую маршрутизацию. На устройстве R1 создать шлюз для доступа к сети Internet. Трафик внутри локальной сети должен маршрутизироваться внутри зоны LAN, трафик из сети Internet должен относиться к зоне WAN.

        Рисунок 1 - Схема сети.
        Рисунок 1 - схема сети.

        Решение:

        Зададим имя устройства для маршрутизатора R1:

        esr# hostname R1
        esr#(config)# do commit
        R1#(config)# do confirm

        Для интерфейса gi1/0/1 укажем адрес 192.168.1.1/24 и зону «LAN». Через данный интерфейс R1 будет подключен к сети 192.168.1.0/24:

        R1(config)# interface gi1/0/1
        R1(config-if-gi)# security-zone LAN
        R1(config-if-gi)# ip address 192.168.1.1/24
        R1(config-if-gi)# exit

        Для интерфейса gi1/0/2 укажем адрес 192.168.100.1/30 и зону «LAN». Через данный интерфейс R1 будет подключен к устройству R2 для последующей маршрутизации трафика:

        R1(config)# interface gi1/0/2
        R1(config-if-gi)# security-zone LAN
        R1(config-if-gi)# ip address 192.168.100.1/30
        R1(config-if-gi)# exit

        Для интерфейса gi1/0/3 укажем адрес 128.107.1.2/30 и зону «WAN». Через данный интерфейс R1 будет подключен к сети Internet:

        R1(config)# interface gi1/0/3
        R1(config-if-gi)# security-zone WAN
        R1(config-if-gi)# ip address 128.107.1.2/30
        R1(config-if-gi)# exit

        Создадим маршрут для взаимодействия с сетью 10.0.0.0/8, используя в качестве шлюза устройство R2 (192.168.100.2):

        R1(config)# ip route 10.0.0.0/8 192.168.100.2

        Создадим маршрут для взаимодействия с сетью Internet, используя в качестве nexthop шлюз провайдера (128.107.1.1):

        R1(config)# ip route 0.0.0.0/0 128.107.1.1

        Изменения конфигурации на маршрутизаторе R1 вступят в действие по следующим командам:

        R1# commit
        Configuration has been successfully committed
        R1# confirm
        Configuration has been successfully confirmed

        Зададим имя устройства для маршрутизатора R2:

        esr# hostname R2
        esr#(config)# do commit
        R2#(config)# do confirm

        Для интерфейса gi1/0/1 укажем адрес 10.0.0.1/8 и зону «LAN». Через данный интерфейс R2 будет подключен к сети 10.0.0.0/8:

        R2(config)# interface gi1/0/1
        R2(config-if-gi)# security-zone LAN
        R2(config-if-gi)# ip address 10.0.0.1/8
        R2(config-if-gi)# exit

        Для интерфейса gi1/0/2 укажем адрес 192.168.100.2/30 и зону «LAN». Через данный интерфейс R2 будет подключен к устройству R1 для последующей маршрутизации трафика:

        R2(config)# interface gi1/0/2
        R2(config-if-gi)# security-zone LAN
        R2(config-if-gi)# ip address 192.168.100.2/30
        R2(config-if-gi)# exit

        Создадим маршрут по умолчанию, указав в качестве nexthop IP-адрес интерфейса gi1/0/2 маршрутизатора R1 (192.168.100.1):

        R2(config)# ip route 0.0.0.0/0 192.168.100.1

        Изменения конфигурации на маршрутизаторе R2 вступят в действие по следующим командам:

        R2# commit
        Configuration has been successfully committed
        R2# confirm
        Configuration has been successfully confirmed

        Проверить таблицу маршрутов можно командой:

        esr# show ip route

        Источник:
        docs.eltex-co.ru

        [ESR] DHCP Relay
        В случае, если DHCP-клиент не имеет возможности обратиться к DHCP-серверу напрямую (например, если они находятся в разных широковещательных доменах), используется так называемый DHCP-ретранслятор (relay agent), который обрабатывает клиентский широковещательный DHCP-запрос и отправляет его на DHCP-сервер в виде unicast пакета, а полученный от DHCP-сервера ответ, в свою очередь, перенаправляет DHCP-клиенту.

        Рисунок 1 - Схема сети

         

        Предварительно необходимо сконфигурировать интерфейсы:

        esr(config)# interface gigabitethernet 1/0/1

        esr(config-if-gi)# ip address 10.0.0.1/24

        esr(config)# interface gigabitethernet 1/0/2

        esr(config-if-gi)# ip address 192.168.0.1/24

         

        Настройки DHCP-ретранслятора на ESR сводятся к:

         

        1. Включению DHCP relay глобально на устройстве командой

         

        esr(config)# ip dhcp-relay

         

        2. Указанию на интерфейсе со стороны DHCP-клинта IP адреса DHCP-сервера, на который будут перенаправляться клиентские запросы.

         

        esr(config)# interface gigabitethernet 1/0/2

        esr(config-if-gi)# ip helper-address 10.0.0.2

         

        Чтобы изменения вступили в силу, необходимо ввести следующие команды:

        esr# commit

        Configuration has been commited

        esr# confirm

         Configuration has been confirmed

        Источник:
        docs.eltex-co.ru

        [ESR] Настройка Route-based IPsec VPN
        IPsec – это набор протоколов, которые обеспечивают защиту передаваемых с помощью IP-протокола данных.

        Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

        Рисунок 1 - Схема сети.
        Рисунок 1 – Схема сети

        Задача: Настроить IPsec-туннель между R1 и R2.

        • R1 IP адрес - 120.11.5.1;
        • R2 IP адрес - 180.100.0.1;
        • IKE:
          группа Диффи-Хэллмана: 2;
          алгоритм шифрования: AES 128 bit;
          алгоритм аутентификации: MD5.
        • IPSec:
          алгоритм шифрования: AES 128 bit;
          алгоритм аутентификации: MD5.

        Решение:

        1. Конфигурирование R1

        Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

        esr# configure
        esr(config)# interface gi 1/0/1
        esr(config-if-gi)# ip address 120.11.5.1/24
        esr(config-if-gi)# security-zone untrusted
        esr(config-if-gi)# exit

        Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

        esr(config)# tunnel vti 1
        esr(config-vti)# local address 120.11.5.1
        esr(config-vti)# remote address 180.100.0.1
        esr(config-vti)# enable
        esr(config-vti)# exit

        Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

        esr(config)# object-group service ISAKMP
        esr(config-object-group-service)# port-range 500
        esr(config-object-group-service)# exit

        Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

        esr(config)# ip route 10.0.0.0/16 tunnel vti 1

        Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

        esr(config)# security ike proposal ike_prop1
        esr(config-ike-proposal)# dh-group 2
        esr(config-ike-proposal)# authentication algorithm md5
        esr(config-ike-proposal)# encryption algorithm aes128
        esr(config-ike-proposal)# exit

        Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

        esr(config)# security ike policy ike_pol1
        esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
        esr(config-ike-policy)# proposal ike_prop1
        esr(config-ike-policy)# exit

        Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

        esr(config)# security ike gateway ike_gw1
        esr(config-ike-gw)# ike-policy ike_pol1
        esr(config-ike-gw)# mode route-based
        esr(config-ike-gw)# bind-interface vti 1
        esr(config-ike-gw)# version v2-only
        esr(config-ike-gw)# exit

        Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

        esr(config)# security ipsec proposal ipsec_prop1
        esr(config-ipsec-proposal)# authentication algorithm md5
        esr(config-ipsec-proposal)# encryption algorithm aes128
        esr(config-ipsec-proposal)# exit

        Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

        esr(config)# security ipsec policy ipsec_pol1
        esr(config-ipsec-policy)# proposal ipsec_prop1
        esr(config-ipsec-policy)# exit

        Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

        esr(config)# security ipsec vpn ipsec1
        esr(config-ipsec-vpn)# mode ike
        esr(config-ipsec-vpn)# ike establish-tunnel immediate
        esr(config-ipsec-vpn)# ike gateway ike_gw1
        esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
        esr(config-ipsec-vpn)# enable
        esr(config-ipsec-vpn)# exit
        esr(config)# exit

        2. Конфигурирование R2

        Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

        esr# configure
        esr(config)# interface gi 1/0/1
        esr(config-if)# ip address 180.100.0.1/24
        esr(config-if)# security-zone untrusted
        esr(config-if)# exit

        Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

        esr(config)# tunnel vti 1
        esr(config-vti)# remote address 120.11.5.1
        esr(config-vti)# local address 180.100.0.1
        esr(config-vti)# enable
        esr(config-vti)# exit

        Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

        esr(config)# object-group service ISAKMP
        esr(config-addr-set)# port-range 500
        esr(config-addr-set)# exit

        Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

        esr(config)# ip route 10.0.0.0/16 tunnel vti 1

        Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

        esr(config)# security ike proposal ike_prop1
        esr(config-ike-proposal)# dh-group 2
        esr(config-ike-proposal)# authentication algorithm md5
        esr(config-ike-proposal)# encryption algorithm aes128
        esr(config-ike-proposal)# exit

        Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

        esr(config)# security ike policy ike_pol1
        esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
        esr(config-ike-policy)# proposal ike_prop1
        esr(config-ike-policy)# exit

        Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

        esr(config)# security ike gateway ike_gw1
        esr(config-ike-gw)# ike-policy ike_pol1
        esr(config-ike-gw)# mode route-based
        esr(config-ike-gw)# bind-interface vti 1
        esr(config-ike-gw)# version v2-only
        esr(config-ike-gw)# exit

        Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec туннеля:

        esr(config)# security ipsec proposal ipsec_prop1
        esr(config-ipsec-proposal)# authentication algorithm md5
        esr(config-ipsec-proposal)# encryption algorithm aes128
        esr(config-ipsec-proposal)# exit

        Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

        esr(config)# security ipsec policy ipsec_pol1
        esr(config-ipsec-policy)# proposal ipsec_prop1
        esr(config-ipsec-policy)# exit

        Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

        esr(config)# security ipsec vpn ipsec1
        esr(config-ipsec-vpn)# mode ike
        esr(config-ipsec-vpn)# ike establish-tunnel immediate
        esr(config-ipsec-vpn)# ike gateway ike_gw1
        esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
        esr(config-ipsec-vpn)# enable
        esr(config-ipsec-vpn)# exit
        esr(config)# exit

        Состояние туннеля можно посмотреть командой:

        esr# show security ipsec vpn status ipsec1

        Конфигурацию туннеля можно посмотреть командой:

        esr# show security ipsec vpn configuration ipsec1

        Источник:
        docs.eltex-co.ru

        [ESR] Настройка GRE-туннелей
        GRE (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов.

        Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты. GRE может использоваться для организации VPN на 3-м уровне модели OSI. В маршрутизаторе ESR реализованы статические неуправляемые GRE-туннели, то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах. Параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером.

        Задача: Организовать L3-VPN между офисами компании через IP-сеть, используя для туннелирования трафика протокол GRE.

        • в качестве локального шлюза для туннеля используется IP-адрес 115.0.0.1;
        • в качестве удаленного шлюза для туннеля используется IP-адрес 114.0.0.10;
        • IP-адрес туннеля на локальной стороне 25.0.0.1/24.

        Рисунок 1 - Схема сети.
        Рисунок 1 – Схема сети

        Решение:

        Создадим туннель GRE 10:

        esr(config)# tunnel gre 10

        Укажем локальный и удаленный шлюз (IP-адреса интерфейсов, граничащих с WAN):

        esr(config-gre)# local address 115.0.0.1
        esr(config-gre)# remote address 114.0.0.10

        Укажем IP-адрес туннеля 25.0.0.1/24:

        esr(config-gre)# ip address 25.0.0.1/24

        Также туннель должен принадлежать к зоне безопасности, для того чтобы можно было создать правила, разрешающие прохождение трафика в firewall. Принадлежность туннеля к зоне задается следующей командой:

        esr(config-gre)# security-zone untrusted

        Включим туннель:

        esr(config-gre)# enable
        esr(config-gre)# exit

        На маршрутизаторе должен быть создан маршрут до локальной сети партнера. В качестве интерфейса назначения указываем ранее созданный туннель GRE:

        esr(config)# ip route 172.16.0.0/16 tunnel gre 10

        Для применения изменений конфигурации выполним следующие команды:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        После применения настроек трафик будет инкапсулироваться в туннель и отправляться партеру, независимо от наличия GRE-туннеля и правильности настроек с его стороны.

        Опционально для GRE-туннеля можно указать следующие параметры:

        • Включить вычисление и включение в пакет контрольной суммы заголовка GRE и инкапсулированного пакета для исходящего трафика:

        esr(config-gre)# local checksum

        • Включить проверку наличия и корректности контрольной суммы GRE для входящего трафика:

        esr(config-gre)# remote checksum

        • Указать уникальный идентификатор:

        esr(config-gre)# key 15808

        • Указать значение DSCP, MTU, TTL:

        esr(config-gre)# dscp 44
        esr(config-gre)# mtu 1426
        esr(config-gre)# ttl 18

        Состояние туннеля можно посмотреть командой:

        esr# show tunnels status gre 10

        Счетчики входящих и отправленных пакетов можно посмотреть командой:

        esr# show tunnels counters gre 10

        Конфигурацию туннеля можно посмотреть командой:

        esr# show tunnels configuration gre 10

        Настройка туннеля IPv4-over-IPv4 производится аналогичным образом.

        Источник:
        docs.eltex-co.ru

        [ESR] Установка и активация лицензий
        В текущей релизной версия ПО - 1.2.0 доступны лицензии для функционала BRAS, Wi-Fi, wiSLA (активация SLA агента, используемого для мониторинга параметров качества канала связи).

        Для установки лицензии необходимо файл лицензии загрузить на маршрутизатор с TFTP, FTP или SCP сервера:

        esr# copy tftp://А.B.C.D:/NPXXXXXXXX.lic system:licence

        esr# copy ftp://admin:password@А.B.C.D:/NPXXXXXXXX.lic system:licence

        esr# copy scp://admin:password@A.B.C.D:/NPXXXXXXXX.lic system:licence

        Процесс активации лицензии происходит автоматически после перезагрузки оборудования.

        esr# reload system

        Источник:
        docs.eltex-co.ru

        [ESR] Настройка BRAS без поддержки SoftWLC
        Основные шаги по настройке:

        Шаг 1.  Настройка FreeRADIUS - сервера.

        Для FreeRADIUS сервера нужно задать подсеть, из которой могут приходить запросы и добавить список пользователей. Для этого в файл users в директории с файлами конфигурации FreeRADIUS сервера нужно добавить:

         

        Профиль пользователя:

         

        <MACADDR> Cleartext-Password := <MACADDR>

        # Имя пользователя

        User-Name = <USER_NAME>,

        # Максимальное время жизни сессии

        Session-Timeout = <SECONDS>,

        # Максимальное время жизни сесиии при бездействии пользователя

        Idle-Timeout = <SECONDS>,

        # Время на обновление статистики по сессии

        Acct-Interim-Interval = <SECONDS>,

        # Имя сервиса для сессии (A - сервис включен, N - сервис выключен)

        Cisco-Account-Info = "{A|N}<SERVICE_NAME>"

         

        Профиль сервиса:

         

        <SERVICE_NAME> Cleartext-Password := <MACADDR>

        # Соответствует имени class-map в настройках ESR

        Cisco-AVPair = "subscriber:traffic-class=<CLASS_MAP>",

        # Действие, которое применяет ESR к трафику (permit, deny, redirect)

        Cisco-AVPair = "subscriber:filter-default-action=<ACTION>",

        # Возможность прохождения IP потоков (enabled-uplink, enabled-downlink, enabled, disabled)

        Cisco-AVPair = "subscriber:flow-status=<STATUS>"

        В файл clients.conf нужно добавить подсеть, в которой находится ESR:

        client ESR {

        ipaddr = <SUBNET>

        secret = <RADIUS_KEY>

        }

         

        Шаг 2.  Настройка ESR - нужно сконфигурировать:

         

        radius-server host <IP_ADDRESS>

        key ascii-text <RADIUS_KEY>

        exit

        aaa radius-profile bras_radius

        radius-server host <IP_ADDRESS>

        exit

        das-server das

        key ascii-text <RADIUS_KEY>

        exit

        aaa das-profile bras_das

        das-server das

        exit

        ip access-list extended user_acl

        rule 1

        action permit

        match protocol any

        match source-address any

        match destination-address any

        enable

        exit

        exit

        subscriber-control

        aaa das-profile bras_das

        aaa sessions-radius-profile bras_radius

        nas-ip-address <IP_ADDRESS>

        session mac-authentication

        default-service default-action redirect <URL>

        exit

        enable

        exit

         

        На интерфейсах, для которых требуется работа BRAS настроить (для успешного запуска требуется как минимум один интерфейс):

         

        service-subscriber-control {object-group <NAME> | any}

        location <L2LOCATION>

         

        !!! Настройка действие фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:
        1. Создаем локальный список URL (можно указать свои URL, на которые неавторизованные пользователи смогут проходить без авторизации и без редиректа, например локальные сервисы вашей сети и ваш сайт):
        object-group url defaultserv
          url http://eltex.nsk.ru
          url http://ya.ru
          url https://ya.ru
        exit
        2. Добавим действие фильтрации для локального списка URL в BRAS:

        subscriber-control
          default-service
            filter-name local defaultserv
            filter-action permit
        end
        Теперь неавторизированные пользователи будут иметь доступ к URL defaultserv без редирект, а при попытке пройти на другие сайты для них отработает редирект:
        default-service
            default-action redirect http://192.168.16.54:8080/eltex_portal/

         

         

         

        Пример настройки:

         

        Дано:

        Шаг 1. Настройка FreeRADIUS - сервера:

         
        подсеть с клиентами 10.10.0.0/16, подсеть для работы с FreeRADIUS сервером 192.168.16.140/23. Настраиваем FreeRADIUS сервер. В файл «clients.conf» добавляем строки:
        client BRAS {
        ipaddr = 192.168.16.140
        secret = password
        }

         

        В файл «users» добавляем строки (вместо <MAC> нужно указать MAC адрес клиента):

        "00-00-00-33-96-3D" Cleartext-Password := "00-00-00-33-96-3D"
        User-Name = "Bras_user",
        Session-Timeout = 259200,
        Idle-Timeout = 259200,
        Cisco-AVPair += "subscriber:policer-rate-in=1000",
        Cisco-AVPair += "subscriber:policer-rate-out=1000",
        Cisco-AVPair += "subscriber:policer-burst-in=188",
        Cisco-AVPair += "subscriber:policer-burst-out=188",
        Cisco-Account-Info = "AINTERNET"

        INTERNET Cleartext-Password := "INTERNET"
        User-Name = "INTERNET",
        Cisco-AVPair = "subscriber:traffic-class=INTERNET",
        Cisco-AVPair += "subscriber:filter-default-action=permit"

        Для traffic-class в настройках сервиса нужно указать access-list из настроек ESR. Он нужен для определения какой трафик пользователя считать за трафик этого сервиса.

         

        Шаг 2. Конфигурация ESR:

         

        configure

        object-group url defaultserv
        url http://eltex.nsk.ru
        url http://ya.ru
        url https://ya.ru
        exit


        radius-server host 192.168.16.54
        key ascii-text encrypted 8CB5107EA7005AFF
        source-address 192.168.16.140
        exit
         aaa radius-profile bras_radius
        radius-server host 192.168.16.54
         exit
         aaa radius-profile bras_radius_servers
         radius-server host 192.168.16.54
         exit
        das-server das
        key ascii-text encrypted 8CB5107EA7005AFF
         exit
         aaa das-profile bras_das
         das-server das
        exit


         vlan 10
         exit


         ip access-list extended BYPASS
        rule 1
         action permit
        match protocol udp
         match source-address any
        match destination-address any
         match source-port 68
         match destination-port 67
        enable
         exit
         rule 2
         action permit
         match protocol udp
         match source-address any
         match destination-address any
         match source-port any
         match destination-port 53
        enable
        exit
         rule 3
         exit
         exit


        ip access-list extended INTERNET
        rule 1
         action permit
        match protocol any
        match source-address any
        match destination-address any
        enable
         exit
         exit

        ip access-list extended WELCOME
        rule 10
        action permit
        match protocol tcp
        match source-address any
        match destination-address any
        match source-port any
        match destination-port 443
        enable
        exit
        rule 20
        action permit
        match protocol tcp
        match source-address any
        match destination-address any
        match source-port any
        match destination-port 8443
        enable
        exit
        rule 30
        action permit
        match protocol tcp
        match source-address any
        match destination-address any
        match source-port any
        match destination-port 80
        enable
        exit
        rule 40
        action permit
        match protocol tcp
        match source-address any
        match destination-address any
        match source-port any
        match destination-port 8080
        enable
        exit
        exit


         subscriber-control
        aaa das-profile bras_das
        aaa sessions-radius-profile bras_radius
        aaa services-radius-profile bras_radius_servers
        nas-ip-address 192.168.16.140
        session mac-authentication
        bypass-traffic-acl BYPASS
        default-service
        class-map BYPASS
        filter-name local defaultserv
        filter-action permit
        default-action redirect http://192.168.16.54/eltex_portal
        session-timeout 121
        exit
        enable
        exit


         bridge 10
        vlan 10
        ip firewall disable
         ip address 10.10.0.1/16
         ip helper-address 192.168.16.54
        service-subscriber-control any
        location USER
         protected-ports
         protected-ports exclude vlan
        enable
         exit
         interface gigabitethernet 1/0/2
        ip firewall disable
        ip address 192.168.16.140/23
         exit
         interface gigabitethernet 1/0/3.10
         bridge-group 10
        ip firewall disable
         exit
         interface gigabitethernet 1/0/4
        ip firewall disable
         ip address 30.30.30.2/24
         exit
         interface tengigabitethernet 1/0/1
        ip firewall disable
         exit
         interface tengigabitethernet 1/0/1.10
         bridge-group 10
        exit
         interface tengigabitethernet 1/0/1.20
         ip firewall disable
        ip address 20.20.20.1/24
         exit
        interface tengigabitethernet 1/0/1.30
        bridge-group 10
         exit
         interface tengigabitethernet 1/0/1.40
         bridge-group 10
        exit

        nat source
        ruleset factory
        to interface gigabitethernet 1/0/2
        rule 10
        description "replace 'source ip' by outgoing interface ip address"
        match protocol any
        match source-address any
        match destination-address any
        action source-nat interface
        enable
        exit
        exit


         ip route 0.0.0.0/0 192.168.16.145

         ip telnet server

        Источник:
        docs.eltex-co.ru

        [ESR] Пример настройки проброса портов на маршрутизаторах ESR
        Для начала нужно создать объекты, которыми будем оперировать дальше в конфигурации.

        Создаем порт

        object-group service HTTP

          port-range 8080

        exit

         

        Создаем IP адреса аплинка и сервера, до которого планируем пробросить порт

        object-group network UPLINK

          ip address-range X.X.X.X   - где X.X.X.X белый IP маршрутизатора без маски

        exit

        object-group network SERVER

          ip address-range Y.Y.Y.Y где Y.Y.Y.Y белый IP серввера без маски

        exit

         

        Объявляем зоны безопасности

        security zone untrusted

        exit

        security zone trusted

        exit

         

        Создаем бридж (нужно, если планируем использовать одну серую сеть на нескольких портах)

        bridge 1

          vlan 2  (опционально)

          security-zone trusted

          ip address Y.Y.Y.Y/24

          enable

        exit

         

        interface gigabitethernet 1/0/1

          description "UPLINLK"

          security-zone untrusted

          ip address X.X.X.X/n   -где n – размер маски подсети белой подсети

        exit

        interface gigabitethernet 1/0/2

          mode switchport

          security-zone trusted

          switchport access vlan 2 (опционально, если этот vlan был объявлен в bridge 1)

        exit

         

        Настроим firewall для прохождения трафика к серверу по порту 8080

        security zone-pair untrusted trusted

          rule 1

            action permit

            match protocol tcp

            match destination-address SERVER

            match destination-port HTTP

            enable

          exit

        exit

         

        Создадим правило, разрешающее любой исходящий трафик из локальной сети в сторону интернета

        security zone-pair trusted untrusted

          rule 1

            action permit

            match protocol any

            match source-address any

            match destination-address any

            enable

          exit

        exit

         

        Создадим правило, позволяющее прохождение локального трафика без ограничений.

        security zone-pair trusted trusted

          rule 1

            action permit

            match protocol any

            match source-address any

            match destination-address any

            enable

          exit

        exit

        • Если в будущем планируются какие любо ограничения локального трафика, рекомендуется задать номер правила побольше, например 10, чтобы правила, создаваемые в будущем, можно было легко поставить приоритетом выше или ниже только что созданного правила.

         

        Создадим пул адресов, на который будет транслироваться трафик

        nat destination

          pool SERVER

            ip address Y.Y.Y.Y

          exit

         

          *Если необходимо обращаться на белый IP по одному порту (например 8080), но в локальной сети попадать на сервер на другой порт (например 80), в пуле нужно указать номер порта назначения.
        Если требуется пробросить порт симметрично, то писать «ip port 80» нужно

          pool SERVER

            ip address Y.Y.Y.Y

            ip port 80

          exit

         

          Создадим правило проброса портов

        *Для проброса tcp и udp портов с одинаковым значением придется создать два отдельных правила для tcp и udp соответственно.

          ruleset DNAT

            from zone untrusted

            rule 1

              match protocol tcp

              match destination-address UPLINK

              match destination-port HTTP

              action destination-nat pool SERVER

              enable

            exit

         

        Настроим исходящий NAT       

        nat source

          ruleset factory

            to zone untrusted

            rule 1

              action source-nat interface

              enable

            exit

          exit

        exit

         

        Источник:
        docs.eltex-co.ru

        [ESR] Управление и мониторинг ESR по SNMP

        access

        Данной командой определяется уровень доступа по протоколу SNMPv3.

        Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

        Синтаксис

        access <TYPE> 
        no access

        Параметры

        <TYPE> – уровень доступа:

        • ro – доступ только для чтения;
        • rw – доступ для чтения и записи.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-USER

        Пример

        1.     esr(config-snmp-user)# access rw

        authentication access

        Данной командой определяется режим безопасности.

        Использование отрицательной формы команды (no) отключает аутентификацию.

        Синтаксис

        authentication access <TYPE>
        no authentication access

        Параметры

        <TYPE> – режим безопасности:

        • auth – используется только аутентификация;
        • priv – используется аутентификация и шифрование данных.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-USER

        Пример

        1     esr(config-snmp-user)# authentication algorithm auth
         

        authentication algorithm

        Данная команда определяет алгоритм аутентификации SNMPv3-запросов.

        Использование отрицательной формы команды (no) отключает аутентификацию.

        Синтаксис

        authentication algorithm <ALGORITHM>
        no authentication algorithm

        Параметры

        <ALGORITHM> – алгоритм шифрования:

        • md5 – пароль шифруется по алгоритму md5;
        • sha1 – пароль шифруется по алгоритму sha1.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-USER

        Пример

        1     esr(config-snmp-user)# authentication algorithm md5
         

        authentication key

        Данная команда устанавливает пароль для аутентификации SNMPv3-запросов.

        Использование отрицательной формы команды (no) удаляет пароль.

        Синтаксис

        authentication key ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }
        no authentication key

        Параметры

        <CLEAR-TEXT> – пароль, задаётся строкой от 8 до 16 символов;

        encrypted – при указании команды задается зашифрованный пароль:

        <ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...).

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-USER

        Пример

        esr(config-snmp-user)# authentication key ascii-text 123456789
        esr(config-snmp-user)# authentication key ascii-text encrypted CDE65039E5591FA3F1
         

        client-list

        Данной командой активируется фильтрация и устанавливается профиль IP-адресов, с которых могут приниматься SNMPv3 пакеты с данным именем SNMPv3 пользователя.

        Использование отрицательной формы команды (no) деактивирует фильтрацию принимаемых SNMPv3-пакетов.

        Синтаксис

        [no] client-list <NAME>

        Параметры

        <NAME> – имя ранее сознанной object-group, задается строкой до 31 символа.

        Значение по умолчанию

        Ограничения отключены.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-USER

        Пример

        1     esr(config-snmp-user)# client-list OBG005
         

        community

        Данной командой определяется SNMP-community для отправки уведомлений на удаленный сервер.

        Использование отрицательной формы команды (no) удаляет значение community.

        Синтаксис

        community <COMMUNITY>
        no community

        Параметры

        <COMMUNITY> – сообщество для доступа по протоколу SNMP, задается строкой длинной [1..128] символа;

        Значение по умолчанию

        community – не задано.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-HOST

        Пример

        1     esr(config-snmp-host)# community privatekey
         

        ip address

        Данной командой активируется фильтрация и устанавливается IP-адрес, которому предоставлен доступ к маршрутизатору под данным SNMPv3-пользователем.

        Использование отрицательной формы команды (no) деактивирует фильтрацию принимаемых SNMPv3–пакетов.

        Синтаксис

        [no] ip address <ADDR>

        Параметры

        <ADDR> – IP-адрес клиента, которому предоставлен доступ, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

        Значение по умолчанию

        Ограничения отключены.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-USER

        Пример

        1     esr(config-snmp-user)# ip address 192.168.85.33
         

        ipv6 address

        Данной командой активируется фильтрация и устанавливается IPv6-адрес, которому предоставлен доступ к маршрутизатору под данным SNMPv3-пользователем.

        Использование отрицательной формы команды (no) деактивирует фильтрацию принимаемых SNMPv3–пакетов.

        Синтаксис

        [no] ipv6 address <IPV6-ADDR>

        Параметры

        <IPV6-ADDR> – IPv6-адрес клиента, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

        Значение по умолчанию

        Отключено.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-USER

        Пример

        1     esr(config-snmp-user)# ipv6 address AC:05:12:44::24
         

        enable

        Данной командой активируется SNMPv3-пользователь.

        Использование отрицательной формы команды (no) деактивирует SNMPv3-пользователя.

        Синтаксис

        [no] enable

        Параметры

        Команда не содержит параметров.

        Значение по умолчанию

        Отключено.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-USER

        Пример

        1     esr(config-snmp-user)# enable
         

        oid-tree

        Данной командой устанавливается OID и действие применяемое к нему (разрешить/запретить). Более длинные OID имеют преимущество.

        OID указывается в цифровой нотации.

        Использование отрицательной формы команды (no) удаляет запись oid-tree.

        Синтаксис

        oid-tree <OID> <ACTION>
        no oid-tree <OID>

        Параметры

        <OID> – OID, задаётся строкой до 255 символов;

        <ACTION> – действие, применяемое к OID

        • excluded – запретить использование OID;
        • included – разрешить использование OID.

        Значение по умолчанию

        Разрешено.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-VIEW

        Пример

        1     esr(config-snmp-view)# oid-tree 1.3.6.1.2.1.2.2 excluded
         

        port

        Данной командой определяется порт коллектора SNMP уведомлений на удаленном сервере.

        Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

        Синтаксис

        port <PORT>
        no port

        Параметры

        <PORT> – номер UDP-порта, указывается в диапазоне [1..65535].

        Значение по умолчанию

        162

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-HOST

        Пример

        1     esr(config-snmp-host)# port 5555
         

        privacy algorithm

        Данная команда определяет алгоритм шифрования передаваемых данных.

        Использование отрицательной формы команды (no) отключает шифрование.

        Синтаксис

        privacy algorithm <ALGORITHM>
        no privacy algorithm

        Параметры

        <ALGORITHM> – алгоритм шифрования:

        • aes128 – использовать алгоритм шифрования AES-128;
        • des – использовать алгоритм шифрования DES.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-USER

        Пример

        1     esr(config-snmp-user)# privacy algorithm des
         

        privacy key

        Данная команда устанавливает пароль для шифрования передаваемых данных.

        Использование отрицательной формы команды (no) удаляет пароль.

        Синтаксис

        privacy key ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }
        no privacy key

        Параметры

        <CLEAR-TEXT> – пароль, задаётся строкой от 8 до 16 символов;

        <ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...).

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-USER

        Пример

        1     esr(config-snmp-user)# privacy key ascii-text 123456789
        2     esr(config-snmp-user)# privacy key ascii-text encrypted CDE65039E5591FA3F1
         

        rmon collection statistics

        Данная команда включается сохранение RMON-статистики для физического интерфейса.

        Использование отрицательной формы команды (no) отключается сохранение RMON-статистики для физического интерфейса.

        Синтаксис

        rmon collection statistics <INDEX> owner <OWNER>
        no rmon collection statistics

        Параметры

        <INDEX> – RMON-интекс данного интерфейса;

        <OWNER> – текстовое поле длинной [1..127] символов описывающее владельца создавшего данный процесс.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG-GI

        CONFIG-TE

        Пример

        1     esr(config-if)# rmon collection statistics 17 owner admin
         

        snmp-server

        Данной командой включается SNMP-сервер как в глобальной таблице маршрутизации так и во всех созданных VRF.

        Использование отрицательной формы команды (no) выключает SNMP-сервер.

        Синтаксис

        [no] snmp-server

        Параметры

        Команда не содержит параметров.

        Значение по умолчанию

        Выключен.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG

        Пример

        esr(config)# snmp-server
         

        snmp-server community

        Данной командой определяется сообщество для доступа по протоколу SNMP.

        Использование отрицательной формы команды (no) удаляет настройки сообщества.

        Синтаксис

        [no] snmp-server community <COMMUNITY> [ <TYPE> ] [ { <ADDR> | <IPV6-ADDR> } ] [client-list <OBJ-GROUP-NETWORK-NAME> ] [ <VERSION> ] [ view <VIEW-NAME> ] [ vrf <VRF> ]

        Параметры

        <COMMUNITY> – сообщество для доступа по протоколу SNMP, задается строкой длинной [1..128] символа;

        <TYPE> – уровень доступа:

        • ro – доступ только для чтения;
        • rw – доступ для чтения и записи.

        <ADDR> – IP-адрес клиента, которому предоставлен доступ, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

        <IPV6-ADDR> – IPv6-адрес клиента, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

        <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, от которых обрабатываются snmp-запросы, задаётся строкой до 31 символа.

        <VERSION> – версия snmp, поддерживаемая данным community, принимает значения v1 или v2c.

        <VIEW-NAME> – имя SNMP view профиля, на основании которого обеспечивается доступ к OID.

        <VRF> – имя экземпляра VRF, из которого будет разрешен доступ, задается строкой до 31 символа.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server community public rw
         

        snmp-server contact

        Данной командой устанавливается значение переменной SNMP, содержащей контактную информацию (по умолчанию не определена). Для удобства в параметрах можно указать ответственного за данное оборудование, например, его фамилию.

        Использование отрицательной формы команды (no) удаляет значение переменной SNMP, содержащей контактную информацию.

        Синтаксис

        [no] snmp-server contact <CONTACT>

        Параметры

        <CONTACT> – контактная информация, задаётся строкой до 255 символов.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server contact ivanov_ivan
         

        snmp-server dscp

        Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов SNMP-сервера.

        Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

        Синтаксис

        snmp-server dscp <DSCP>
        no snmp-server dscp

        Параметры

        <DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

        Значение по умолчанию

        61

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server dscp 40
         

        snmp-server enable traps

        Данная команда разрешает отправку всех типов SNMP-уведомлений.

        Использование отрицательной формы команды (no) отменяет разрешение отправки всех типов SNMP-уведомлений.

        Синтаксис

        [no] snmp-server enable traps

        Параметры

        Отсутствуют.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server enable traps
         

        snmp-server enable traps config

        Данная команда разрешает отправку SNMP-уведомлений об операциях с конфигурацией.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps config [ <ACT> ]

        Параметры

        <ACT> – трапы фактов изменения конфигурации:

        • commit – применение изменения конфигурации;
        • confirm – подтверждение изменения конфигурации.

        Без указания ключа <ACT> – активируется отправка всех трапов данной группы.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server enable traps config commit
         

        snmp-server enable traps entity

        Данная команда разрешает отправку SNMP-уведомлений об операциях с running-config.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps entity [ <ENT> ]

        Параметры

        <ENT> – типы фильтров параметров окружения:

        • config-change – информация о операциях с running-config.

        Без указания ключа <ENT> – активируется отправка всех трапов данной группы.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server enable traps entity
         

        snmp-server enable traps entity-sensor

        Данная команда разрешает отправку SNMP-уведомлений об изменении параметров окружения.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps entity-sensor [ <ENT> ]

        Параметры

        <ENT> – типы фильтров параметров окружения:

        • threshold – информация о срабатывании пересечения пороговых значений.

        Без указания ключа <ENT> – активируется отправка всех трапов данной группы.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server enable traps entity-sensor
         

        snmp-server enable traps environment

        Данная команда разрешает отправку SNMP-уведомлений об изменении параметров окружения.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps environment [ <ENV> ]

        Параметры

        <ENV> – типы фильтров параметров окружения:

        • pwrin – отказ БП;
        • pwrin-insert – БП установлен;
        • fan – отказ вентилятора;
        • fan-speed-changed – изменение скорости вентиляторов;
        • fan-speed-high – скорость вращения вентиляторов превысила максимальный порог;
        • memory-flash-low – свободный объем NAND меньше заданного порога;
        • memory-flash-critical-low – свободный объем NAND меньше заданного критического порога;
        • memory-ram-low – свободный объем RAM меньше заданного порога;
        • memory-ram-critical-low– свободный объем RAM меньше заданного критического порога;
        • cpu-load – высокая нагрузка ЦПУ;
        • cpu-overheat-temp – температура CPU превысила заданный максимальный порог;
        • cpu-critical-temp – температура CPU превысила заданный критический порог;
        • cpu-supercooling-temp – температура CPU упала ниже заданного минимального порога;
        • switch-overheat-temp – температура коммутатора превысила заданный максимальный порог;
        • switch-supercooling-temp – температура коммутатора упала ниже заданного минимального порога;
        • board-overheat-temp – перегрев платы;
        • board-supercooling-temp – переохлаждение платы;
        • sfp-overheat-temp – перегрев sfp-модуля;
        • sfp-supercooling-temp – переохлаждение sfp-модуля.

        Без указания ключа <ENV> – активируется отправка всех трапов данной группы.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server enable traps enviroment pwrin
         

        snmp-server enable traps envmоn

        Данная команда разрешает отправку SNMP-уведомлений об изменении параметров окружения.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps envmon [ <ENV> ]

        Параметры

        <ENV> – типы фильтров параметров окружения:

        • fan – информация о работе блоков вентиляторов;
        • shutdown – информация о отключении маршрутизатора;
        • supply – информация о работе блоков питания;
        • temperature информация о работе температурных датчиков.

        Без указания ключа <ENV> – активируется отправка всех трапов данной группы.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        esr(config)# snmp-server enable traps envmon fun
         

        snmp-server enable traps files-operations

        Данная команда разрешает отправку SNMP-уведомлений об операциях с файлами.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps files-operations [ <ACT> ]

        Параметры

        <ACT> – типы фильтров параметров операций с файлами:

        • successful – успешно;
        • failed – неудачно;
        • canceled – отменено;

        canceled – отменено.

        Без указания ключа <ACT> – активируется отправка всех трапов данной группы.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server enable traps files-operations canceled
         

        snmp-server enable traps flash

        Данная команда разрешает отправку SNMP-уведомлений об операциях с внешними flash-накопителями.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps flash [ <ACT> ]

        Параметры

        <ACT> – типы фильтров параметров операций с файлами:

        • insertion – подключение flash-накопителя;
        • removal – удаление flash-накопителя.

        Без указания ключа <ACT> – активируется отправка всех трапов данной группы.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server enable traps flash removal
         

        snmp-server enable traps interfaces

        Данная команда разрешает отправку SNMP-уведомлений о изменении состояния интерфейсов.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps interfaces [ <ACT> ]

        Параметры

        <ACT> – типы фильтров параметров окружения:

        • rx-utilization-high – поток входящих данных превышает порог;
        • tx-utilization-high – поток исходящих данный превышает порог;
        • number-high – превышение количества IP-интерфейсов;

        Без указания ключа <ACT> – активируется отправка всех трапов данной группы.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server enable traps interfaces rx-utilization-high
         

        snmp-server enable traps ports

        Данная команда разрешает отправку SNMP-уведомлений о появлении ошибок на интерфейсах чипа коммутации.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps ports [ <TYPE> ]

        Параметры

        <TYPE> – типы фильтров состояние порта:

        • port-counters-errors – ошибки на интерфейсах чипа коммутации.

        Без указания ключа <TYPE> – активируется отправка всех трапов данной группы.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        esr(config)# snmp-server enable traps ports
         

        snmp-server enable traps screens

        Данная команда разрешает отправку SNMP-уведомлений о cрабатывании защиты от определенного вида DoS атак.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps screens [ <SCREEN> ]

        Параметры

        <SCREEN> – типы фильтров защиты от DoS атак:

        • dest-limit – ограничение количества одновременных сессий на основании адреса назначения;
        • source-limit – ограничение количества одновременных сессий на основании адреса источника;
        • icmp-threshold – защита от ICMP flood атак;
        • udp-threshold – защита от UDP flood атак;
        • syn-flood – защита от SYN flood атак;
        • land – защита от land атак;
        • winnuke – защита от winnuke атак;
        • icmp-frag – блокировка фрагментированных ICMP-пакетов;
        • syn-flag – блокировка фрагментированных TCP-пакетов, с флагом SYN;
        • unknown-proto – блокировка пакетов, с ID протокола в заголовке IP равном 137 и более;
        • ip-frag – блокировка фрагментированных пакетов;
        • port-scan – защита от port scan атак;
        • ip-sweep – защиту от IP-sweep атак;
        • syn-fin – блокировка TCP-пакетов, с установленными флагами SYN и FIN;
        • fin-no-ack – блокировка TCP-пакетов с установленным флагом FIN и не установленным флагом ACK;
        • no-flag – блокировка TCP-пакетов, с нулевым полем flags;
        • spoofing – защита от IP spoofing атак;
        • reserved – блокировка всех ICMP-пакетов 2 и 7 типов (reserved);
        • quench – блокировка всех ICMP-пакетов 4 типа (source quench);
        • echo-request – блокировка всех ICMP пакетов 8 типа (echo-request);
        • time-exceeded – блокировка всех ICMP-пакетов 11 типа (time exceeded);
        • unreachable – блокировка всех ICMP-пакетов 3 типа (destination-unreachable);
        • icmp-large – блокировка ICMP-пакетов большого объема;
        • tcp-all-flags – блокировка tcp-пакетов с флагами;
        • udp-frag – блокировка udp-пакетов с флагами.

        Без указания ключа <LINK> – активируется отправка всех трапов данной группы.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        esr(config)# snmp-server enable traps screens reserved
         

        snmp-server enable traps snmp

        Данная команда разрешает отправку SNMP-уведомлений об изменении параметров окружения.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps snmp [ <ACT> ]

        Параметры

        <ACT> – типы фильтров параметров окружения:

        • authentication – уведомления о snmp-запросах на маршрутизатор с неверными community или snmpv3-паролем;
        • coldstart – уведомления о перезапуске snmp-сервера на маршрутизаторе;
        • linkdown – информация о изменении состояния link в down;
        • linkup – информация о изменении состояния link в up.

        Без указания ключа <ACT> – активируется отправка всех трапов данной группы.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server enable traps snmp linkup
         

        snmp-server enable traps syslog

        Данная команда разрешает отправку SNMP-уведомлений с syslog-сообщениями.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps syslog

        Параметры

        Отсутствуют.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server enable traps syslog
         

        snmp-server enable traps wifi

        Данная команда разрешает отправку SNMP-уведомлений с сообщениями о работе wifi-контроллера.

        Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

        Синтаксис

        [no] snmp-server enable traps wifi [ <NAME> ]
        Параметры

        <NAME> – типы трапа о туннелях softgre:

        • wifi-tunnels-number-in-bridge-high – включение трапов о превышении количества sub-gre-тунелей включенных в bridge
        • wifi-tunnels-operation– включение трапов о результате snmp операций с туннелями softgre.

        Без указания ключа <NAME> – активируется отправка всех трапов данной группы.

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        esr(config)# snmp-server enable traps syslog
         

        snmp-server host

        Данной командой включается передача SNMP-уведомлений на указанный IP-адрес и осуществляется переход в режим настройки SNMP-уведомлений.

        Использование отрицательной формы команды (no) отключает передачу уведомлений на указанный коллектор SNMP-уведомлений.

        Синтаксис

        [no] snmp-server host { <ADDR> | <IPV6-ADDR> } [vrf <VRF>]

        Параметры

        <ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

        <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

        <VRF> – имя экземпляра VRF, в котором находится коллектор SNMP-уведомлений, задается строкой до 31 символа.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp host 192.168.2.2
         

        snmp-server location

        Данной командой устанавливается значение переменной SNMP, содержащей информацию о расположении оборудования (по умолчанию не определено). Для удобства в параметрах можно указать город, улицу, район, номер комнаты и т.п.

        Использование отрицательной формы команды (no) удаляет значение переменной, содержащей информацию о расположении оборудования.

        Синтаксис

        [no] snmp-server location <LOCATION>

        Параметры

        <LOCATION> – информацию о расположении оборудования, задаётся строкой до 255 символов.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server location duglasa_adamsa_42
         

        snmp-server system-shutdown

        Данной командой разрешается перезагрузка маршрутизатора при помощи snmp-сообщений.

        Использование отрицательной формы команды (no) запрещает перезагрузку маршрутизатора при помощи SNMP-сообщений.

        Синтаксис

        [no] snmp-server system-shutdown

        Параметры

        Команда не содержит параметров.

        Значение по умолчанию

        Отключено.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server system-shutdown
         

        Данной командой устанавливается режим отправки SNMP-trap.

        Использование отрицательной формы команды (no) устанавливает режим по умолчанию.

        Синтаксис

        snmp-server trap link <MODE>
        no snmp-server host

        Параметры

        <MODE> – режим отправки SNMP-trap. Принимает значения:

        • ietf;
        • cisco.

        Значение по умолчанию

        ietf

        Необходимый уровень привилегий

        10

        Командный режим

        CONFIG

        Пример

        1      esr(config)# snmp-server trap link cisco
         

        snmp-server user

        Данной командой создается SNMPv3-пользователь.

        Использование отрицательной формы команды (no) удаляет SNMPv3-пользователя.

        Синтаксис

        [no] snmp-server user <NAME>

        Параметры

        <NAME> – имя пользователя, задаётся строкой от 1 до 128 символов.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG

        Пример

        1     esr(config)# snmp-server user admin
        1     esr(config-snmp-user)#
         

        snmp-server view

        Данной командой создается профиль snmp view, позволяющий разрешать или запрещать доступ к тем или иным OID для community (SNMPv2) и user (SNMPv3).

        Использование отрицательной формы команды (no) удаляет профиль snmp view.

        Синтаксис

        [no] snmp-server view <VIEW-NAME>

        Параметры

        <VIEW-NAME> – имя профиля SNMP view, задаётся строкой до 31 символа.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG

        Пример

        esr(config)# snmp-server view user_access
        esr(config-snmp-view)#
         

        source-address

        Данной командой определяется IP-адрес для отправки уведомлений на удаленный сервер.

        Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

        Синтаксис

        source-address { <ADDR> | <IPV6-ADDR> }
        no source-address

        Параметры

        <ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

        <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

        Значение по умолчанию

        IPv4/IPv6 – адрес интерфейса ближайшего к удаленному SNMP-серверу.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-HOST

        Пример

        1     esr(config-snmp-host)# source-address 192.168.22.17
         

        source-interface

        Данной командой определяется интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться для отправки уведомлений на удаленный сервер.

        Использование отрицательной формы команды (no) удаляет указанный интерфейс или туннель.

        Синтаксис

        source-interface { <IF> | <TUN> }
        no source-interface

        Параметры

        <IF> – имя интерфейса устройства.

        <TUN> – имя туннеля устройства.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-HOST

        Пример

        1     esr(config-snmp-host)# source-interface gigabitethernet 1/0/1
         

        view

        Данной командой устанавливается профиль snmp view, позволяющий разрешать или запрещать доступ к тем или иным OID для SNMPv3 user.

        Использование отрицательной формы команды (no) удаляет профиль snmp view.

        Синтаксис

        [no] view <VIEW-NAME>

        Параметры

        <VIEW-NAME> – имя SNMP view профиля, на основании которого обеспечивается доступ к OID, задается строкой до 31 символа.

        Необходимый уровень привилегий

        15

        Командный режим

        CONFIG-SNMP-USER

        Пример

        1     esr(config-snmp-user)# view user_view

        Источник:
        docs.eltex-co.ru

        [ESR] Пример настройки L2TP+IPsec клиент сервер на ESR

        Настройка L2TP сервера (приемной стороны)

         Для начала нужно создать объекты стандартных портов для L2TP и IKE.

        object-group service L2TP

          port-range 1701

        exit

        object-group service IKE

          port-range 500

        exit

         

        Создать правила в файрволле, разрешающие обращения из внешней сети к маршрутизатору по стандартным портам L2TP и IKE и запретить все остальные

        security zone-pair untrusted self

          rule 1

            action permit

            match protocol udp

            match destination-port L2TP

            enable

          exit

          rule 2

            action permit

            match protocol udp

            match destination-port IKE

            enable

          exit

          rule 3

            action deny

            enable

          exit

        exit

         

        Настроить аплинк маршрутизатора:

        bridge 2

          ip address X.X.X.X/N   , где X.X.X.X/N - статический белый IP и подсеть, полученная от провайдера

          ip tcp adjust-mss 1400   - при создании туннеля, желательно уменьшить mtu на порту

        exit

         

        ###___Альтернативный способ

        interface gigabitethernet 1/0/1

        switchport access vlan 1

        mode routerport

          security-zone untrusted

          ip address X.X.X.X/N   , где X.X.X.X/N - статический белый IP и подсеть, полученная от провайдера

          ip tcp adjust-mss 1400   - при создании туннеля, желательно уменьшить mtu на порту

        exit

        ###___

         

        Создать IPsec профиль

        security ipsec proposal test

        exit

         

        Создать IPsec политику

        security ipsec policy test

          proposal test

        exit

         

        Теперь нужно настроить сервер для подключений L2TP-клиентов

         

        * Remote Access IPsec VPN – сценарий организации временных VPN-подключений, в котором

        сервер IPsec VPN находится в режиме ожидания входящих подключений, а клиенты осуществляют

        временные подключения к серверу для получения доступа к сетевым ресурсам.

         

        remote-access l2tp L2TP

          mtu 1400

          authentication mode local    <способ работы сервера по локальной базе, т.е. без использования radius-сервера>

          local-address ip-address 10.0.0.1    <серый IP адрес, который будет принадлежать этому ESR>

          remote-address address-range 10.0.0.2-10.0.0.10      <диапазон адресов, которые будут присваиваться маршрутизаторам, на другом конце туннелей>

          outside-address ip-address   X.X.X.X  <IP-адрес, по которому будет доступен маршрутизатор>

          security-zone trusted

          ipsec authentication method pre-shared-key  <метод аутентификации для ipsec, в данном примере по паролю>

          ipsec authentication pre-shared-key ascii-text test    <пароль>

          Не выходя из настроек, создадим локальную базу пользователей

            username test1    <логин для локального пользователя>

            password ascii-text test1    <пароль для одного из туннелей>

            enable

            remote network 192.168.1.0/24    <подсеть, которая будет находиться за туннелем на удаленной стороне>

          exit

        enable

        exit

         

        *дальше можно создать еще нескольких пользователей по аналогии

         

          *Все пароли при выгрузке конфигурации будут в зашифрованном виде. Восстановить их в первоначальный крайне затруднительно, но строки конфигурации можно копировать в другие маршрутизаторы ESR и там они будут корректно интерпретироваться.

          * Можно добавлять несколько локальных пользователей аналогичным способом

        exit

         

        Настройка L2TP-клиента (удаленной стороны)

         

        Для начала нужно настроить соединение с вышестоящим оборудованием. Если вы включаете

        Настроить аплинк маршрутизатора

        interface gigabitethernet 1/0/1

          description "UPLINLK"

          security-zone untrusted

          ip address X.X.X.X/N   , где X.X.X.X/N - статический IP и подсеть к вышестоящему устройству

          ip tcp adjust-mss 1400   - при создании туннеля, желательно уменьшить mtu на порту

        exit

         

        Настроить клиентскую часть l2tp клиента

        tunnel l2tp 1

          security-zone trusted

          mtu 1400

          username test1 password ascii-text test1   - где test1 – это логин и пароль (необязательно одинаковые) для l2tp подключения. Они должны совпадать в теми, которые настраиваете на серверной части

          remote address X.X.X.X    - где <X.X.X.X – IP-адрес сервера, к которому будет происходить подключение

          ipsec authentication method pre-shared-key

          ipsec authentication pre-shared-key ascii-text test   <пароль>   - пароль для IPsec подключения

          enable

        exit

         

        ###   Если в ходе настройки возникли проблемы проверьте наличие команд enable во всех местах как в примере, разрешен ли порт 1701 в фаерволе и совпадают ли логины/пароли для подключения.

        Можно пользоваться мониторингом портов, через которые проходит подключение для анализа проблем при помощи команды:

        monitor interface gi1/0/1

        Источник:
        docs.eltex-co.ru

        [ESR] Анализ трафика в CLI
        В маршрутизаторах серии ESR реализована возможность анализировать трафик на интерфейсах из CLI. Сниффер запускается командой monitor.

        esr# monitor gigabitethernet 1/0/1

        Для удобства использования организована возможность фильтрации вывода, например:

        esr# monitor gigabitethernet 1/0/1 ?
        destination-address Filter by destination IP address
        detailed Detailed output
        packets Count packets
        protocol Choose protocol type
        source-address Filter by source IP address
        <cr>

        esr# monitor gigabitethernet 1/0/1 protocol ?
        0-255 Filter by IP protocol number
        RDP Filter by RDP protocol
        ah Filter by AH protocol
        arp Filter by ARP protocol
        eigrp Filter by EIGRP protocol
        esp Filter by ESP protocol
        gre Filter by GRE protocol
        icmp Filter by ICMP protocol
        icmp6 Filter by ICMP6 protocol
        igmp Filter by IGMP protocol
        igrp Filter by IGRP protocol
        ipip Filter by IPIP protocol
        l2tp Filter by L2TP protocol
        ospf Filter by OSPF protocol
        pim Filter by PIM protocol
        tcp Filter by TCP protocol
        udp Filter by UDP protocol
        vrrp Filter by VRRP protocol

        Запись дампов трафика в файл в текущих версиях ПО невозможна.

        Источник:
        docs.eltex-co.ru

        [ESR] Запись дампа на интерфейсах маршрутизатора
        При диагностике проблем бывает необходимо записать дамп пакетов на одном или нескольких интерфейсах маршрутизатора для последующего анализа в wireshark. Средствами CLI маршрутизатора ESR этого сделать невозможно. Но можно сделать в linux-shell. Для этого необходимо:
        1. Задать пароль и активировать пользователя techsupport на маршрутизаторе

        Configure
             username techsupport
                  password <Пароль пользователя techsupport>
             exit
             tech-support login enable
             end
        commit
        confirm

        1. Подключиться к маршрутизатору esr по ssh с использованием логина techsupport и ранее заданного пароля.

        2. При помощи команды "ip a" оределить системное наименование интерфейсов, на которых необходимо захватывать пакеты

        techsupport@esr:~$ ip a
        1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
        valid_lft forever preferred_lft forever
        inet6 ::1/128 scope host
        valid_lft forever preferred_lft forever
        2: dummy0: <BROADCAST,NOARP> mtu 1500 qdisc noop state DOWN group default qlen 1000
        link/ether b6:c0:48:6f:0e:6d brd ff:ff:ff:ff:ff:ff
        3: eth0: <BROADCAST,MULTICAST> mtu 1518 qdisc noop state DOWN group default qlen 1000
        link/ether a8:f9:4b:ab:62:68 brd ff:ff:ff:ff:ff:ff
        4: eth1: <BROADCAST,MULTICAST> mtu 1514 qdisc noop state DOWN group default qlen 1000
        link/ether a8:f9:4b:ab:62:68 brd ff:ff:ff:ff:ff:ff
        5: eth2: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1514 qdisc pfifo_fast state UP group default q0
        link/ether a8:f9:4b:ab:62:68 brd ff:ff:ff:ff:ff:ff
        6: eth3: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1514 qdisc pfifo_fast state UP group default q0
        link/ether a8:f9:4b:ab:62:68 brd ff:ff:ff:ff:ff:ff
        7: gi1_1@eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue switchid 00000000 state LOW0
        link/ether a8:f9:4b:ab:62:69 brd ff:ff:ff:ff:ff:ff
        inet 192.168.115.8/20 brd 192.168.127.255 scope global gi1_1
        valid_lft forever preferred_lft forever
        8: gi1_2@eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue switchid 00000000 state LOW0
        link/ether a8:f9:4b:ab:62:6a brd ff:ff:ff:ff:ff:ff
        9: gi1_3@eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue switchid 00000000 state LOW0
        link/ether a8:f9:4b:ab:62:6b brd ff:ff:ff:ff:ff:ff
        10: gi1_4@eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue switchid 00000000 state LO0
        link/ether a8:f9:4b:ab:62:6c brd ff:ff:ff:ff:ff:ff
        11: gi1_5@eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue switchid 00000000 state LO0
        link/ether a8:f9:4b:ab:62:6d brd ff:ff:ff:ff:ff:ff
        12: gi1_6@eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue switchid 00000000 state LO0
        link/ether a8:f9:4b:ab:62:6e brd ff:ff:ff:ff:ff:ff
        13: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1
        link/ipip 0.0.0.0 brd 0.0.0.0
        14: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN group default qlen 1
        link/gre 0.0.0.0 brd 0.0.0.0
        15: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN group default qlen 1000
        link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
        16: ip_vti0@NONE: <NOARP> mtu 1364 qdisc noop state DOWN group default qlen 1
        link/ipip 0.0.0.0 brd 0.0.0.0
        17: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1
        link/sit 0.0.0.0 brd 0.0.0.0
        18: ip6tnl0@NONE: <NOARP> mtu 1452 qdisc noop state DOWN group default qlen 1
        link/tunnel6 :: brd ::
        19: ip6gre0@NONE: <NOARP> mtu 1448 qdisc noop state DOWN group default qlen 1
        link/gre6 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 brd 00:00:00:00:00:00:00:00:00:00:00:000
        20: gi1_2.64@gi1_2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state LOWERLAYERDOWN g0
        link/ether a8:f9:4b:ab:62:6a brd ff:ff:ff:ff:ff:ff
        inet 172.16.16.1/30 brd 172.16.16.3 scope global gi1_2.64
        valid_lft forever preferred_lft forever
        21: vlan: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 100
        link/ether 5e:2c:79:05:e5:a4 brd ff:ff:ff:ff:ff:ff
        22: dvlan: <BROADCAST,NOARP> mtu 1500 qdisc noop master vlan state DOWN group default qlen 1000
        link/ether 5e:2c:79:05:e5:a4 brd ff:ff:ff:ff:ff:ff
        23: vlan.1@vlan: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state LOWERLAYERDOWN grou0
        link/ether 5e:2c:79:05:e5:a4 brd ff:ff:ff:ff:ff:ff
        techsupport@esr:~$

        • Для физических интерфейсов, системное имя интерфейса выглядит как gi1_<номер интерфейса>
        • Для саб-интерфейсов, системное имя интерфейса выглядит как gi1_<номер интерфейса>.<номер vlan в 16-тиричной форме>
        • Для bridge-интерфейсов, системное имя интерфейса выглядит как br<номер bridge в CLI>

         

        1. Запустить захват пакетов на необходимых интерфейсах в файл:

        techsupport@esr:~$ sudo tcpdump -i <системное имя интерфейса1> <ключи для фильтрации пакетов1> -w /tmp/<имя файла для дампа1> -C 1M &
        techsupport@esr:~$ sudo tcpdump -i <системное имя интерфейса2> <ключи для фильтрации пакетов2> -w /tmp/<имя файла для дампа2> -C 1M &

        Если/когда система потребует ввода пароля - необходимо ввести пароль пользователя techsupport

        Дамп можно записывать как на одном так и на нескольких интерфейсах. Всё зависит от текущей проблемы и необходимости.

        Нельзя пренебрегать ключами для фильтрации пакетов т.к. размер файла может оказаться слишком большим и он займет всю память маршрутизатора.

        Ключ -C 1M ограничивает размер файла дампа в 1 Мегабайт. Можно использовать другое ограничение или не использовать его вовсе, но следить, чтобы файлы не заняли много места в памяти маршрутизатора

         

        1. Сгенерировать необходимые пакеты или дождаться проявления той или иной проблемы

        Это может быть попытка регистрации телефона на SBC или SoftSwitch, совершение телефонного звонка, или пакеты любого другого протокола маршрутизируемые или обрабатываемые маршрутизатором ESR.

         

        1. Остановить захват пакетов в techsupport-ssh-сессии

        techsupport@esr:~$ sudo pkill tcpdump

         

        1. Скопировать с маршрутизатора собранные дампы.

             7.ver1. по протоколу scp

        Для ли linux можно использовать команды:

        scp techsupport@<ip-маршрутизатора>:/tmp/<имя файла> /home/<путь для копирования>

        Для windows - можно использовать scp-клиент отдельный или интегрированный в другие приложения.

        1. ver2. по протоколу tftp

        При наличии в сети tftp-сервера, можно с маршрутизатора загрузить на него полученные дампы при помощи команды:

        techsupport@esr:~$ tftp <ip-адрес tftp-сервера> -pl /tmp/<имя файла>

         

        1. Удалить файлы дампов с маршрутизатора

        techsupport@esr:~$ sudo rm /tmp/<имя файла для дампа1>
        techsupport@esr:~$ sudo rm /tmp/<имя файла для дампа2>

        Скопировав в п. 7 файлы можно более удобно обрабатывать на ПК при помощи утилиты wireshark.

        Источник:
        docs.eltex-co.ru

        [ESR] Процесс диагностики при траблшутинге IPSec(Route-based, Policy-based, Remote Access)
        1. При выявлении проблем в работе или настройке IPSec(версия ПО 1.14) первоначально необходимо включить режим debug:

        ESR# debug
        ESR(debug)# debug ipsec network 2
        ESR(debug)# debug ipsec encoding 1
        ESR(debug)# debug ipsec ike 2
        ESR(debug)# debug ipsec ikemanager 2
        ESR(debug)# debug ipsec configuration 1

         

        1. Задать пароль и активировать пользователя techsupport на маршрутизаторе

        Configure
             username techsupport
                  password <Пароль пользователя techsupport>
             exit
             tech-support login enable
             end
        commit
        confirm

        1. Подключиться к маршрутизатору ESR по ssh/console(RS-232) с использованием логина techsupport и ранее заданного пароля.

         

        1. Сбор информации(лога) для анализа.

        - лог процесса IPSec:

        techsupport@esr:~$ sudo cat /var/log/syslog/techsupport/ipsec

        - конфигурационный файл IPSec:

        techsupport@esr:~$ sudo cat /etc/ipsec.conf

        - статус IPSec:

        techsupport@esr:~$ sudo ipsec statusall

         

        1. если собранный лог достаточно велик и копирование с экрана подключения построчно неудобно, то собранный лог cat /var/log/syslog/techsupport/ipsec возможно скопировать следующим образом:
        2. a) по протоколу scp

        techsupport@esr:~$ sudo cp /var/log/syslog/techsupport/ipsec /tmp/ipsec - копирование файла ipsec из раздела /var в раздел /tmp на маршрутизаторе ESR

        копирование на ПК(Linux) файла по протоколу scp:

        scp techsupport@<ip-маршрутизатора>:/tmp/<имя файла> /home/<путь для копирования>

        Для windows - можно использовать scp-клиент отдельный или интегрированный в другие приложения.

        techsupport@esr:~$ sudo rm /tmp/ipsec - удаление файла ipsec на маршрутизаторе ESR

        б) через CLI маршрутизатора:

        techsupport@esr:~$ sudo cp /var/log/syslog/techsupport/ipsec /mnt/data/data/ipsec_log - копирование файла ipsec из раздела /var в раздел /mnt с именем ipsec_log
        techsupport@esr:~$ logout - переход в CLI маршрутизатора

        esr# dir flash:data/

        Name                                                       Type         Size          
        --------------------------------------------------------   ----------   --------   -- 
        ipsec_log                                                  File         184.22     KB

        далее копирование файла ipsec_log доступными средствами, например usb://usb_name:/FILE или tftp://HOST[%interface(for ipv6 link-local only)][PORT*]:/FILE:

         

        esr# show storage-devices usb
        Name                             Filesystem   Total, MB    Used, MB     Free, MB   
        ------------------------------   ----------   ----------   ----------   ----------
        <name>                             vfat         13791.52     1827.40      11964.12   
        esr# copy flash:data/ipsec_log usb://<name>:/ipsec_log
        |******************************************| 100% (230kB) Success!    
        esr# copy flash:data/ipsec_log tftp://<ipaddr>:/ipsec_log
        |******************************************| 100% (184kB) Success!

         

        удаление файла:

        esr# delete flash:data/
        esr# delete flash:data/ipsec_log
        |******************************************| 100% (0B) File deleted successfully.

        Источник:
        docs.eltex-co.ru

        [ESR] Primary и secondary IPv4 адреса на интерфейсех ESR
        Рассмотрим пример конфигурации нескольких IPv4 адресов на одном порту (возможно внести до 8-ми адресов):

        interface gigabitethernet 1/0/20
          ip firewall disable
          ip address 192.0.2.1/24
          ip address 192.0.2.254/24
          ip address 192.0.2.10/30
        exit

        Все IPv4 адреса, принадлежащие разным подсетям, будут являться primary. В нашем примере это 192.0.2.1 и 192.0.2.10.

        Второй и все последующие IPv4 адреса из подсети /24 - это secondary адреса, в примере - 192.0.2.254.

        Если на интерфейсе включить VRRP, без указания source ip, например:

        interface gigabitethernet 1/0/20
          ip firewall disable
          ip address 192.0.2.1/24
          ip address 192.0.2.254/24
          ip address 192.0.2.10/30
          vrrp id 100
          vrrp ip 192.0.2.2
          vrrp
        exit

        То в качестве адреса источника vrrp ip будет использоваться первый IPv4 адрес с интерфейса, проверим это, используя команду monitor (будем фильтровать по IP адресу назначения,т.к. для VRRP выделен адрес 224.0.0.18):

        esr-1000# monitor gigabitethernet 1/0/20 destination-address 224.0.0.18
        17:19:13.591043 00:00:5e:00:01:64 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 54: (tos 0xc0, ttl 255, id 18, offset 0, flags [none], proto VRRP (112), length 40)
        192.0.2.1 > 224.0.0.18: vrrp 192.0.2.1 > 224.0.0.18: VRRPv2, Advertisement, vrid 100, prio 100, authtype none, intvl 1s, length 20, addrs: 192.0.2.2
        17:19:14.592882 00:00:5e:00:01:64 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 54: (tos 0xc0, ttl 255, id 19, offset 0, flags [none], proto VRRP (112), length 40)
        192.0.2.1 > 224.0.0.18: vrrp 192.0.2.1 > 224.0.0.18: VRRPv2, Advertisement, vrid 100, prio 100, authtype none, intvl 1s, length 20, addrs: 192.0.2.2
        17:19:15.593250 00:00:5e:00:01:64 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 54: (tos 0xc0, ttl 255, id 20, offset 0, flags [none], proto VRRP (112), length 40)
        192.0.2.1 > 224.0.0.18: vrrp 192.0.2.1 > 224.0.0.18: VRRPv2, Advertisement, vrid 100, prio 100, authtype none, intvl 1s, length 20, addrs: 192.0.2.2

        3 packets captured
        3 packets received by filter
        0 packets dropped by kernel

        В качестве адреса источника используется первый primary адрес - 192.0.2.1, что справедливо и для всех остальных случаев: например выполнение команды ping, traceroute и т.д.

        Источник:
        docs.eltex-co.ru

        [ESR] Восстановление конфигурации на ESR с заранее подготовленного USB-носителя
        Введите расширенную команду отображения конфигурации на устройстве, конфигурацию которого требуется восстанавливать с USB-носителей

        esr-boot-usb# sh running-config extended

         

        #!/usr/bin/clash
        #19
        #1.12.0
        #05/11/2020
        #18:20:08
        hostname esr-boot-usb
        interface gigabitethernet 1/0/1
          ip address 192.168.0.1/24
        exit

         

        Полный вывод конфигурации (включая строки, начинающиеся с символа "#"), необходимо записать в файл с именем "running-config.conf" и скопировать в корень usb-носителя

         

        Раздел с данными usb-носителя должен иметь структуру файловой системы  fat32

         

        Восстановление конфигурации с USB

        Подключите USB-носитель к устройству

        Включите устройство

        Во время загрузки устройства перейдите в меню uboot набором слова "stop" по приглашению:

        Autobooting in 5 seconds, enter to command line available now
        stop
        u-boot>

        Очистите конфигурации и продолжите загрузку:

         

        Рабочая конфигурация на устройстве будет безвозвратно утеряна

         

        u-boot> clear_mtd_config
        Start clear... Done!
        u-boot> run bootcmd

        После загрузки устройство начнет работу с конфигурацией записанной на USB-носителе

        esr-boot-usb login: admin
        Password:
        Warning: you have uncommitted configuration changes.
        ********************************************
        *            Welcome to ESR-21             *
        ********************************************
        esr-boot-usb# sh running-config extended
        #!/usr/bin/clash
        #19
        #1.12.0
        #05/11/2020
        #18:20:08
        hostname esr-boot-usb

        interface gigabitethernet 1/0/1
          ip address 192.168.0.1/24
        exit

        Источник:
        docs.eltex-co.ru

        [ESR] Особенности применения изменений конфигурации на маршрутизаторах ESR
        На сервисных маршрутизаторах ESR хранится два конфигурационных файла:​
        1. Текущая конфигурация (running-config).​

        В соответствии с данной конфигурацией маршрутизатор функционирует в текущий момент времени.​

        running-config всегда сохраняется в энергонезависимую память.​

        • Для отображения текущей конфигурации используется команда:​

        esr# show running-config​

         

        ​2. Конфигурация кандидат (candidate-config).​

        В процессе конфигурирования маршрутизатора все вводимые настройки сначала попадают в candidate-config но не попадают в running-config.

        candidate-config сохраняется в энергонезависимую память после команды save.​

        • Для отображения конфигурации кандидата используется команда:​

        esr# show candidate-config​

        • Для отображения различий между running-config​ и candidate-config​ можно воспользоваться командой

        esr# show configuration changes

         

        Для активации изменений внесенных в candidate-config используется команда commit в привилегированном режиме.

        esr# commit

         

        После применения данной команды, содержимое candidate-config копируется в running-config и изменения конфигурации активируются.​

        Также, после применения изменений конфигурации (commit) запускается таймер подтверждения изменений (по умолчанию – 600 секунд).

        По истечении данного таймера running-config будет возвращен к предыдущему состоянию, т.е. подтвержденные изменения будут удалены из running-config но не будут удалены из candidate-config.​

         

        Для подтверждения примененных изменений используется команда confirm в привеллигированном режиме.

        esr# confirm

         

        После применения данной команды таймер подтверждения изменений останавливается и возврат к предыдущему состоянию running-config - невозможен.

         

        Для изменения таймера подтверждения относительно значения по умолчанию используется команда в режиме глобальной конфигурации:

        esr(config)# system config-confirm timeout 300

         

        В данном примере, 300 - это время в секундах после которого в отсутствии команды confirm, running-config будет возвращен к предыдущему состоянию.

         

        Неподтвержденные изменения (со ввода команды confirm) можно отменить не дожидаясь истечения таймера подтверждения выполнив команду restore в привилегированном режиме.

        esr# restore

         

        Для удаления изменений внесенных в candidate-config но не примененных в running-config используется команда rollback.

         

        esr# rollback

        После применения данной команды содержимое running-config копируется в candidate-config и все внесенные но не активные изменения конфигурации удаляются.​

        Источник:
        docs.eltex-co.ru

        [ESR] Применение новых правил обработки трафика в Firewall
        После внесения изменений в правилах обработки трафика, проходящего между зонами безопасности Firewall, новые параметры не отрабатывают для ранее активных сессий.

        Решение:

        Все изменения, внесенные в конфигурацию Firewall,  применимы только для новых сессий. На активные сессии новые параметры не повлияют.

        Рекомендуется очистить активные сессии, после применения изменений параметров Firewall, командой:

        esr# clear ip firewall session

        Источник:
        docs.eltex-co.ru

        [ESR] Проблема прохождения трафика при асимметричной маршрутизации
        В случае организации сети с ассиметричной маршрутизацией, Stateful Firewall будет запрещать "неправильный (ошибочный)" входящий трафик, не открывающий новое соединение и не принадлежащий никакому установленному соединению, из соображений безопасности.

        Например, если была нарушена очередность пакетов  установления TCP сессии: SYN → SYN/ACK → ACK. Первый TCP SYN будет пропущен, т.к. это сигнал к началу открытия TCP сессии.

        Если Firewall обнаруживает сразу TCP ACK пакеты - они будут удалены, т.к. ранее не было открыто TCP сессии TCP SYN пакетом.

         

        Разрешающее правило в Firewall, не решит поставленную задачу для подобных схем.

        Решить задачу можно, отключив Firewall на входном интерфейсе:

        esr(config-if-gi)# ip firewall disable

        Либо отключением механизма контроля порядка установления сессий:

        esr(config)# ip firewall sessions allow-unknown

        Изменения конфигурации вступают в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Источник:
        docs.eltex-co.ru

        [ESR] Режим работы L2-интерфейса General
        Данный режим поддерживается на сервисных маршрутизаторах следующих моделей ESR-1000/1200/1500/1511/1700

        После переводе интерфейса в L2-режим работы, интерфейс может работать только в режиме general.  Использование режимов trunk или access невозможно.

        Основное отличие режима general от trunk заключается в том, что есть возможность разрешить отправку кадров НЕСКОЛЬКИХ VLAN без vlan-тега.

        Для приёма  ethernet-кадров с определенными VLAN-тегами используется следующая команда:

         

        интерфейс gigabitethernet 1/0/1 и vlan 100, 101, 102, 103, 107 используются в качестве примера

        esr# configure
        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# mode switchport
        esr(config-if-gi)# switchport general allowed vlan add 100-103,107 tagged

         

        После применения вышеуказанной команды L2-интерфейс будет принимать ethernet-кадры с указанными VLAN-тегами и обрабатывать их на основе таблиц коммутации соответствующего VLAN. Отправляться Ethernet-кадры соответствующих VLAN'ов будут с VLAN-тегом.

        При необходимости, на L2-интерфейсе в режиме general можно настроить приём нетегированных Ethernet-кадров на основе таблицы коммутации VLAN отличного от VLAN'а по умолчанию.

         

        интерфейс gigabitethernet 1/0/1 и vlan 100, 101, 102, 103, 107 и 109 используются в качестве примера

        esr# configure
        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# mode switchport
        esr(config-if-gi)# switchport general allowed vlan add 100-103,107 tagged
        esr(config-if-gi)# switchport general pvid 109

         

        После применения команды "switchport general pvid" все нетегированные кадры поступающий на интерфейс будут обрабатываться на основании таблицы коммутации соответствующего VLAN.

        Команда "switchport general pvid" отвечает за обработку только поступающих Ethernet-кадров.

        После применения команды "switchport general pvid" кадры соответствующего VLAN не будут отправляться без тега через L2-интерфейс.

        Для разрешения отправки кадров какого либо VLAN без тега необходимо использовать отдельную команду:

         

        интерфейс gigabitethernet 1/0/1 и vlan 100, 101, 102, 103, 107 и 109 используются в качестве примера

        esr# configure
        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# mode switchport
        esr(config-if-gi)# switchport general allowed vlan add 100-103,107 tagged
        esr(config-if-gi)# switchport general pvid 109
        esr(config-if-gi)# switchport general allowed vlan add 109 untagged

         

        В качестве аргумента команды "switchport general allowed vlan untagged" может быть указан более одного идентификатора vlan.

        Источник:
        docs.eltex-co.ru

        [ESR] Фильтрации и распространение маршрутной информации в маршрутизаторах ESR
        Описание принципов работы протоколов динамической маршрутизации с маршрутной информацией:
        • принципы импорта маршрутной информации.
        • принципы фильтрации импортируемой маршрутной информации.
        • принципы экспорта маршрутной информации в IGP и EGP
        • принципы фильтрации экспортируемой маршрутной информации в IGP и EGP

         

        RIB (Routing Information Base) маршрутизатора – таблица, содержащая все маршруты, полученные из различных источников: настроены статически, полученные по протоколам динамической маршрутизации (OSPF, BGP, RIP) и directly connected. Из данной таблицы выбираются лучшие маршруты и импортируются в таблицу маршрутизации (FIB – forwarding information base).

        RIB ПМ (процесса маршрутизации) – виртуальная RIB, состоящая из маршрутов, принадлежащих данному процессу и маршрутов, импортированных различными механизмами (network, redistribute) из других виртуальных RIB (другого протокола или процесса маршрутизации) и из общей RIB (static route, directly connected).

        Протоколы маршрутизации делятся на две большие группы:

        • внешние (EGP), в которых маршрутная информация распространяется между автономными системами.
        • внутренние (IGP), в которых маршрутная информация распространяется внутри одной автономной системы.

                   

        IGP

        EGP

        iBGP

         

        OSPF

         

        RIP

        eBGP

        Импорт маршрутной информации 

        Под импортом маршрутной информации подразумевается процесс наполнения RIB ПМ различными механизмами.

        Для IGP и EGP по умолчанию импортируются все маршруты.

        Принципы импорта маршрутной информации.

        Механизмы наполнения RIB ПМ:

        • Маршруты процесса маршрутизации
        • Redistribute
        • Network

        Ни один из механизмов не является обязательным.

         

        Маршруты процесса маршрутизации

        Это маршруты, полученные от соседних маршрутизаторов и direct маршруты интерфейсов, на которых поднят процесс маршрутизации (последнее актуально для OSPF и RIP);

        По умолчанию импортируются все маршруты, полученные от соседей для IGP и EGP.

        Redistribute

        Механизм позволяет импортировать маршруты из других процессов маршрутизации, статические маршруты и direct connected маршруты целиком или выборочно с использованием механизма фильтрации route-map.

        Пример: esr(config-ospf)# redistribute bgp 100 – будут импортированы все маршруты, принадлежащие процессу BGP 100.

        Network

        Механизм позволяет импортировать конкретные маршруты. Чтобы маршрут был импортирован, он должен быть в RIB маршрутизатора.

        Пример: esr(config-ospf-area)# network 10.0.0.0/8

         

        Принципы фильтрации импортируемой маршрутной информации.

        Механизмы фильтрации импортируемой маршрутной информации:

        • Route-map (in)
        • Prefix-list (in)
        • Route-map (in) + Prefix-list (in)
        • Redistribute + route-map

        Ни один из механизмов не является обязательным.

        При установке одного или нескольких фильтров, все маршруты, которые не были разрешены этими фильтрами, будут запрещены.

        Route-map (in)

        Механизм позволяет фильтровать маршрутную информацию, получаемую от соседей. Будут импортированы только маршруты, удовлетворяющие правилам route-map. Маршрут, не подпадающий под правила route-map, будет запрещен. Если необходимо разрешить все маршруты, добавляется специальное правило (rule) с одной строчкой: action permit.

        Пример: esr(config-ospf)# route-map <RM_NAME> in

        Prefix-list (in)

        Механизм позволяет фильтровать маршрутную информацию, получаемую от соседей. Будут импортированы только маршруты, удовлетворяющие правилам prefix-list. Пустой prefix-list по умолчанию запрещает все маршруты.

        Пример: esr(config-ospf)# prefix-list <PL_NAME> in

        Route-map (in) + Prefix-list (in)

        Возможно совместное использование route-map и prefix-list для фильтрации маршрутной информации, получаемой от соседей. Для разрешения импорта маршрута средствами фильтров, он должен быть разрешен одним из них.

        Redistribute + route-map

        Если использовать redistribute совместно с route-map, то будут импортированы только маршруты из определенной RIB, удовлетворяющие правилам route-map.

        Пример: redistribute bgp 100 route-map <RM_NAME> – будут импортированы только маршруты из процесса BGP 100, удовлетворяющие правилам route-map <RM_NAME>.

         

        Экспорт маршрутной информации

         

        Под экспортом маршрутной информации подразумевается процесс отправки маршрутной информации, содержащейся в RIB ПМ, соседям.

        Для IGP и EGP реализована разная логика экспорта маршрутной информации в связи с характером доверия соседям (соседним маршрутизаторам):

        • Протоколы IGP подразумевают, что сеть принадлежит одной организации и все устройства, на которых работает IGP, находятся под управлением этой организации. Следовательно, есть доверие к соседним маршрутизаторам и по умолчанию все маршруты, содержащиеся в RIB ПМ, будут экспортированы им.
        • Протоколы EGP подразумевают, что соседние маршрутизаторы могут принадлежать другим организациям. Исходя из соображений безопасности, по умолчанию экспорт маршрутов будет запрещён.

         

        Принципы фильтрации экспортируемой маршрутной информации в IGP.

         

        Для протоколов OSPF и RIP фильтрация на экспорт маршрутов будет работать только для маршрутов, импортированных в RIB ПМ посредством механизмов network и redistribute, маршруты процесса маршрутизации (полученные от соседей) не подлежат фильтрации!

        Для протокола iBGP возможна фильтрации всех маршрутов из RIB ПМ.

        Механизмы фильтрации экспортируемой маршрутной информации:

        • Route-map (out)
        • Prefix-list (out)
        • Route-map (out) + Prefix-list (out)

        Ни один из механизмов не является обязательным.

        По умолчанию экспорт маршрутов из RIB ПМ будет разрешен.

        Route-map (out)

        Механизм позволяет фильтровать маршрутную информацию, отправляемую соседям: разрешать или запрещать экспорт маршрутов. Если маршрут не подпадает ни под одно из правил route-map, то route-map не производит действий и маршрут будет разрешен для экспорта согласно глобальному правилу экспорта всех маршрутов для IGP, описанному ранее. Если необходимо запретить все маршруты, добавляется специальное правило (rule) с одной строчкой: action deny.

        Пример: esr(config-ospf)# route-map <RM_NAME> out

        Prefix-list (out)

        Механизм позволяет фильтровать маршрутную информацию, отправляемую соседям: разрешать или запрещать экспорт маршрутов. Если маршрут не подпадает ни под одно из правил prefix-list, то prefix-list не производит действий и маршрут будет разрешен для экспорта согласно глобальному правилу экспорта всех маршрутов для IGP, описанному ранее.

        Пример: esr(config-ospf)# prefix-list <PL_NAME> out

        Route-map (out) + Prefix-list (out)

        Возможно совместное использование route-map и prefix-list для фильтрации экспортируемой маршрутной информации. Для запрета экспорта маршрута достаточно, чтобы он был запрещен одним из этих фильтров.

        Рисунок 1 – Алгоритм экспортного фильтра для IGP протоколов (OSPF, RIP, iBGP)

         

        Принципы фильтрации экспортируемой маршрутной информации в EGP.

         Механизмы фильтрации экспортируемой маршрутной информации:

        • Route-map (out)
        • Prefix-list (out)
        • Route-map (out) + Prefix-list (out)

        Ни один из механизмов не является обязательным.

        По умолчанию экспорт маршрутов будет запрещён.

        Route-map (out)

        Механизм позволяет фильтровать маршрутную информацию, отправляемую соседям: разрешать или запрещать экспорт маршрутов. Если маршрут не подпадает ни под одно из правил route-map, то route-map не производит действий и маршрут будет запрещен для экспорта согласно глобальному правилу запрета экспорта для EGP, описанному ранее. Если необходимо разрешить все маршруты, добавляется специальное правило (rule) с одной строчкой: action permit.

        Пример: esr(config-bgp-neighbor)# route-map <RM_NAME> out

        Prefix-list (out)

        Механизм позволяет фильтровать маршрутную информацию, отправляемую соседям: разрешать или запрещать экспорт маршрутов. Если маршрут не подпадает ни под одно из правил prefix-list, то prefix-list не производит действий и маршрут будет запрещен для экспорта согласно глобальному правилу экспорта всех маршрутов для EGP, описанному ранее.

        Пример: esr(config-bgp-neighbor)# prefix-list <PL_NAME> out

        Route-map (out) + Prefix-list (out)

        Возможно совместное использование route-map и prefix-list для фильтрации экспортируемой маршрутной информации. Для экспорта маршрута достаточно, чтобы он был разрешен одним из этих фильтров.

         

         Рисунок 2 – Алгоритм экспортного фильтра для EGP протоколов (BGP)

        Источник:
        docs.eltex-co.ru

        [ESR] BGP + Route-map
        Задача: Настроить BGP c AS 2500 на маршрутизаторе ESR и установить соседство с AS20;

        AS2500

        Задача:

        • Настроить BGP c AS 2500 на маршрутизаторе ESR и установить соседство с AS20;
        • Отфильтровать на R2 из принмаемого маршрута 198.51.100.0/24 сеть, префикс которой соответствует 28
        • Отфильтровать на R2 из принмаемого маршрута 203.0.113.0/24 сеть, префикс которой меньше или соответствует 30
        • Отфильтровать на R2 из принмаемого маршрута 203.0.100.0/20 сеть, префикс которой больше или соответствует 24
        • Задать каждой сети приоритет со значение local-preference 200

         

        !!! Важно: при использовании eBGP для анонса маршрутной информации  необходимо дать разрешающее правило с помощью route-map либо prefix-list, пример:

         

        route-map BGP_OUT
          rule 1
            action permit
          exit
        exit
        router bgp 1
          address-family ipv4
            neighbor 192.168.1.1
              remote-as 2
              route-map BGP_OUT out
              enable
            exit
            enable
          exit
        exit

         

        Решение:

        Настроим BGP на ESR:

         

            esr-200# configure
            esr-200(config)# router bgp 2500
            esr-200(config-bgp)# address-family ipv4
            esr-200(config-bgp-af)# neighbor 185.0.0.2
            esr-200(config-bgp-neighbor)# remote-as 20
            esr-200(config-bgp-neighbor)# update-source 185.0.0.1
            esr-200(config-bgp-neighbor)# enable
            esr-200(config-bgp-neighbor)# exit
            esr-200(config-bgp-af)# enable
            esr-200(config-bgp-af)# exit
            esr-200(config-bgp)# exit

           

         Далее создадим необходимые правила для фильтрации маршрутов:

         

            esr-200(config)# route-map in
            esr-200(config-route-map)# rule 10
            esr-200(config-route-map-rule)# match ip address 198.51.100.0/24 eq 28
            esr-200(config-route-map-rule)# action set local-preference 200
            esr-200(config-route-map-rule)# action permit
            esr-200(config-route-map-rule)# exit
            esr-200(config-route-map)#rule 20
            esr-200(config-route-map-rule)# match ip address 203.0.113.0/24 ge 30
            esr-200(config-route-map-rule)# action set local-preference 200
            esr-200(config-route-map-rule)# action permit
            esr-200(config-route-map-rule)# exit
            esr-200(config-route-map)#rule 30
            esr-200(config-route-map-rule)# match ip address 203.0.100.0/20 le 24
            esr-200(config-route-map-rule)# action set local-preference 200
            esr-200(config-route-map-rule)# action permit
            esr-200(config-route-map-rule)# exit
            esr-200(config-route-map-rule)# exit
            esr-200(config-route-map)# exit

         

        Теперь осталось прикрепить route-map к BGP:

         

            esr-200(config)# router bgp 2500
            esr-200(config-bgp)# address-family ipv4
            esr-200(config-bgp-af)# neighbor 185.0.0.2
            esr-200(config-bgp-neighbor)# route-map in in
            esr-200(config-bgp-neighbor)# end
            esr-200# commit
            esr-200# confirm

        Источник:
        docs.eltex-co.ru

        [ESR] Bidirectional Forwarding Detection (BFD) для OSFP и BGP
        Bidirectional Forwarding Detection protocol (BFD) — протокол, созданный для быстрого обнаружения неисправностей линков.

        Два устройства согласовывают и устанавливают BFD сессию, отправляют друг другу hello-сообщения, Если hello-сообщения перестают поступать от соседа, BFD-сессия разрывается и система оповещается о неполадках в коммуникациях.

        BFD может определить неисправность линка менее чем за 1 секунду (для маршрутизаторов Eltex ESR этот параметр можно регулировать в диапазоне от 200 до 65535 миллисекунд).

         

        В реализации ПО начиная с версии 1.4.0 включительно, поддержаны протоколы BGP и OSPF и статических маршрутов.

        В разработке находится реализация использования BFD для статических маршрутов.

         

        Настройка механизма BFD сводится к двум шагам:

        ШАГ 1. Настройка параметров BFD производится как в глобальном режиме, так и в режимах конфигурирования интерфейсов и туннелей (если параметры различаются по направлениям):

        # configure
        # configure-if-view
        # configure-tunnel-view
        [no] ip bfd min-rx-interval <TIME> - Минимальный интервал приёма для обнаружения ошибки
        [no] ip bfd min-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки
        [no] ip bfd idle-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки, когда сессия неактивна
        [no] ip bfd multiplier <MULTIPLIER> - Число пропущенных пакетов, после которого сессия будет объявлена неактивной
        [no] ip bfd passive - Не отправлять BFD-пакеты, пока не будет получен пакет от соседнего устройства

        MULTIPLIER := 5 .. 100
        TIME := время в миллисекундах 200 .. 65535

        Если пропустить этот шаг, то будут использоваться параметры по умолчанию:

        Minimum RX interval: 200 ms
        Minimum TX interval: 200 ms
        Idle TX interval: 1000 ms
        Multiplier: 5 packets
        Passive: No

        ШАГ 2. Активация протокола BFD.

        Для протокола BGP производится в режиме конфигурирования BGP соседа:

        # bgp-neighbor-view
        [no] bfd enable - Включение/Выключение BFD для данного соседа BGP

        Обязательно при использовании BFD указываем upadate-source для указания source IP процессу BFD:

        # update-source <A.B.C.D>
        [no] update-source - указать/убрать адрес источника для BFD процесса

        Для протокола OSPF  BFD активировать необходимо в режиме конфигурирования интерфеса, на котором запущен протокол OSPF:

        # configure-if-view
        [no] ip ospf bfd-enable

        Для статических маршрутов активация BFD происходит указанием после указания шлюза:

        # configure-view
        [no] ip route <A.B.C.D/N> <IP_GATEWAY> bfd

         

        После применения и подверждения конфигурации протокол BFD запустится в работу:

        esr #commit

        esr #confirm

        Текущие значение параметров BFD для глобального режима:

        esr# show ip bfd
        Minimum RX interval: 200 ms
        Minimum TX interval: 200 ms
        Idle TX interval: 1000 ms
        Multiplier: 5 packets
        Passive: No

        Текущие значение параметров BFD для конкретного интерфеса и туннеля:

        esr# sh ip bfd interface gigabitethernet 1/0/1
        Minimum RX interval: 200 ms
        Minimum TX interval: 200 ms
        Idle TX interval: 1000 ms
        Multiplier: 5 packets
        Passive: No

        esr# sh ip bfd interface gre 1
        Minimum RX interval: 200 ms
        Minimum TX interval: 200 ms
        Idle TX interval: 1000 ms
        Multiplier: 5 packets
        Passive: No

        Источник:
        docs.eltex-co.ru

        [ESR] BRAS без SoftWLC
        Задача: настроить BRAS без поддержки SoftWLC.

        Решение:

        Шаг 1.  Настройка FreeRADIUS - сервера.

        Для FreeRADIUS сервера нужно задать подсеть, из которой могут приходить запросы и добавить список пользователей. Для этого в файл users в директории с файлами конфигурации FreeRADIUS сервера нужно добавить:

        Профиль пользователя:

        <MACADDR> Cleartext-Password := <MACADDR>

        # Имя пользователя

        User-Name = <USER_NAME>,

        # Максимальное время жизни сессии

        Session-Timeout = <SECONDS>,

        # Максимальное время жизни сесиии при бездействии пользователя

        Idle-Timeout = <SECONDS>,

        # Время на обновление статистики по сессии

        Acct-Interim-Interval = <SECONDS>,

        # Имя сервиса для сессии (A - сервис включен, N - сервис выключен)

        Cisco-Account-Info = "{A|N}<SERVICE_NAME>"

         

        Профиль сервиса:

        <SERVICE_NAME> Cleartext-Password := <MACADDR>

        # Соответствует имени class-map в настройках ESR

        Cisco-AVPair = "subscriber:traffic-class=<CLASS_MAP>",

        # Действие, которое применяет ESR к трафику (permit, deny, redirect)

        Cisco-AVPair = "subscriber:filter-default-action=<ACTION>",

        # Возможность прохождения IP потоков (enabled-uplink, enabled-downlink, enabled, disabled)

        Cisco-AVPair = "subscriber:flow-status=<STATUS>"

        В файл clients.conf нужно добавить подсеть, в которой находится ESR:

        client ESR {

        ipaddr = <SUBNET>

        secret = <RADIUS_KEY>

        }

         

        Шаг 2.  Настройка ESR - нужно сконфигурировать:

        radius-server host <IP_ADDRESS>
        key ascii-text <RADIUS_KEY>
        exit

        aaa radius-profile bras_radius
        radius-server host <IP_ADDRESS>
        exit

        das-server das
        key ascii-text <RADIUS_KEY>
        exit

        aaa das-profile bras_das
        das-server das
        exit

        ip access-list extended user_acl
        rule 1
        action permit
        enable
        exit
        exit

        subscriber-control
        aaa das-profile bras_das
        aaa sessions-radius-profile bras_radius
        nas-ip-address <IP_ADDRESS>
        session mac-authentication
        default-service default-action redirect <URL>
        exit
        enable
        exit

         

        На интерфейсах, для которых требуется работа BRAS настроить (для успешного запуска требуется как минимум один интерфейс):

        service-subscriber-control {object-group <NAME> | any}
        location <L2LOCATION>

         

        !!! Настройка действие фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:

        1. Создаем локальный список URL (можно указать свои URL, на которые неавторизованные пользователи смогут проходить без авторизации и без редиректа, например локальные сервисы вашей сети и ваш сайт):

        object-group url defaultserv
          url http://eltex.nsk.ru
          url http://ya.ru
          url https://ya.ru
        exit

        1. Добавим действие фильтрации для локального списка URL в BRAS:

        subscriber-control
          default-service
            filter-name local defaultserv
            filter-action permit
        end

        Теперь неавторизированные пользователи будут иметь доступ к URL defaultserv без редирект, а при попытке пройти на другие сайты для них отработает редирект:

        default-service
            default-action redirect http://192.168.16.54:8080/eltex_portal/

         

        Пример настройки:

        Дано:

        Шаг 1. Настройка FreeRADIUS - сервера:

        подсеть с клиентами 10.10.0.0/16, подсеть для работы с FreeRADIUS сервером 192.168.16.140/23. Настраиваем FreeRADIUS сервер. В файл «clients.conf» добавляем строки:

        client BRAS {

        ipaddr = 192.168.16.140

        secret = password

        }

         

        В файл «users» добавляем строки (вместо <MAC> нужно указать MAC адрес клиента):

        "00-00-00-33-96-3D" Cleartext-Password := "00-00-00-33-96-3D"
        User-Name = "Bras_user",
        Session-Timeout = 259200,
        Idle-Timeout = 259200,
        Cisco-AVPair += "subscriber:policer-rate-in=1000",
        Cisco-AVPair += "subscriber:policer-rate-out=1000",
        Cisco-AVPair += "subscriber:policer-burst-in=188",
        Cisco-AVPair += "subscriber:policer-burst-out=188",
        Cisco-Account-Info = "AINTERNET"

        INTERNET Cleartext-Password := "INTERNET"
        User-Name = "INTERNET",
        Cisco-AVPair = "subscriber:traffic-class=INTERNET",
        Cisco-AVPair += "subscriber:filter-default-action=permit"

        Для traffic-class в настройках сервиса нужно указать access-list из настроек ESR. Он нужен для определения какой трафик пользователя считать за трафик этого сервиса.

        Шаг 2. Конфигурация ESR:

         

        configure

        object-group url defaultserv
        url http://eltex.nsk.ru
        url http://ya.ru
        url https://ya.ru
        exit

         

        radius-server host 192.168.16.54
        key ascii-text encrypted 8CB5107EA7005AFF
        source-address 192.168.16.140
        exit
         aaa radius-profile bras_radius
        radius-server host 192.168.16.54
         exit
         aaa radius-profile bras_radius_servers
         radius-server host 192.168.16.54
         exit
        das-server das
        key ascii-text encrypted 8CB5107EA7005AFF
         exit
         aaa das-profile bras_das
         das-server das
        exit

         

         vlan 10
         exit

         

         ip access-list extended BYPASS
        rule 1
         action permit
        match protocol udp
         match source-port 68
         match destination-port 67
        enable
         exit
         rule 2
         action permit
         match protocol udp
         match destination-port 53
        enable
        exit
         rule 3
         exit
         exit

         

        ip access-list extended INTERNET
        rule 1
         action permit
        enable
         exit
         exit

         

        ip access-list extended WELCOME
        rule 10
        action permit
        match protocol tcp
        match destination-port 443
        enable
        exit
        rule 20
        action permit
        match protocol tcp
        match destination-port 8443
        enable
        exit
        rule 30
        action permit
        match protocol tcp
        match destination-port 80
        enable
        exit
        rule 40
        action permit
        match protocol tcp
        match destination-port 8080
        enable
        exit
        exit

         

         subscriber-control
        aaa das-profile bras_das
        aaa sessions-radius-profile bras_radius
        aaa services-radius-profile bras_radius_servers
        nas-ip-address 192.168.16.140
        session mac-authentication
        bypass-traffic-acl BYPASS
        default-service
        class-map BYPASS
        filter-name local defaultserv
        filter-action permit
        default-action redirect http://192.168.16.54/eltex_portal
        session-timeout 121
        exit
        enable
        exit

         

         bridge 10
        vlan 10
        ip firewall disable
         ip address 10.10.0.1/16
         ip helper-address 192.168.16.54
        service-subscriber-control any
        location USER
         protected-ports
         protected-ports exclude vlan
        enable
         exit
         interface gigabitethernet 1/0/2
        ip firewall disable
        ip address 192.168.16.140/23
         exit
         interface gigabitethernet 1/0/3.10
         bridge-group 10
        ip firewall disable
         exit
         interface gigabitethernet 1/0/4
        ip firewall disable
         ip address 30.30.30.2/24
         exit
         interface tengigabitethernet 1/0/1
        ip firewall disable
         exit
         interface tengigabitethernet 1/0/1.10
         bridge-group 10
        exit
         interface tengigabitethernet 1/0/1.20
         ip firewall disable
        ip address 20.20.20.1/24
         exit
        interface tengigabitethernet 1/0/1.30
        bridge-group 10
         exit
         interface tengigabitethernet 1/0/1.40
         bridge-group 10
        exit

         

        nat source
        ruleset factory
        to interface gigabitethernet 1/0/2
        rule 10
        description "replace 'source ip' by outgoing interface ip address"
        match source-address any
        action source-nat interface
        enable
        exit
        exit

         

         ip route 0.0.0.0/0 192.168.16.145

         

         ip telnet server

        Источник:
        docs.eltex-co.ru

        [ESR] Destanation NAT + NAT Hairpinning
        В сети R1 имеется web-сервер. Необходимо что бы любой пользователь интернета имели доступ к этому ресурсу. Для этого необходимо перенаправить запросы с IP 185.185.11.54 на 192.168.0.5. На R1 уже описаны зоны безопасности trusted (192.168.0.1) и untrusted (185.185.11.54).

        Destanation NAT

        Для начала создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.

        • Net_pub – профиль адресов публичной сети;
        • Srv_http – профиль портов;
        • Server_ip – профиль адресов локальной сети.

         

            esr-100(config)# object-group network Net_pub
            esr-100(config-object-group-network)# ip address 185.185.11.54
            esr-100(config-object-group-network)# exit
            esr-100(config)# object-group service Srv_http
            esr-100(config-object-group-service)# port-range 80
            esr-100(config-object-group-service)# exit
            esr-100(config)# object-group network Server_ip
           esr-100(config-object-group-network)# ip address 192.168.0.5
            esr-100(config-object-group-network)# exit

         

        Далее приступим к настройке самого NAT. Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 185.185.11.54 из внешней сети.

         

            esr-100(config)# nat destination
            esr-100(config-dnat)# pool Server_ip
            esr-100(config-dnat-pool)# ip address 192.168.0.5
            esr-100(config-dnat-pool)# ip port 80
            esr-100(config-dnat-pool)# exit

         

        Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «untrusted». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».

         

            esr-100(config-dnat)# ruleset DNAT
            esr-100(config-dnat-ruleset)# from zone untrusted
            esr-100(config-dnat-ruleset)# rule 1
            esr-100(config-dnat-rule)# match destination-address Net_pub
            esr-100(config-dnat-rule)# match protocol tcp
            esr-100(config-dnat-rule)# match destination-port Srv_http
            esr-100(config-dnat-rule)# action destination-nat pool Server_ip
            esr-100(config-dnat-rule)# enable
            esr-100(config-dnat-rule)# exit
            esr-100(config-dnat-ruleset)# exit
            esr-100(config-dnat)# exit

         

        Для пропуска трафика, идущего из зоны «untrusted» в «trusted», создадим соответствующее правило. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP» и прошедший преобразование DNAT.

         

            esr-100(config)# security zone-pair untrusted trusted
            esr-100(config-zone-pair)# rule 1
            esr-100(config-zone-pair-rule)# match source-address any
            esr-100(config-zone-pair-rule)# match destination-address Server_ip
            esr-100(config-zone-pair-rule)# match protocol any
            esr-100(config-zone-pair-rule)# match destination-nat
            esr-100(config-zone-pair-rule)# action permit
            esr-100(config-zone-pair-rule)# enable
            esr-100(config-zone-pair-rule)# exit
            esr-100(config-zone-pair)# exit
            esr-100# commit
            esr-100# confirm

         

        Теперь R1 будет перенаправлять обращегия как требуется. Команды для просмотра состояния и настройки NAT:

         

            esr-100# show ip nat destination pools
            esr-100# show ip nat destination rulesets
            esr-100# show ip nat proxy-arp
            esr-100# show ip nat translations

         

        NAT Hairpinning

        На рисунке в начале статьи видно, что в локальной сети R1 имеются свои клиенты(client), которые тоже пользуются web-сервером. Однако когда client введет в браузере доменное имя сервера, DNS перенаправит его на адрес 185.185.11.54. Для этого настроим NAT Hairpinning.

        Добавим еще один профиль для внутренней сети.

         

            esr-100(config)# object-group network LAN
            esr-100(config-object-group-network)# ip prefix 192.168.0.0/24
            esr-100(config-object-group-network)# exit

         

        Добавим еще один ruleset в конфигурацию DNAT.

         

            esr-100(config)# nat destination
            esr-100(config-dnat)# ruleset loopback
            esr-100(config-dnat-ruleset)# from zone trusted
            esr-100(config-dnat-ruleset)# rule 10
            esr-100(config-dnat-rule)# match protocol tcp
            esr-100(config-dnat-rule)# match destination-address Net_pub
            esr-100(config-dnat-rule)# match destination-port Srv_http
            esr-100(config-dnat-rule)# action destination-nat pool Server_ip
            esr-100(config-dnat-rule)# enable
            esr-100(config-dnat-rule)# exit
            esr-100(config-dnat-ruleset)# exit
            esr-100(config-dnat)# exit

         

        Сконфигурируем Source NAT.

         

            esr-100(config)# nat source
            esr-100(config-snat)# ruleset loopback
            esr-100(config-snat-ruleset)# to zone trusted
            esr-100(config-snat-ruleset)# rule 10
            esr-100(config-snat-rule)# match source-address LAN
            esr-100(config-snat-rule)# action source-nat interface
            esr-100(config-snat-rule)# enable
            esr-100(config-snat-rule)# exit
            esr-100(config-snat-ruleset)# exit
            esr-100(config-snat)# exit
            esr-100(config)# exit
            esr-100# commit
            esr-100# confirm

         

        Теперь пользователи локальной сети R1 будут попадать на web-сервер по внутреннему адресу.

        Источник:
        docs.eltex-co.ru

        [ESR] Eltex SLA (Service Level Agreement)
        Eltex SLA (Service Level Agreement) – двухсторонний протокол активного измерения определяет гибкий метод измерения производительности и качества работы IP между двумя сервисными маршрутизаторами Eltex ESR, поддерживающими технологию SLA.

        Основная функция SLA - выполнение тестов, нацеленных на вычисление параметров канала связи:

        • односторонние задержки;
        • круговые задержки;
        • джиттер;
        • потери пакетов;
        • изменение порядка следования пакетов.

         

        Протокол IP SLA состоит из 2х фаз:

        • фазы контроля;
        • фазы измерений.

         

        Предполагает наличие 2х ролей:

        • sender (инициирует запуск теста с установленными параметрами);
        • responder (ожидает входящих соедиений).

        Пример конфигурации

        Конфигурация ESR-SENDER

         

        interface gigabitethernet 1/0/1
           ip firewall disable
           ip address 12.0.0.1/24
        exit

        ip route 0.0.0.0/0 12.0.0.2

        clock timezone gmt +7
        ntp enable
        ntp server 192.168.1.1
          minpoll 4
        exit

        ip sla logging
        ip sla logging level error
        ip sla
        ip sla test 1
          udp-jitter 24.0.0.3 20001 source-ip 12.0.0.1 control enable num-packets 100 interval 20
          frequency 25
          packet-size 64
          dscp 30
          cos 3
          timeout 4000
          thresholds losses high 15
          thresholds losses forward high 5
          thresholds losses reverse high 10
          thresholds jitter forward high 7
          thresholds jitter reverse high 15
          thresholds delay high 150
          thresholds delay forward high 100
          thresholds delay reverse high 50
          enable
        exit
        ip sla schedule 1 life forever start-time now

        Конфигурация ESR-RESPONDER

        interface gigabitethernet 1/0/1
          ip firewall disable
          ip address 24.0.0.3/24
          ip sla responder eltex
        exit

        ip route 0.0.0.0/0 24.0.0.2

        clock timezone gmt +7
        ntp enable
        ntp server 192.168.1.1
          minpoll 4
        exit

        Просмотр статистики

        ESR# show ip sla test statistics 1
        Test number: 1
        Transmitted packets: 100
        Lost packets: 8 (8%)
        Lost packets in forward direction: 4 (4%)
        Lost packets in reverse direction: 4 (4%)
        One-way delay forward min/avg/max: 29/52/72 milliseconds
        One-way delay reverse min/avg/max: 29/52/72 milliseconds
        One-way jitter forward min/avg/max: 6/11/12 milliseconds
        One-way jitter reverse min/avg/max: 6/11/12 milliseconds
        Two-way delay min/avg/max: 58/104/145 milliseconds
        Two-way jitter min/avg/max: 13/22/25 milliseconds
        Duplicate packets: 0
        Out of sequence packets in forward direction: 0
        Out of sequence packets in reverse direction: 0

         

        Мониторинг

        Все сообщения о превышении порог для тестовых потоков либо снижении уровня ниже допустимого занчения журналируются.

        1) SYSLOG-сообщения можно перенаправлять на SYSLOG-сервер.

        Конфигурация:
        syslog host test 192.168.1.1 debug udp 514

        Пример сообщений SYSLOG:

        YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses high for ip sla 1: 8 > 1
        YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse high for ip sla 1: 8 > 1
        YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses OK for ip sla 1: 8 > 1
        YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse OK for ip sla 1: 8 > 1
        YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter high for ip sla 1: 12 > 1
        YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter forward high for ip sla 1: 12 > 1
        YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse high for ip sla 1: 12 > 1
        YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter OK for ip sla 1: 0 < 10
        YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse OK for ip sla 1: 0 < 15

        2) Опрос по SNMP.

        Для IP SLA доступны MIB-OID:

        ELTEX-ESR-MIB.mib

        ELTEX-ESR-IPSLA-MIB.mib

        Конфигурация:

        snmp-server
        snmp-server community "publpubl" rw
        snmp-server host 192.168.1.1
        exit

        Пример снятия статистики по SNMP:

        Name/OID: eltEsrIpSlaStatTestTransmittedPackets.1; Value (Gauge): 100
        Name/OID: eltEsrIpSlaStatTestLostPackets.1; Value (Gauge): 8
        Name/OID: eltEsrIpSlaStatTestLostPacketsForward.1; Value (Gauge): 4
        Name/OID: eltEsrIpSlaStatTestLostPacketsReverse.1; Value (Gauge): 4
        Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMin.1; Value (Gauge): 29
        Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMax.1; Value (Gauge): 52
        Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardAvg.1; Value (Gauge): 72
        Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMin.1; Value (Gauge): 29
        Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMax.1; Value (Gauge): 52
        Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseAvg.1; Value (Gauge): 72
        Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMin.1; Value (Gauge): 6
        Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMax.1; Value (Gauge): 11
        Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardAvg.1; Value (Gauge): 12
        Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMin.1; Value (Gauge): 6
        Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMax.1; Value (Gauge): 11
        Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseAvg.1; Value (Gauge): 12
        Name/OID: eltEsrIpSlaStatTestTwoWayDelayMin.1; Value (Gauge): 58
        Name/OID: eltEsrIpSlaStatTestTwoWayDelayMax.1; Value (Gauge): 104
        Name/OID: eltEsrIpSlaStatTestTwoWayDelayAvg.1; Value (Gauge): 145
        Name/OID: eltEsrIpSlaStatTestTwoWayJitterMin.1; Value (Gauge): 13
        Name/OID: eltEsrIpSlaStatTestTwoWayJitterMax.1; Value (Gauge): 22
        Name/OID: eltEsrIpSlaStatTestTwoWayJitterAvg.1; Value (Gauge): 025
        Name/OID: eltEsrIpSlaStatTestDuplicatePackets.1; Value (Gauge): 0
        Name/OID: eltEsrIpSlaStatTestOutOfSequenceForward.1; Value (Gauge): 0
        Name/OID: eltEsrIpSlaStatTestOutOfSequenceReverse.1; Value (Gauge): 0

        3) SYSLOG в SNMP-Traps.

        Конфигурация

        snmp-server host 192.168.1.1
          source-address 12.0.0.1
        exit
        snmp-server enable traps syslog

         

         

        Источник:
        docs.eltex-co.ru

        [ESR] GRE over IPSec
        Настроить GRE over IPSec туннель между ESR1 и ESR2.

        Данные:

        IP-address интерфейса ESR1 - 180.10.0.1/30
        P-address интерфейса ESR2 - 80.66.0.1/30

        Локальные подсети:

        LAN1: 1.1.1.0/24
        LAN2: 2.2.2.0/24

        Параметры IKE:

        алгоритм шифрования: AES 128 bit;
        алгоритм аутентификации: MD5;
        группа Диффи-Хэллмана: 2.

        Параметры IPSec:

        алгоритм шифрования: AES 128 bit;
        алгоритм аутентификации: MD5;
        группа Диффи-Хэллмана: 2.

         

        Решение:

        Конфигурирование ESR1

        Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

        ESR1(config)# interface gigabitethernet 1/0/1
        ESR1(config-if-gi)# security-zone untrusted
        ESR1(config-if-gi)# ip address 180.10.0.1/30
        ESR1(config-if-gi)# exit

        Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:

        ESR1(config)# tunnel gre 1
        ESR1(config-gre)# ttl 16
        ESR1(config-gre)# security-zone trusted
        ESR1(config-gre)# local address 180.10.0.1
        ESR1(config-gre)# remote address 80.66.0.1
        ESR1(config-gre)# ip address 10.10.10.1/30
        ESR1(config-gre)# enable
        ESR1(config-gre)# exit

        Создадим статический маршрут для подсети 80.66.0.0/30:

        ESR1(config)# ip route 80.66.0.0/30 180.10.0.2

        Создадим статический маршрут подсети LAN2 - 2.2.2.0/24 через tunnel gre 1:

        ESR1(config)# ip route 2.2.2.0/24 tunnel gre 1

        Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

        ESR1(config)# security ike proposal ike_prop1
        ESR1(config-ike-proposal)# authentication algorithm md5
        ESR1(config-ike-proposal)# encryption algorithm aes128
        ESR1(config-ike-proposal)# dh-group 2
        ESR1(config-ike-proposal)# exit

        Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

        ESR1(config)# security ike policy ike_pol1
        ESR1(config-ike-policy)# pre-shared-key ascii-text password
        ESR1(config-ike-policy)# proposal ike_prop1
        ESR1(config-ike-policy)# exit

        Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

        ESR1(config)# security ike gateway ike_gw1
        ESR1(config-ike-gw)# ike-policy ike_pol1
        ESR1(config-ike-gw)# local address 180.10.0.1
        ESR1(config-ike-gw)# local network 180.10.0.1/32 protocol gre
        ESR1(config-ike-gw)# remote address 80.66.0.1
        ESR1(config-ike-gw)# remote network 80.66.0.1/32 protocol gre
        ESR1(config-ike-gw)# mode policy-based
        ESR1(config-ike-gw)# exit

        Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

        ESR1(config)# security ipsec proposal ipsec_prop1
        ESR1(config-ipsec-proposal)# authentication algorithm md5
        ESR1(config-ipsec-proposal)# encryption algorithm aes128
        ESR1(config-ipsec-proposal)# pfs dh-group 2
        ESR1(config-ipsec-proposal)# exit

        Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

        ESR1(config)# security ipsec policy ipsec_pol1
        ESR1(config-ipsec-policy)# proposal ipsec_prop1
        ESR1(config-ipsec-policy)# exit

        Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

        ESR1(config)# security ipsec vpn ipsec1
        ESR1(config-ipsec-vpn)# mode ike
        ESR1(config-ipsec-vpn)# ike establish-tunnel route
        ESR1(config-ipsec-vpn)# ike gateway ike_gw1
        ESR1(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
        ESR1(config-ipsec-vpn)# enable
        ESR1(config-ipsec-vpn)# exit

        Дополнительно в security zone-pair untrusted self необходимо разрешить протоколы для GRE over IPSec туннеля:

        ESR1(config)# security zone-pair untrusted self
        ESR1(config-zone-pair)# rule 10
        ESR1(config-zone-pair-rule)# action permit
        ESR1(config-zone-pair-rule)# match protocol gre
        ESR1(config-zone-pair-rule)# enable
        ESR1(config-zone-pair-rule)# exit
        ESR1(config-zone-pair)# rule 11
        ESR1(config-zone-pair-rule)# action permit
        ESR1(config-zone-pair-rule)# match protocol esp
        ESR1(config-zone-pair-rule)# enable
        ESR1(config-zone-pair-rule)# exit
        ESR1(config-zone-pair)# rule 12
        ESR1(config-zone-pair-rule)# action permit
        ESR1(config-zone-pair-rule)# match protocol ah
        ESR1(config-zone-pair-rule)# enable
        ESR1(config-zone-pair-rule)# exit
        ESR1(config-zone-pair)# exit

         

        Конфигурирование ESR2

        Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

        ESR2(config)# interface gigabitethernet 1/0/1
        ESR2(config-if-gi)# security-zone untrusted
        ESR2(config-if-gi)# ip address 80.66.0.1/30
        ESR2(config-if-gi)# exit

        Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:

        ESR2(config)# tunnel gre 1
        ESR2(config-gre)# ttl 16
        ESR2(config-gre)# security-zone trusted
        ESR2(config-gre)# local address 80.66.0.1
        ESR2(config-gre)# remote address 180.10.0.1
        ESR2(config-gre)# ip address 10.10.10.2/30
        ESR2(config-gre)# enable
        ESR2(config-gre)# exit

        Создадим статический маршрут для подсети 180.10.0.0/30:

        ESR2(config)# ip route 180.10.0.0/30 80.66.0.2

        Создадим статический маршрут подсети LAN1 - 1.1.1.0/24 через tunnel gre 1:

        ESR2(config)# ip route 1.1.1.0/24 tunnel gre 1

        Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

        ESR2(config)# security ike proposal ike_prop1
        ESR2(config-ike-proposal)# authentication algorithm md5
        ESR2(config-ike-proposal)# encryption algorithm aes128
        ESR2(config-ike-proposal)# dh-group 2
        ESR2(config-ike-proposal)# exit

        Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

        ESR2(config)# security ike policy ike_pol1
        ESR2(config-ike-policy)# pre-shared-key ascii-text password
        ESR2(config-ike-policy)# proposal ike_prop1
        ESR2(config-ike-policy)# exit

        Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

        ESR2(config)# security ike gateway ike_gw1
        ESR2(config-ike-gw)# ike-policy ike_pol1
        ESR2(config-ike-gw)# local address 80.66.0.1
        ESR2(config-ike-gw)# local network 80.66.0.1/32 protocol gre
        ESR2(config-ike-gw)# remote address 180.10.0.1
        ESR2(config-ike-gw)# remote network 180.10.0.1/32 protocol gre
        ESR2(config-ike-gw)# mode policy-based
        ESR2(config-ike-gw)# exit

        Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

        ESR2(config)# security ipsec proposal ipsec_prop1
        ESR2(config-ipsec-proposal)# authentication algorithm md5
        ESR2(config-ipsec-proposal)# encryption algorithm aes128
        ESR2(config-ipsec-proposal)# pfs dh-group 2
        ESR2(config-ipsec-proposal)# exit

        Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

        ESR2(config)# security ipsec policy ipsec_pol1
        ESR2(config-ipsec-policy)# proposal ipsec_prop1
        ESR2(config-ipsec-policy)# exit

        Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

        ESR2(config)# security ipsec vpn ipsec1
        ESR2(config-ipsec-vpn)# mode ike
        ESR2(config-ipsec-vpn)# ike establish-tunnel route
        ESR2(config-ipsec-vpn)# ike gateway ike_gw1
        ESR2(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
        ESR2(config-ipsec-vpn)# enable
        ESR2(config-ipsec-vpn)# exit

        Источник:
        docs.eltex-co.ru

        [ESR] GRE over IPSec между ESR и Cisco
        Настроить GRE over IPSec туннель между ESR и Cisco. На туннелях дополнительно настроить протокол динамической маршрутизации OSPF.

        При настройке IPSec на ESR включен способ установления соединения ike establish-tunnel route, при таком режиме IPSec туннель поднимется при наличии транзитного трафика. Loopback интерфейсы необходимы для проверки работоспособности IPSec туннеля (передачи транзитного трафика)  и в конфигурации не обязательны.

        ESR:

        1) Конфигурация:

        esr# show running-config
        router ospf log-adjacency-changes
        router ospf 1
          router-id 10.110.0.66
          area 0.0.0.1
            enable
          exit
          enable
        exit

        interface gigabitethernet 1/0/1
          ip firewall disable
          ip address 100.100.0.2/24
        exit
        interface loopback 1
          ip address 2.2.2.2/32
        exit
        tunnel gre 1
          mtu 1476
          ip firewall disable
          local address 100.100.0.2
          remote address 10.10.0.13
          ip address 10.110.0.66/30
          ip ospf instance 1
          ip ospf area 0.0.0.1
          ip ospf
          enable
        exit

        security ike proposal IKEPROP
          encryption algorithm aes128
          dh-group 2
        exit

        security ike policy IKEPOL
          lifetime seconds 86400
          pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
          proposal IKEPROP
        exit

        security ike gateway IKEGW
          ike-policy IKEPOL
          local address 100.100.0.2
          local network 100.100.0.2/32 protocol gre
          remote address 10.10.0.13
          remote network 10.10.0.13/32 protocol gre
          mode policy-based
        exit

        security ipsec proposal IPPROP
          encryption algorithm aes128
        exit

        security ipsec policy IPPOL
          proposal IPPROP
        exit

        security ipsec vpn IPSEC
          mode ike
          ike establish-tunnel route
          ike gateway IKEGW
          ike ipsec-policy IPPOL
          enable
        exit

        ip route 0.0.0.0/0 tunnel gre 1
        ip route 10.10.0.0/24 100.100.0.1

        2) Информация о состоянии протокола OSPF и IPSec туннеля:

        esr#  show ip ospf neighbors
        Router ID   Pri State    DTime Interface         Router IP
        ---------   --- -----    ----- ----------------- ---------
        10.110.0.65 1   Full/BDR 00:35 gre 1             10.110.0.65

         esr# show security ipsec vpn status IPSEC
        Currently active IKE SA:
        Name: IPSEC
        State: Established
        Version: v1-only
        Unique ID: 3
        Local host: 100.100.0.2
        Remote host: 10.10.0.13
        Role: Initiator
        Initiator spi: 0x15dc63f5881abbb0
        Responder spi: 0xd45e86e5abb121d9
        Encryption algorithm: des
        Authentication algorithm: sha1
        Diffie-Hellman group: 2
        Established: 12 minutes and 34 seconds ago
        Rekey time: 12 minutes and 34 seconds
        Reauthentication time: 23 hours, 32 minutes and 7 seconds
        Child IPsec SAs:
        Name: IPSEC
        State: Installed
        Protocol: esp
        Mode: Tunnel
        Encryption algorithm: aes128
        Authentication algorithm: sha1
        Rekey time: 32 minutes
        Life time: 47 minutes and 26 seconds
        Established: 12 minutes and 34 seconds ago
        Traffic statistics:
        Input bytes: 540
        Output bytes: 540
        Input packets: 5
        Output packets: 5

        Cisco:

        1) Конфигурация:

        crypto isakmp policy 2
        encr aes
        authentication pre-share
        group 2
        crypto isakmp key password address 100.100.0.2
        !
        crypto ipsec security-association lifetime seconds 86400
        !
        crypto ipsec transform-set strong esp-aes esp-sha-hmac
        !
        crypto map mymap local-address FastEthernet0/0
        crypto map mymap 119 ipsec-isakmp
        set peer 100.100.0.2
        set transform-set strong
        match address 119
        !
        !
        interface Loopback1
        ip address 1.1.1.1 255.255.255.255
        !
        !
        interface Tunnel2
        ip address 10.110.0.65 255.255.255.252
        ip ospf 1 area 0.0.0.1
        ip ospf network broadcast
        tunnel source 10.10.0.13
        tunnel destination 100.100.0.2
        !
        !
        interface FastEthernet0/0
        ip address 10.10.0.13 255.255.255.0
        duplex auto
        speed auto
        crypto map mymap
        !
        router ospf 1
        router-id 10.110.0.65
        log-adjacency-changes
        !
        ip route 100.100.0.0 255.255.255.0 10.10.0.1
        ip route 0.0.0.0 0.0.0.0 Tunnel2
        !
        access-list 119 permit gre host 10.10.0.13 host 100.100.0.2

        2) Информация о состоянии протокола OSPF и IPSec туннеля:

        Router#show ip ospf neighbor
        Neighbor ID Pri State Dead Time Address Interface
        10.110.0.66 0 FULL/ - 00:00:32 10.110.0.66 Tunnel2

        Router#show crypto ipsec sa
        interface: FastEthernet0/0
        Crypto map tag: mymap, local addr 10.10.0.13
        protected vrf: (none)
        local ident (addr/mask/prot/port): (10.10.0.13/255.255.255.255/47/0)
        remote ident (addr/mask/prot/port): (100.100.0.2/255.255.255.255/47/0)
        current_peer 100.100.0.2 port 500
        PERMIT, flags={origin_is_acl,}
        #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
        #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0
        local crypto endpt.: 10.10.0.13, remote crypto endpt.: 100.100.0.2
        path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
        current outbound spi: 0xC9A1F292(3382833810)
        PFS (Y/N): Y, DH group: group2
        inbound esp sas:
        spi: 0x7783E2D2(2005131986)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: mymap
        sa timing: remaining key lifetime (k/sec): (4480312/3033)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE
        inbound ah sas:
        inbound pcp sas:
        outbound esp sas:
        spi: 0xC9A1F292(3382833810)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2002, flow_id: FPGA:2, sibling_flags 80000046, crypto map: mymap
        sa timing: remaining key lifetime (k/sec): (4480312/3033)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE
        outbound ah sas:
        outbound pcp sas:

        Источник:
        docs.eltex-co.ru

        [ESR] IPsec Site-to-Site VPN между Eltex ESR и Cisco iOS используя RSA Signature
        Пример конфигурации и генерации сертификатов для установления IPsec Site-to-Site VPN.

        Пример конфигурации и генерации сертификатов для установления IPsec Site-to-Site VPN.

        Установление защищенного IPsec VPN соединения с аутентификацией по сертификатам можно разделить на следующие шаги:

        1. Предварительная настройка интерфейсов и маршрутизации на ELTEX ESR и CISCO iOS.
        2. Получение/выпуск корневого сертификата - этот шаг выполняется на центрне сертификатов (Certificate Authority, CA).
        3. Выпуск ключевой пары и их импорт на CISCO iOS
        4. Конфигурция IPsec на CISCO iOS
        5. Выпуск ключевой пары (закрытого и открытого ключа) для ELTEX ESR
        6. Импорт корневого сертификата и ключевой пары на ELTEX ESR
        7. Конфигурция IPsec на ELTEX ESR

         

        Предварительная настройка интерфейсов и маршрутизации

        В предварительной конфигурации маршрутизатора ELTEX ESR разрешим прохождение UDP 500,4500 и ESP трафика в зону self для установления IPsec VPN:

        esr# show running-config

        object-group service IPsec
        port-range 500
        port-range 4500
        exit

        object-group network MAIN
        ip address-range 192.0.2.2
        exit

        security zone untrusted
        exit
        security zone trusted
        exit

        interface gigabitethernet 1/0/1
        security-zone untrusted
        ip address 192.0.2.2/30
        exit
        interface gigabitethernet 1/0/2
        security-zone trusted
        ip address 192.168.10.1/24
        exit
        security zone-pair untrusted self
        rule 10
        description "IPsec"
        action permit
        match protocol udp
        match destination-address MAIN
        match destination-port IPsec
        enable
        exit
        rule 20
        description "ESP"
        action permit
        match protocol esp
        match destination-address MAIN
        enable
        exit
        rule 30
        description "ICMP"
        action permit
        match protocol icmp
        match destination-address MAIN
        enable
        exit
        exit

        security zone-pair trusted untrusted
        rule 10
        description "PERMIT ALL"
        action permit
        enable
        exit
        exit

        ip route 0.0.0.0/0 192.0.2.1

         

        В предварительной конфигурации маршрутизатора CISCO iOS настроим сетевые интерфейсы и маршрутизацию:

        !
        hostname cisco
        !
        ip domain name cisco.eltex.org
        !
        interface FastEthernet0/0
        ip address 203.0.113.2 255.255.255.252
        duplex auto
        speed auto
        !
        interface FastEthernet0/1
        ip address 172.16.10.1 255.255.255.0
        duplex auto
        speed auto
        !
        ip route 0.0.0.0 0.0.0.0 203.0.113.1
        !

         

        ВАЖНО: Необходимо выставить корректную дату на оборудовании, так как сертификаты имеют дату выпуска и выпускаются на определенный срок.

        Выставим дату в ручном режиме (так же можно использовать NTP):

        esr# set date 12:00:00 14 November 2019

        cisco# clock set 12:01:00 14 Nov 2019

         

        Получение/выпуск корневого сертификата - этот шаг выполняется на центрне сертификатов (Certificate Authority, CA)

        Для выпуска сертификатов в данном примере используются утилиты openssl.

        ВАЖНО: Для использования внутри организации можно использовать self-signed сертификат, но для использования CA вне организации необходимо использовать сертификаты, выданные или подписанные сторонней организацией.

        Генерируем секретный ключ:

        # openssl genrsa -out ca.key 2048

        Создаём self-signed сертификат:

        # openssl req -new -x509 -sha1 -days 3650 -key ca.key -out ca.crt

        Полученный CA сертификат (ca.crt) и секретный CA ключи (ca.key) будут использоваться для подписи запросов на сертификат VPN клиентов.

         

        Выпуск ключевой пары и их импорт на CISCO iOS

        Генерируем закрытый ключ на CISCO iOS:

        cisco(config)#crypto key generate rsa general-keys

        How many bits in the modulus [512]: 2048

        % Generating 1024 bit RSA keys …[OK]

        Настроим CA сервер с именем myca:

        cisco(config)#crypto ca trustpoint myca
        cisco(ca-trustpoint)#enrollment terminal
        cisco(ca-trustpoint)#crl optional
        cisco(ca-trustpoint)#exit

         

        Копируем содержимое CA сертификата:

        # cat ca.crt

        -----BEGIN CERTIFICATE-----
        MIID7TCCAtWgAwIBAgIJANdwKZKV0XNmMA0GCSqGSIb3DQEBBQUAMIGMMQswCQYD
        ...
        yg==
        -----END CERTIFICATE-----

         

        И вставляем содержимое в консоль:
        cisco(config)#crypto ca authenticate myca

        Enter the base 64 encoded CA certificate.
        End with a blank line or the word “quit” on a line by itself

        -----BEGIN CERTIFICATE-----
        MIID7TCCAtWgAwIBAgIJANdwKZKV0XNmMA0GCSqGSIb3DQEBBQUAMIGMMQswCQYD
        ...
        yg==
        -----END CERTIFICATE-----

        % Do you accept this certificate? [yes/no]: yes
        Trustpoint CA certificate accepted.
        % Certificate successfully imported

        Сформировать запрос на подписание (CSR, certificate signing request):

        cisco(config)#crypto ca enroll myca

        % Include the router serial number in the subject name? [yes/no]: yes
        % The serial number in the certificate will be: 13A594C9
        % Include an IP address in the subject name? [no]: no
        Display Certificate Request to terminal? [yes/no]: yes
        Certificate Request follows:

        MIIBkzCB/QIBADAzMTEwDwYDVQQFEwgxM0E1OTRDOTAeBgkqhkiG9w0BCQIWEWNp
        ...
        sdHxeJkU4jMILCs7dPzkzPPDpJID9NU=

        Далее необходимо скопировать запрос из теминала и сформировать файл .csr на сервере центра сертификации для его подписания утилитой openssl:

        # cat > cisco.csr

        -----BEGIN CERTIFICATE REQUEST-----
        MIIBkzCB/QIBADAzMTEwDwYDVQQFEwgxM0E1OTRDOTAeBgkqhkiG9w0BCQIWEWNp
        ...
        sdHxeJkU4jMILCs7dPzkzPPDpJID9NU=
        -----END CERTIFICATE REQUEST-----

        Подписать запрос на сертификат (esr.csr) CA ключом (ca.key), который был выпущен ранее:

        # openssl x509 -req -days 3650 -sha1 -in cisco.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out certs/cisco.crt

        Копируем содержимое подписанного сертификата:

        # cat cisco.crt

        -----BEGIN CERTIFICATE-----
        ...
        -----END CERTIFICATE-----

         

        И вставляем содержимое в консоль CISCO iOS:

        cisco(config)#crypto ca import myca certificate

        Enter the base 64 encoded certificate.
        End with a blank line or the word “quit” on a line by itself

        —–BEGIN CERTIFICATE—–
        ...
        —–END CERTIFICATE—–

        % Router Certificate successfully imported

         

        Конфигурация IPsec на CISCO iOS

        Укажем DN из сертификата в качестве локального идентификатора:

        cisco(config)#crypto isakmp identity dn

        Настроим ISAKMP политику (фаза 1):

        cisco(config)#crypto isakmp policy 10
        cisco(config-isakmp)#encryption 3desc
        cisco(config-isakmp)#authentication rsa-sig
        cisco(config-isakmp)#group 2

        Настроим IPsec политику (фаза 2):

        cisco(config)#crypto ipsec transform-set TS esp-des esp-sha-hmac
        cisco(cfg-crypto-trans)#exit

        Настроим трафик селекторы, используя ACL, и крипто карту:

        cisco(config)#crypto map CMAP 10 ipsec-isakmp
        cisco(config-crypto-map)#set peer 192.0.2.2
        cisco(config-crypto-map)#set transform-set TS
        cisco(config-crypto-map)#match address cryptoacl
        cisco(config-crypto-map)#exit
        cisco(config)#ip access-list extended cryptoacl
        cisco(config-ext-nacl)#permit ip 172.16.10 0.0.0.255 192.168.10.0 0.0.0.255

        Применим критпо карту на интерфейсе:

        cisco(config)#int fastEthernet 0/0
        cisco(config-if)#crypto map CMAP
        cisco(config-if)#exit

         

        Сгенерировать закрытый ключ для ELTEX ESR

        Создать файл с атрибутами, приведенными ниже. Сохранить файл как openssl.cfg:

        [req]
        default_bits = 2048
        default_keyfile = esr.key
        distinguished_name = req_distinguished_name
        req_extensions = req_ext

        [req_distinguished_name]
        commonName = Common Name (eg, YOUR name)
        commonName_default = esrvpn.eltex.org

        countryName = Country Name (2 letter code)
        countryName_default = RU

        stateOrProvinceName = State or Province Name (full name)
        stateOrProvinceName_default = Novosibirsk

        localityName = Locality Name (eg, city)
        localityName_default = NSK

        0.organizationName = Organization Name (eg, company)
        0.organizationName_default = ELTEX

        [req_ext]
        subjectAltName = @alt_names

        [alt_names]
        DNS.1 = esr.eltex.org

         

        Сформировать запрос на подписание (CSR, certificate signing request) сертификата и закрытый ключ используя файл openssl.cfg:

        # openssl req -new -nodes -out esr.csr -config openssl.cfg

        Результатом будет получен закрытый ключ (esr.key) и запрос на подписание сертификата (esr.csr).

        Подписать запрос на сертификат (esr.csr) CA ключом (ca.key), который был выпущен ранее:

        # openssl x509 -req -days 3650 -sha1 -in esr.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out esr.crt

        Результатом будет получен подписанный сертификат (esr.crt).

         

        Загрузить корневой сертификат (ca.crt) , закрытый ключ (esr.key) и подписанный сертификат (esr.crt) на ELTEX ESR

        Загрузка ключевой пары (esr.key и esr.crt), сертификата CA (ca.crt) и сертификат от CISCO iOS (cisco.crt) выполняется с USB Flash, либо посредством TFTP/FTP/SFTP/SCP.

        Проверить имя USB Flash можно командой:

        esr# sh storage-devices usb

        Просмотреть содержимое:

        esr# dir usb://<FLASH_NAME>

        Копируем ключевую пару и сертификат CA:

        esr# copy usb://<FLASH_NAME>:/ca.crt certificate:ca/ca.crt

        esr# copy usb://<FLASH_NAME>:/esr.key certificate:server-key/esr.key

        esr# copy usb://<FLASH_NAME>:/esr.crt certificate:server-crt/esr.crt

        esr# copy usb://<FLASH_NAME>:/esr.crt certificate:server-crt/cisco.crt

        Проверям сертификаты и ключ:

        esr-# sh crypto certificates ca

        File name Issuer From To

        -------------------------------- ------------------------- ------------------------- -------------------------

        ca.crt ru1?0???U????novosibirsk 11 14 03:02:48 2019 GMT 11 11 03:02:48 2029 GMT

        esr# sh crypto certificates server-key

        esr.key Private key: (2048 bit)

        esr-# sh crypto certificates server-crt

        File name Issuer From To

        -------------------------------- ------------------------- ------------------------- -------------------------

        cisco.crt ru1?0???U????novosibirsk 11 14 03:36:48 2019 GMT 11 11 03:36:48 2029 GMT

        esr.crt ru1?0???U????novosibirsk 11 14 03:25:58 2019 GMT 11 11 03:25:58 2029 GMT

         

        Конфигурация IPsec на ELTEX ESR

        Настроим ISAKMP политику (фаза 1):

        esr(config)# security ike proposal IKEPROP
        esr(config-ike-proposal)# encryption algorithm 3des
        esr(config-ike-proposal)# dh-group 2
        esr(config-ike-proposal)# exit

        Укажем сертификаты и метод аутентификации:

        esr(config)# security ike policy IKEPOLICY
        esr(config-ike-policy)# certificate ca ca.crt
        esr(config-ike-policy)# certificate local-crt esr.crt
        esr(config-ike-policy)# certificate local-crt-key esr.key
        esr(config-ike-policy)# certificate remote-crt cisco.crt
        esr(config-ike-policy)# authentication method rsa-public-key
        esr(config-ike-policy)# proposal IKEPROP
        esr(config-ike-policy)# exit

        Настроим трафик селекторы и режим IPsec:

        esr(config)# security ike gateway IKEGW
        esr(config-ike-gw)# ike-policy IKEPOLICY
        esr(config-ike-gw)# local address 192.0.2.2
        esr(config-ike-gw)# local network 192.168.10.0/24
        esr(config-ike-gw)# remote address 213.0.113.2
        esr(config-ike-gw)# remote network 172.16.10.0/24
        esr(config-ike-gw)# mode policy-based
        esr(config-ike-gw)# exit

        Настроим IPsec политику (фаза 2)

        esr(config)# security ipsec proposal IPSECPROP
        esr(config-ipsec-proposal)# encryption algorithm des
        esr(config-ipsec-proposal)# pfs dh-group 2
        esr(config-ipsec-proposal)# exit

        esr(config)# security ipsec policy IPSECPOLICY
        esr(config-ipsec-policy)# proposal IPSECPROP
        esr(config-ipsec-policy)# exit

        Установим режим установления IPsec - по наличию входного или выходного трафика (route):

        esr(config)# security ipsec vpn IPSECVPN
        esr(config-ipsec-vpn)# mode ike
        esr(config-ipsec-vpn)# ike establish-tunnel route
        esr(config-ipsec-vpn)# ike gateway IKEGW
        esr(config-ipsec-vpn)# ike ipsec-policy IPSECPOLICY
        esr(config-ipsec-vpn)# enable
        esr(config-ipsec-vpn)# exit

         

        Диагностика подключения IPsec VPN

        Проверим доступность IP адресов из LAN сегметов:

        esr# ping 172.16.10.1 source ip 192.168.10.1

        PING 172.16.10.1 (172.16.10.1) from 192.168.10.1 : 56(84) bytes of data.

        .!!!!

        --- 172.16.10.1 ping statistics ---

        5 packets transmitted, 4 received, 20% packet loss, time 4039ms

        rtt min/avg/max/mdev = 4.544/24.296/74.151/28.867 ms

        Проверим статус IPsec VPN соединения:

        esr# sh security ipsec vpn status

        Name Local host Remote host Initiator spi Responder spi State

        ------------------------------- --------------- --------------- ------------------ ------------------ -----------

        IPSECVPN 192.0.2.2 213.0.113.2 0x35475c4c0ed0c90f 0x26487c26958d84a4 Established

        esr# sh security ipsec vpn status IPSECVPN

        Currently active IKE SA:

        Name: IPSECVPN

        State: Established

        Version: v1-only

        Unique ID: 1

        Local host: 192.0.2.2

        Remote host: 213.0.113.2

        Role: Initiator

        Initiator spi: 0x35475c4c0ed0c90f

        Responder spi: 0x26487c26958d84a4

        Encryption algorithm: des

        Authentication algorithm: sha1

        Diffie-Hellman group: 2

        Established: 12 seconds ago

        Rekey time: 12 seconds

        Reauthentication time: 2 hours, 44 minutes and 5 seconds

        Child IPsec SAs:

        Name: IPSECVPN

        State: Installed

        Protocol: esp

        Mode: Tunnel

        Encryption algorithm: des

        Authentication algorithm: sha1

        Rekey time: 42 minutes and 7 seconds

        Life time: 59 minutes and 48 seconds

        Established: 12 seconds ago

        Traffic statistics:

        Input bytes: 336

        Output bytes: 336

        Input packets: 4

        Output packets: 4

        -------------------------------------------------------------

        Источник:
        docs.eltex-co.ru

        [ESR] IP unnumbered
        Имеется маршрутизатор R1 к которому подключен 2 клиента. Клиентам необходимо выделить IP адреса из пула 10.10.10.0/24, но таким образом чтобы они не имели доступ к друг другу. Одним из решений было бы разбить 24 маску на 30, но в таком случае распределение IP адресов крайне не экономично. В данном случае отличным решением будет использование технологии IP unnumbered.

        Задача:

        • Выдать клиенту client1 один IP адрес.
        • Выдать клиенту client2 три IP адреса.

        Решение:

        На маршрутизаторе R1 настроим loopback-интерфейс и повешаем наго IP адрес из пула который будем раздовать другим маршрутизаторам:

         

            esr-200# config
            esr-200(config)# interface loopback 1
            esr-200(config-loopback)# ip address 10.10.10.254/24
            esr-200(config-loopback)# exit

         

        Далее настроим интерфейсы к которым подключены клиенты:

         

            esr-200(config)# interface gigabitethernet 1/0/2
            esr-200(config-if-gi)# ip unnumbered loopback 1
            esr-200(config-if-gi)# ip firewall disable
            esr-200(config-if-gi)# exit
            esr-200(config)# interface gigabitethernet 1/0/3
            esr-200(config-if-gi)# ip unnumbered loopback 1
            esr-200(config-if-gi)# ip firewall disable
            esr-200(config-if-gi)# exit

         

        И последнее что осталось, это прописать маршрут до IP адресов которые отдаем клиентам:

         

            esr-200(config)# ip route 10.10.10.1/32 interface gigabitethernet 1/0/2 name client1
            esr-200(config)# ip route 10.10.10.2/32 interface gigabitethernet 1/0/3 name client2
            esr-200(config)# ip route 10.10.10.3/32 interface gigabitethernet 1/0/3 name client2
            esr-200(config)# ip route 10.10.10.4/32 interface gigabitethernet 1/0/3 name client2
            esr-200(config)# exit
            esr-200# commit
            esr-200# confirm

         

        А теперь осталось настроить у клиента IP адрес 10.10.10.1 с маской 255.255.255.0 и шлюзом 10.0.0.2 (интерфейс R1 смотрящий в интернет). Точно также делаем на всех ПК воторого клиента.

        Источник:
        docs.eltex-co.ru

        [ESR] NHRP (Cisco-HUB, ESR-Spoke)
        Настроить NHRP-туннели между маршрутизатором ESR-Spoke и маршрутизаторами Cisco-HUB и Cisco-Spoke. В качестве динамической маршрутизации необходимо настроить OSPF.

        Схема:

        Задача:

        Настроить NHRP-туннели между маршрутизатором ESR-Spoke и маршрутизаторами Cisco-HUB и Cisco-Spoke. В качестве динамической маршрутизации необходимо настроить OSPF.

         

        Cisco-HUB:

         

        1) Конфигурация:

        interface Tunnel1
        ip address 10.10.10.1 255.255.255.0
        no ip redirects
        ip mtu 1472
        ip nhrp authentication password
        ip nhrp map multicast dynamic
        ip nhrp network-id 60
        ip nhrp holdtime 360
        ip nhrp registration no-unique
        ip nhrp registration timeout 60
        ip tcp adjust-mss 1432
        ip ospf network broadcast
        ip ospf priority 255
        tunnel source Ethernet0/0
        tunnel mode gre multipoint
        tunnel key 60
        !
        !
        interface Ethernet0/0
        ip address 192.0.2.2 255.255.255.0
        !
        !
        router ospf 1
        router-id 10.10.10.1
        log-adjacency-changes
        auto-cost reference-bandwidth 10000
        network 10.10.10.1 0.0.0.0 area 0
        !
        ip route 192.0.4.0 255.255.255.0 192.0.2.1
        ip route 192.168.32.0 255.255.240.0 192.0.2.1

         

        2) Информация о состоянии протоколов OSPF и NHRP:

        Router#show ip nhrp
        10.10.10.2/32 via 10.10.10.2
        Tunnel1 created 01:18:10, expire 00:05:14
        Type: dynamic, Flags: registered
        NBMA address: 192.0.4.2
        10.10.10.3/32 via 10.10.10.3
        Tunnel1 created 01:04:52, expire 00:05:44
        Type: dynamic, Flags: unique registered
        NBMA address: 192.168.39.216

         

        Router#show ip ospf neighbor
        Neighbor ID Pri State Dead Time Address Interface
        10.10.10.2 1 FULL/DROTHER 00:00:34 10.10.10.2 Tunnel1
        10.10.10.3 128 FULL/DR 00:00:31 10.10.10.3 Tunnel1

         

        ESR-Spoke:

         

        1) Конфигурация

        esr# show running-config
        router ospf log-adjacency-changes
        router ospf 1
        router-id 10.10.10.3
        area 0.0.0.0
        enable
        exit
        enable
        exit

         

        interface gigabitethernet 1/0/1
        ip firewall disable
        ip address 192.168.39.216/20
        exit

         

        tunnel gre 1
        key 60
        ttl 30
        mtu 1472
        multipoint
        ip firewall disable
        local interface gigabitethernet 1/0/1
        ip address 10.10.10.3/24
        ip ospf instance 1
        ip ospf
        ip tcp adjust-mss 1432
        ip nhrp authentication password
        ip nhrp holding-time 360
        ip nhrp map 10.10.10.1 192.0.2.2
        ip nhrp nhs 10.10.10.1/24
        ip nhrp multicast nhs
        ip nhrp enable
        enable
        exit

         

        ip route 192.0.2.0/24 192.168.39.215
        ip route 192.0.4.0/24 192.168.39.215

         

        2) Информация о состоянии протоколов OSPF и NHRP:

        esr# show ip ospf neighbors

        Router ID  Pri State    DTime Interface         Router IP

        ---------  --- -----    ----- ----------------- ---------

        10.10.10.1 255 Full/BDR 00:36 gre 1             10.10.10.1

         

        esr# show ip nhrp         
        Tunnel address   NBMA address     Interface Peer type          Expire    Created     Flags
        ---------------- ---------------- --------- --------------- --------- ---------- ---------
        10.10.10.1              192.0.2.2                gre 1     static                 --              --         register,
                                                                                                                                        lower-up,
                                                                                                                                        up

         

        10.10.10.2              192.0.4.2               gre 1     cached          0:05:49  00:00:10    used,
                                                                                                                                        lower-up,
                                                                                                                                        up

         

         

        Cisco-Spoke:

         

        1) Конфигурация:

        interface Tunnel1
        ip address 10.10.10.2 255.255.255.0
        no ip redirects
        ip mtu 1472
        ip nhrp authentication password
        ip nhrp map 10.10.10.1 192.0.2.2
        ip nhrp map multicast 192.0.2.2
        ip nhrp network-id 60
        ip nhrp holdtime 360
        ip nhrp nhs 10.10.10.1
        ip nhrp registration no-unique
        ip nhrp registration timeout 60
        ip tcp adjust-mss 1432
        ip ospf network broadcast
        tunnel source Ethernet0/0
        tunnel mode gre multipoint
        tunnel key 60
        !
        !
        interface Ethernet0/0
        ip address 192.0.4.2 255.255.255.0
        !
        !
        router ospf 1
        router-id 10.10.10.2
        log-adjacency-changes
        auto-cost reference-bandwidth 10000
        network 10.10.10.2 0.0.0.0 area 0
        !
        !
        ip route 192.0.2.0 255.255.255.0 192.0.4.1
        ip route 192.168.32.0 255.255.240.0 192.0.4.1

         

        2) Информация о состоянии протоколов OSPF и NHRP:

        Router#show ip ospf neighbor
        Neighbor ID Pri State Dead Time Address Interface
        10.10.10.1 255 FULL/DR 00:00:31 10.10.10.1 Tunnel1

         

        Router#show ip nhrp
        10.10.10.1/32 via 10.10.10.1
        Tunnel1 created 01:36:26, never expire
        Type: static, Flags: used
        NBMA address: 192.0.2.2
        10.10.10.2/32 via 10.10.10.2
        Tunnel1 created 00:01:00, expire 00:04:59
        Type: dynamic, Flags: router unique local
        NBMA address: 192.0.4.2
        (no-socket)
        10.10.10.3/32 via 10.10.10.3
        Tunnel1 created 00:01:00, expire 00:04:59
        Type: dynamic, Flags: router
        NBMA address: 192.168.39.216

        Источник:
        docs.eltex-co.ru

        [ESR] OpenVPN server ESR и tunnel OpenVPN ESR
        Задача: Необходимо организовать возможность подключения по OpenVPN к головному офису клиентов удаленного офиса, и клиентов подключенных непосредственно к сети Интернет. В головном офисе через интерфейс gi1/0/1 с белым IP адресом 10.10.0.10/8 у нас имеется выход в интернет.

        Решение:

        Первым делом настроим OpenVPN сервер на примере маршрутизатора ESR-200. Для этого нам понадобятся заранее выработанные сертификаты и ключи(ca.crt, dh.pem, server.key, client.key, server.crt, client.crt, ta.key).

        Загрузим сертификаты на маршрутизатор. Для этого воспользуемся TFTP сервером (также можно загружать сертификаты и через FTP/SCP либо USB/SD).

         

          esr-200# copy tftp://192.168.16.10:/ca.crt certificate:ca/ca.crt
          esr-200# copy tftp://192.168.16.10:/dh.pem certificate:dh/dh.pem
          esr-200# copy tftp://192.168.16.10:/server.key certificate:server-key/server.key
          esr-200# copy tftp://192.168.16.10:/server.crt certificate:server-crt/server.crt
          esr-200# copy tftp://192.168.16.10:/ta.key certificate:ta/ta.key

        Далее сама настройка:

         

           esr-200# config
           esr-200(config)# remote-access openvpn GenOffice                                 //Создаем сервер и даем ему имя
           esr-200(config-openvpn-server)# network 10.10.100.0/24                         //Определяем сеть из которой будут выделяться адреса клиентам
           esr-200(config-openvpn-server)# protocol tcp                                            //Выбираем протокол по которому будет работать сервер (tcp/udp)
           esr-200(config-openvpn-server)# tunnel ip                                                 //Выбираем на каком уровне будет работать (l2 ethetnet/l3 ip)
           esr-200(config-openvpn-server)# encryption algorithm aes128                 //Выбираем алгоритм шифрования
           esr-200(config-openvpn-server)# authentication algorithm sha-256          //Алгоритм аутентификации
           esr-200(config-openvpn-server)# certificate ca ca.crt                                //
           esr-200(config-openvpn-server)# certificate dh dh.pem                            //
           esr-200(config-openvpn-server)# certificate server-key server.key           //указываем загруженные ранее сертификаты
           esr-200(config-openvpn-server)# certificate server-crt server.crt              //
           esr-200(config-openvpn-server)# certificate ta ta.key                               //
           esr-200(config-openvpn-server)# security-zone trusted                           //Указываем зону безопасности
           esr-200(config-openvpn-server)# route 192.168.1.0/24                           //Добавляем маршрут на сеть, которая будет доступна для клиентов
           esr-200(config-openvpn-server)# enable                                                 //Включаем сервер

         

        Предположим что удаленному офису необходимо дать статический IP. Тогда для данного клиента (в примере используется имя сертификата udoffice) необходимо произвести следующие настройки:

         

            esr-200(config-openvpn-server)# username udoffice
            esr-200(config-openvpn-user)# ip address 10.10.100.202
            esr-200(config-openvpn-user)# exit 

         

        Если говорить о клиентах с интернета, то их много и необходимо, что бы они подключались через один сертификат. Для этого активируем функцию duplicate-cn:

         

            esr-200(config-openvpn-server)# duplicate-cn
            esr-200(config-openvpn-server)# end
            esr-200# commit
            esr-200# confirm

         

        На этом настройка сервера завершена. Перейдем к настройке удаленного офиса. Предположем, что там установлен ESR-10. Загрузим на него сертификаты и настроим OpenVPN туннель:

         

          esr-10# copy tftp://192.168.16.10:/ca.crt certificate:ca/ca.crt
          esr-10# copy tftp://192.168.16.10:/dh.pem certificate:dh/dh.pem
          esr-10# copy tftp://192.168.16.10:/udoffice.key certificate:client-key/udoffice.key
          esr-10# copy tftp://192.168.16.10:/udoffice.crt certificate:client-crt/udoffice.crt
          esr-10# copy tftp://192.168.16.10:/ta.key certificate:ta/ta.key

         

          esr-10# config
          esr-10(config)# tunnel openvpn 1
          esr-10(config-openvpn)# ip firewall disable
          esr-10(config-openvpn)# remote address 10.10.0.10
          esr-10(config-openvpn)# protocol tcp
          esr-10(config-openvpn)# tunnel ip
          esr-10(config-openvpn)# encryption algorithm aes128
          esr-10(config-openvpn)# authentication algorithm sha-256
          esr-10(config-openvpn)# certificate ca ca.crt
          esr-10(config-openvpn)# certificate dh dh.pem
          esr-10(config-openvpn)# certificate client-key udoffice.key
          esr-10(config-openvpn)# certificate client-crt udoffice.crt
          esr-10(config-openvpn)# certificate ta ta.key
          esr-10(config-openvpn)# enable

         

        Все настройки клиента должны соответствовать наcтройкам сервера.

         

            esr-10(config-openvpn)# end
            esr-10# commit
            esr-10# confirm

         

        Просмотреть статус подключенных клиентов на сервере можно командой show remote-access status openvpn. Статус туннеля на клиенте show tunnels status.

         

        Пример конфигурации клиента Windows

        Для подключение к OpenVPN серверу с ОС Windows необходимо установить дополнительное ПО. Пример конфигурации:

         

            Client
            remote 10.10.0.10 1194
            proto  tcp
            dev    tun
            remote-cert-tls server
            ca       ca.crt
            cert     client.crt
            key      client.key
            tls-auth ta.key 1
            cipher AES-128-CBC
            auth SHA256
            verb 3

        Источник:
        docs.eltex-co.ru

        [ESR] Remote Access IPsec VPN
        Remote Access IPsec VPN – сценарий организации временных VPN-подключений, в котором сервер IPsec VPN находится в режиме ожидания входящих подключений, а клиенты осуществляют временные подключения к серверу для получения доступа к сетевым ресурсам.

        Дополнительной особенностью RA IPsec VPN является возможность использования второго фактора аутентификации IPsec – Extended Authentication (XAUTH), вторым фактором аутентификации является пара логин-пароль для клиента IPsec VPN.

        Задача:

        Настроить Remote Access IPsec VPN между R1 и R2 с использованием второго фактора

        аутентификации IPsec - XAUTH. В качестве сервера IPsec VPN настроить маршрутизатор R1, а

        маршрутизатор R2 в качестве клиента IPsec VPN.

        R2 IP-адрес - 120.11.5.1;

        R1 IP-адрес - 180.100.0.1;

         

        Клиентам IPsec VPN:

        • выдавать адреса из пула подсети 192.0.2.0/24;
        • предоставлять доступ до LAN подсети 10.0.0.0/16;
        • группа Диффи-Хэллмана: 2;
        • алгоритм шифрования: 3DES;
        • алгоритм аутентификации: SHA

         

        Решение:

        Конфигурирование R1:

        Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

        esr# configure
        esr(config)# security zone untrusted
        esr(config-zone)# exit
        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# security-zone untrusted
        esr(config-if-gi)# ip address 180.100.0.1/24
        esr(config-if-gi)# exit

         

        Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

         

        esr(config)# object-group service ISAKMP
        esr(config-object-group-service)# port-range 500,4500
        esr(config-object-group-service)# exit   

         

        Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования 3DES, алгоритм аутентификации SHA1. Данные параметры безопасности используются для защиты IKE-соединения:

         

        esr(config)# security ike proposal IKEPROP
        esr(config-ike-proposal)# dh-group 2
        esr(config-ike-proposal)# authentication algorithm sha1
        esr(config-ike-proposal)# encryption algorithm 3des
        esr(config-ike-proposal)# exit

         

        Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы, ключ аутентификации и метод аутентификации XAUTH по ключу.

         

        esr(config)# security ike policy IKEPOLICY
        esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
        esr(config-ike-policy)# authentication method xauth-psk-key
        esr(config-ike-policy)# proposal IKEPROP
        esr(config-ike-policy)# exit

         

        Создадим профиль доступа и заведем в нем пару логин и пароль для клиента IPsec VPN:

         

        esr(config)# access profile XAUTH
        esr(config-access-profile)# user client1
        esr(config-profile)# password ascii-text password123
        esr(config-profile)# exit
        esr(config-access-profile)# exit

         

        Создадим пул адресов назначения, из которого будут выдаваться IP клиентам IPsec VPN:

        esr-1000(config)# address-assignment pool CLIENT_POOL
        esr-1000(config-pool)# ip prefix 192.0.2.0/24
        esr-1000(config-pool)# exit

        Создадим шлюз протокола IKE. В данном профиле необходимо указать политику протокола IKE, указать локальную подсеть, в качестве удаленной подсети указать пул адресов назначения, задать режим перенаправления трафика в туннель по политике и использование второго фактора аутентификации XAUTH:

         

        esr(config)# security ike gateway IKEGW
        esr(config-ike-gw)# ike-policy IKEPOLICY
        esr(config-ike-gw)# local address 180.100.0.1
        esr(config-ike-gw)# local network 10.0.0.0/16
        esr(config-ike-gw)# remote address any
        esr(config-ike-gw)# remote network dynamic pool CLIENT_POOL
        esr(config-ike-gw)# dead-peer-detection action clear
        esr(config-ike-gw)# mode policy-based
        esr(config-ike-gw)# xauth access-profile XAUTH
        esr(config-ike-gw)# exit

         

        Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования 3DES, алгоритм аутентификации SHA1. Данные параметры безопасности используются для защиты IPsec-туннеля:

         

        esr(config)# security ipsec proposal IPSECPROP
        esr(config-ipsec-proposal)# authentication algorithm sha1
        esr(config-ipsec-proposal)# encryption algorithm 3des
        esr(config-ipsec-proposal)# exit

         

        Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы:

         

        esr(config)# security ipsec policy IPSECPOLICY
        esr(config-ipsec-policy)# proposal IPSECPROP
        esr(config-ipsec-policy)# exit

         

        Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и режим ожидания входящего соединения IPsec - by-request. После ввода всех параметров включим туннель командой enable:

         

        esr(config)# security ipsec vpn IPSECVPN
        esr(config-ipsec-vpn)# mode ike
        esr(config-ipsec-vpn)# ike establish-tunnel by-request
        esr(config-ipsec-vpn)# ike gateway IKEGW
        esr(config-ipsec-vpn)# ike ipsec-policy IPSECPOLICY
        esr(config-ipsec-vpn)# enable
        esr(config-ipsec-vpn)# exit

         

        Разрешим протокол esp и udp порты 500,4500 в конфигурации firewall для установления IPsec VPN:

         

        esr(config)# security zone-pair untrusted self
        esr(config-zone-pair)# rule 1
        esr(config-zone-pair-rule)# action permit
        esr(config-zone-pair-rule)# match protocol udp
        esr(config-zone-pair-rule)# match destination-port ISAKMP
        esr(config-zone-pair-rule)# enable
        esr(config-zone-pair-rule)# exit
        esr(config-zone-pair)# rule 2
        esr(config-zone-pair-rule)# action permit
        esr(config-zone-pair-rule)# match protocol esp
        esr(config-zone-pair-rule)# enable
        esr(config-zone-pair-rule)# exit
        esr(config-zone-pair)# end

         

        Конфигурирование R2:

        Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

         

        esr# configure
        esr(config)# interface gi 1/0/1
        esr(config-if)# ip address 120.11.5.1/24
        esr(config-if)# security-zone untrusted
        esr(config-if)# exit

         

        Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

         

        esr(config)# object-group service ISAKMP
        esr(config-addr-set)# port-range 500,4500
        esr(config-addr-set)# exit

         

        Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования 3DES, алгоритм аутентификации SHA1. Данные параметры безопасности используются для защиты IKE-соединения:

         

        esr(config)# security ike proposal IKEPROP
        esr(config-ike-proposal)# dh-group 2
        esr(config-ike-proposal)# authentication algorithm sha1
        esr(config-ike-proposal)# encryption algorithm 3des
        esr(config-ike-proposal)# exit

         

        Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы, ключ аутентификации, метод аутентификации XAUTH по ключу и режим аутентификации - клиент:

         

        esr(config)# security ike policy IKEPOLICY
        esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
        esr(config-ike-policy)# authentication method xauth-psk-key
        esr(config-ike-policy)# authentication mode client
        esr(config-ike-policy)# proposal IKEPROP
        esr(config-ike-policy)# exit

         

        Создадим профиль доступа и заведем в нем пару логин и пароль:

         

        esr(config)# access profile XAUTH
        esr(config-access-profile)# user client1
        esr(config-profile)# password ascii-text password123
        esr(config-profile)# exit
        esr(config-access-profile)# exit

         

        Создадим интерфейс loopback для терминации IP адреса, полученного от IPsec VPN сервера:

         

        esr(config)# interface loopback 8
        esr(config-loopback)# exit

         

        Создадим шлюз протокола IKE. В данном профиле указывается политика, интерфейс терминации, режим динамического установления удаленной подсети, выбор профиля доступа для XAUTH и режим перенаправления трафика в туннель по политике:

         

        esr(config)# security ike gateway IKEGW
        esr(config-ike-gw)# ike-policy IKEPOLICY
        esr(config-ike-gw)# assign-interface loopback 8
        esr(config-ike-gw)# local address 120.11.5.1
        esr(config-ike-gw)# remote address 180.100.0.1
        esr(config-ike-gw)# remote network dynamic client
        esr(config-ike-gw)# mode policy-based
        esr(config-ike-gw)# xauth access-profile xauth client client1
        esr(config-ike-gw)# exit

         

        Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования 3DES, алгоритм аутентификации SHA1. Данные параметры безопасности используются для защиты IPsec-туннеля:

         

        esr(config)# security ipsec
        esr(config-ipsec-proposal)#
        esr(config-ipsec-proposal)#
        esr(config-ipsec-proposal)#
        proposal IPSECPROP
        authentication algorithm md5
        encryption algorithm aes128
        exit

         

        Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы:

         

        esr(config)# security ipsec policy IPSECPOLICY
        esr(config-ipsec-policy)# proposal IPSECPROP
        esr(config-ipsec-policy)# exit

         

        Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включимтуннель командой enable:

         

        esr(config)# security ipsec vpn IPSECVPN
        esr(config-ipsec-vpn)# mode ike
        esr(config-ipsec-vpn)# ike establish-tunnel immediate
        esr(config-ipsec-vpn)# ike gateway IKEGW
        esr(config-ipsec-vpn)# ike ipsec-policy IPSECPOLICY
        esr(config-ipsec-vpn)# enable
        esr(config-ipsec-vpn)# exit

         

        Разрешим протокол esp и udp порты 500,4500 в конфигурации firewall для установления IPsec VPN:

        esr(config)# security zone-pair untrusted self
        esr(config-zone-pair)# rule 1
        esr(config-zone-pair-rule)# action permit
        esr(config-zone-pair-rule)# match protocol udp
        esr(config-zone-pair-rule)# match destination-port ISAKMP
        esr(config-zone-pair-rule)# enable
        esr(config-zone-pair-rule)# exit
        esr(config-zone-pair)# rule 2
        esr(config-zone-pair-rule)# action permit
        esr(config-zone-pair-rule)# match protocol esp
        esr(config-zone-pair-rule)# enable
        esr(config-zone-pair-rule)# exit
        esr(config-zone-pair)# end

         

        Состояние туннеля можно посмотреть командой:

        esr# show security ipsec vpn status IPSECVPN

        Конфигурацию туннеля можно посмотреть командой:

        esr# show security ipsec vpn configuration IPSECVPN

        Источник:
        docs.eltex-co.ru

        [ESR] Как задать тип инкапсуляции и VLAN для созданного сабинтерфейса?
        При создании сабинтерфейса тип инкапсуляции и VLAN ID задается автоматически, индекc сабинтерфейса является идентификатором VID.

        Начиная с версии ПО 1.6 введены режимы работы физичиских интерфейсов: маршрутизируемый и коммутируемый порт. Создание сабинтерфейсов доступно только для маршрутизиремого порта:

         

        ESR(config)# interface gigabitethernet 1/0/1
        ESR(config-if-gi)# mode routerport
        ESR(config-if-gi)# exit
        ESR(config)# interface gigabitethernet 1/0/1.100
        ESR(config)#

         

        Изменения конфигурации вступают в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Источник:
        docs.eltex-co.ru

        [ESR] Конвертировать один VLAN в другой (VLAN map)
        Задача: Необходимо связать разные VLAN в одну подсеть на уровне L2 - объеденить в бродкаст домен.

        Решение:

        Для решения поставленной задачи будем использовать бридж и саб интерфейсы (число саб интерфейсов соответствует числу VLAN ID, которые необходимо объеденить, в примере их два).

        1) на маршрутизаторе создаем бридж:

        bridge 3
        ip firewall disable
        enable
        exit

        2) создаем на маршрутизаторе саб интерфейсы и привязываем их к бриджу:

        interface gigabitethernet 1/0/4.1001
        bridge-group 3
        exit
        interface gigabitethernet 1/0/4.1002
        bridge-group 3
        exit

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Теперь фреймы ( в том числе броадкаст) будут распространяться между VLAN 1001 и 1002.

        Примечание: На bridge 3 можно навесить IP адрес и внести его в зону безопасности или оставить firewall отключенным:

        bridge 3
        security-zone trusted
        ip address 192.0.2.254/24
        enable
        exit

        Теперь после применения конфигурации, IP 192.0.2.254 можно использовать, например, как шлюз для подсети из VLAN 1001 и 1002, и маршрутизировать трафик далее.

        Источник:
        docs.eltex-co.ru

        [ESR] Конфигурация NTP
        Задача: Настроить синхронизацию времени по протоколу NTP

        Решение:

        Предварительно настроен ip адрес на интерфейсе gigabitethernet 1/0/1 - 192.168.0.10/24. Сервер NTP(источник синхронизации) имеет ip адрес 192.168.0.1/24

        Конфигурация NTP на маршрутизаторе ESR:

        Включение синхронизации системных часов с удаленными серверами

        esr(config)# ntp enable

        Настроика NTP сервера

        esr-(config)# ntp server 192.168.0.1

        Указать предпочтительность данного NTP сервера(необезательно)

        esr-1000(config-ntp)# prefer

        Указать интервал времени между отправкой сообщений NTP-серверу

        esr(config-ntp)# minpoll 4

        esr(config-ntp)# end

        esr# commit

        esr# confirm

        Команда для просмотра текущей конфигурацию протокола NTP:

        esr# show ntp configuration

        Команда для просмотра текущего состояние NTP-серверов (пиров):

        esr# show ntp peers

        При использовании firewall необходимо разрешить входящий трафик по

        протоколу UDP с портом назначения 123:

        security zone untrust

        exit

        object-group service NTP

        port-range 123

        exit

        interface gigabitethernet 1/0/1

        security-zone untrust

        ip address 192.168.0.10/24

        exit

        security zone-pair untrust self

        rule 10

        action permit

        match protocol udp

        match source-address any

        match destination-address any

        match source-port any

        match destination-port NTP

        enable

        exit

        exit

        Источник:
        docs.eltex-co.ru

        [ESR] Ограничение трафика по URL
        В случае необходимости ограничить доступ к ресурсам по URL, возможно использовать функционал ip http/https proxy.

        В данном примере производится ограничения доступа к определенным ресурсам(YouTube, ВКонтакте) на интерфейсе gi 1/0/2 при запросе(Хост), доступ ко всем прочим ресурсам не ограничивается(default action permit в конфигурации ip http profile Test). В object-group url Black ресурс YouTube указан в формате regexp:

         

        esr# sh running-config

        object-group url Black
          url https://vk.com/
          regexp 'youtube.com'
        exit

         ip http profile Test
         default action permit
          urls local Black action deny
        exit

         interface gigabitethernet 1/0/1
          description "to_WAN"
          ip firewall disable
          ip address 192.0.2.1/30
        exit

         interface gigabitethernet 1/0/2
          description "to_LAN"
          ip firewall disable
          ip address 192.168.0.10/24
          ip http proxy Test
          ip https proxy Test
        exit

         nat source
          ruleset test
           to interface gigabitethernet 1/0/1
            rule 1
              action source-nat interface
              enable
           exit
          exit
        exit

         ip route 0.0.0.0/0 192.0.2.2

         

        Проверка работоспособности производилась на версии ПО 1.14.5.

        Источник:
        docs.eltex-co.ru

        [ESR] Передача потока E1 через IP-сеть с использованием маршрутизаторов серии ESR и SFP-модулей ToPGATE-SFP
        Исходное состояние: Между марршрутизаторами организована IP-связность Firewall отключен Для обмена маршрутной информацией запущен протокол OSPF.

        Конфигурации маршрутизаторов:

        hostname routerA

        system jumbo-frames

        router ospf 1
          router-id 192.168.54.1
          area 0.0.0.0
            enable
          exit
          enable
        exit

         

        interface gigabitethernet 1/0/1
          ip firewall disable
          ip address 192.168.54.1/30
          ip ospf instance 1
          ip ospf
        exit

         

        hostname routerB

        system jumbo-frames

        router ospf 1
          router-id 192.168.54.2
          area 0.0.0.0
            enable
          exit
          enable
        exit

         interface gigabitethernet 1/0/1
          ip firewall disable
          ip address 192.168.54.2/30
          ip ospf instance 1
          ip ospf
        exit

        1. Установить SFP-модуль ToPGATE-SFP в routerA (для примера будет использоваться интерфейс gi1/0/5) и подождать 15 секунд.
        2. Для подключения к SFP-модулю на интерфейсе маршрутизатора настроить IP-адрес 192.168.0.23/24

         

        interface gigabitethernet 1/0/5
          ip firewall disable
          ip address 192.168.0.23/24
        exit

        1. Настроить IP-связность между routerA и SFP-модулем без использования IP-адресов по умолчанию. Для примера будет использоваться адресация в подсети 172.16.16.0/30

        3.1. Подключиться из CLI ESR к CLI SFP-модуля по протоколу telnet на IP-адрес по умолчанию 192.168.0.24 используя логин/пароль - admin/admin

         

        routerA# telnet 192.168.0.24

        Entering character mode
        Escape character is '^]'.

        login: admin
        password:

         

        Появится меню настройки ToPGATE-SFP

         ..
        |>AAA
        | E1
        | Envir
        | Eth
        | flash
        | IP
        | System
        | TDMoP
        | VLAN

         

        3.2. Используя клавиши вверх/вниз перейти на раздел меню “IP” и нажать Enter

         

        |>..
        | current-config
        | hosts
        | stat
        | stored-config

         

        3.3. Используя клавиши вверх/вниз перейти на раздел меню “stored-config” и нажать Enter

         

        >..
        | NetworkAddr       192.168.0.24
        | NetworkMask       255.255.255.0
        | DefaultGateway    192.168.0.1
        | DefaultVlanID     0
        | DefaultVlanPri    0
        | PhysicalAddr      54:A5:4B:00:67:6A
        | SecondaryMAC      54:A5:4B:00:67:6B
        | TrustAll          Yes
        | TrustLocal        Yes
        | TrustUnkVlan      Yes
        | DNS1              0.0.0.0

        3.4. Назначить SFP-модулю новый IP-адрес

        Используя клавиши вверх/вниз перейти на раздел меню “NetworkAddr” и нажать Enter

         

        |---------------------------------------|
        |Enter value:                            |
        |192.168.0.24                          |
        |                                               |
        |---------------------------------------|

        При помощи клавиши backspase удалить IP-адрес по умолчанию (192.168.0.24). Ввести IP-адрес выделенный для IP-связности routerA и ToPGATE-SFP (для примера используется IP-адрес 172.16.16.2/30)

        |---------------------------------------|
        |Enter value:                            |
        |172.16.16.2                            |
        |                                               |
        |---------------------------------------|

        Нажать клавишу Enter.

        3.5. Используя клавиши вверх/вниз перейти на раздел меню “NetworkMask ” и нажать Enter

        |---------------------------------------|
        |Enter value:                            |
        |255.255.255.0                        |
        |                                               |
        |---------------------------------------|

        Исправить маску подсети в соответствии с выделенной маской

        |---------------------------------------|
        |Enter value:                            |
        |255.255.255.252                    |
        |                                               |
        |---------------------------------------|

        Нажать клавишу Enter.

        3.6. Используя клавиши вверх/вниз перейти на раздел меню “DefaultGateway” и нажать Enter

        |---------------------------------------|
        |Enter value:                            |
        |192.168.0.1                            |
        |                                               |
        |---------------------------------------|

        Исправить IP-адрес шлюза по умолчанию, на IP-адрес который будет назначен на gi1/0/5 маршрутизатора

        |---------------------------------------|
        |Enter value:                            |
        |172.16.16.1                            |
        |                                               |
        |---------------------------------------|

        Нажать клавишу Enter.

        3.7. Выйти в основное меню SFP-модуля

        Используя клавиши вверх/вниз перейти на раздел меню “..” и нажать Enter

        |>..
        | current-config
        | hosts
        | stat
        | stored-config

        Используя клавиши вверх/вниз перейти на раздел меню “..” и нажать Enter

        | ..
        |>AAA
        | E1
        | Envir
        | Eth
        | flash
        | IP
        | System
        | TDMoP
        | VLAN

        3.8. Сохранить выполненные настройки последовательным или одновременным нажатием клавиш “ESC” и “s”

        3.9. Выйти из CLI SFP-модуля:

        нажать комбинацию клавиш “CTRL”+”5” и нажать на клавишу “e”.

         

        Console escape. Commands are:

         l      go to line mode
         c      go to character mode
         z      suspend telnet
         e      exit telnet
        routerA#

         

        3.10 Извлечь SFP-модуль из маршрутизатора

        3.11. Удалить с интерфейса gi1/0/5 установленный ранее IP-адрес 192.168.0.23/24 и назначить IP-адрес выделенный для IP-связности routerA и ToPGATE-SFP (для примера используется IP-адрес 172.16.16.1/30). Также, на интерфейсе можно включить работу протокола OSPF, для обеспечения IP-связности между ToPGATE-SFP установленных в разных маршрутизаторах.

         

        routerA# configure
        routerA(config)# interface gigabitethernet 1/0/5
        routerA(config-if-gi)# no ip address 192.168.0.23/24
        routerA(config-if-gi)# ip address 172.16.16.1/30
        routerA(config-if-gi)# ip ospf instance 1
        routerA(config-if-gi)# ip ospf
        routerA(config-if-gi)# end
        routerA# commit
        routerA# confirm

         

        3.12 Установить обратно SFP-модуль, подождать 15 секунд и проверить IP-связность routerA c SFP-модулем используя команду ping

        routerA# ping 172.16.16.2
        PING 172.16.16.2 (172.16.16.2) 56(84) bytes of data.
        !!!!!
        --- 172.16.16.2 ping statistics ---
        5 packets transmitted, 5 received, 0% packet loss, time 4049ms
        rtt min/avg/max/mdev = 0.268/0.345/0.593/0.125 ms

         

        1. Повторить все шаги описанные в разделах 1, 2 и 3 но для пары routerB - ToPGATE-SFPиспользуя другую подсеть для IP-связности (для примера 172.16.16.4/30)
        2. Проверить результаты конфигурирования:

        5.1. Итоговые конфигурации маршрутизаторов должны содержать необходимые команды:

        hostname routerA

          system jumbo-frames

          outer ospf 1
          router-id 192.168.54.1
          area 0.0.0.0
            enable
          exit
          enable
        exit

         

        interface gigabitethernet 1/0/1
          ip firewall disable
          ip address 192.168.54.1/30
          ip ospf instance 1
          ip ospf
        exit

         

        interface gigabitethernet 1/0/5
          ip firewall disable
          ip address 172.16.16.1/30
          ip ospf instance 1
          ip ospf
        exit

         

        hostname routerB

          system jumbo-frames

         router ospf 1
          router-id 192.168.54.2
          area 0.0.0.0
            enable
          exit
          enable
        exit

         

        interface gigabitethernet 1/0/1
          ip firewall disable
          ip address 192.168.54.2/30
          ip ospf instance 1
          ip ospf
        exit
        interface gigabitethernet 1/0/5
          ip firewall disable
          ip address 172.16.16.5/30
          ip ospf instance 1
          ip ospf
        exit

        5.2. В таблицах маршрутизации каждого ESR должна быть информация о подсети, настроенной на другом ESR

        routerA# show ip route
         Codes: C - connected, S - static, R - RIP derived,
                O - OSPF derived, IA - OSPF inter area route,
                E1 - OSPF external type 1 route, E2 - OSPF external type 2 route
                B - BGP derived, D - DHCP derived, K - kernel route, V - VRRP route
                * - FIB route

         C     * 192.168.54.0/30    [0/0]                dev gi1/0/1                                 [direct 00:00:46]
        O     * 172.16.16.4/30       [150/20]          via 192.168.54.2 on gi1/0/1       [ospf1 01:15:59]  (192.168.54.2)
        C     * 172.16.16.0/30       [0/0]                dev gi1/0/5                                 [direct 01:02:56]

         

        routerB# sh ip route
         Codes: C - connected, S - static, R - RIP derived,
                O - OSPF derived, IA - OSPF inter area route,
                E1 - OSPF external type 1 route, E2 - OSPF external type 2 route
                B - BGP derived, D - DHCP derived, K - kernel route, V - VRRP route
                * - FIB route

         C     * 192.168.54.0/30    [0/0]                dev gi1/0/1                                 [direct 03:36:24]
        C     * 172.16.16.4/30       [0/0]                dev gi1/0/5                                 [direct 05:20:28]
        O     * 172.16.16.0/30       [150/20]          via 192.168.54.1 on gi1/0/1       [ospf1 05:07:29]  (192.168.54.1)

         

        1. Настроить "проброс" потока E1 между SFP-модулями ToPGATE-SFP

        6.1. Подключиться по telnet к SFP-модулю установленному в routerA используя логин/пароль - admin/admin

         

        routerA# telnet 192.168.0.24

        Entering character mode
        Escape character is '^]'.

         login: admin
        password:

         

        6.2. Перемещаясь по меню способом описанным в разделе 3 перейти в TDMoP --> 0 --> config

        6.3. Аналогично действиям описанном в разделе 3 в качестве удаленного IP (RemoteIP), прописать ip-адрес назначенный на SFP-модуль установленный в routerB

        6.4. Аналогично действиям описанном в разделе 3 активировать подключение т.е. Установить для поля “AdminStatus” значение “AdminStatus”

        6.5. Аналогично действиям описанном в разделе 3 для поля “VLANID” установить значение “0”

        6.6. Сохранить выполненные настройки последовательным или одновременным начанием клавишь “ESC” и “s”

        1. Повторить все пункты описанные в разделе 6 для SFP-модуля установленного в routerB, прописав в качестве RemoteIPip-адрес назначенный на SFP-модуле установленном в routerA
        2. Возможно потребуется произвести настройки в разделе “E1” основного меню но это зависит от конфигурации E1 интерфейсов оборудования подключаемого к ToPGATE-SFP.

        Источник:
        docs.eltex-co.ru

        [ESR] Применение ESR для нескольких подсетей с разными UpLink'ами
        Задача: Есть 2 аплинка и 2 подсети. Первый аплинк в Интернет без фильтрации, второй аплинк в Интернет с фильтрацией. Необходимо чтобы подсеть 192.168.1.0/24 ходила в "чистый" Интернет, а 192.168.2.0/24 только в фильтрованный.

        [ESR] Применение ESR для нескольких подсетей с разными UpLink'ами

        Для решения задачи будем использовать VRF.

        Для начала создадим на ESR VRF c именем kids:

        esr-12v# config
        esr-12v(config)# ip vrf kids
        esr-12v(config-vrf)# exit

        При необходимости настройки файрвола создадим зоны безопасности. Для внешних интерфейсов untrusted, для внутренних trusted:

        esr-12v(config)# security zone trusted
        esr-12v(config-zone)# exit
        esr-12v(config)# security zone untrusted
        esr-12v(config-zone)# exit

        Также стоит учесть, что для интерфейсов включенных в VRF потребуются свои зоны безопасности. Создадим их и включим в vrf kids.

        esr-12v(config)# security zone trust-kids
        esr-12v(config-zone)# ip vrf forwarding kids
        esr-12v(config-zone)# exit
        esr-12v(config)# security zone untrust-kids
        esr-12v(config-zone)# ip vrf forwarding kids
        esr-12v(config-zone)# exit

        Приступим к настройке интерфейсов для подключения к сети Интернет:

        esr-12v(config)# interface gigabitethernet 1/0/1
        esr-12v(config-if-gi)# ip address 185.16.15.2/30
        esr-12v(config-if-gi)# security-zone untrusted
        esr-12v(config-if-gi)# exit

        Указываем маршрут в интернет:

        esr-12v(config)# ip route 0.0.0.0/0 185.16.15.1

         

        Приступим к интерфейсу с фильтрованным интернетом. Первым делом включаем необходимый интерфейс в vrf kids:

        esr-12v(config)# interface gigabitethernet 1/0/2
        esr-12v(config-if-gi)# ip vrf forwarding kids
        esr-12v(config-if-gi)# ip address 185.16.20.2/30
        esr-12v(config-if-gi)# security-zone untrust-kids
        esr-12v(config-if-gi)# exit

        Точно также указываем маршрут, но с учетом vrf kids:

        esr-12v(config)# ip route vrf kids 0.0.0.0/0 185.16.20.1

        Создаем интерфейсы под локальные подсети. Подсеть которая будет ходить в фильтрованный интернет необходимо включить в тот же vrf, что и uplink.

        esr-12v(config)# interface gigabitethernet 1/0/3
        esr-12v(config-if-gi)# ip address 192.168.1.1/24
        esr-12v(config-if-gi)# security-zone trusted
        esr-12v(config-if-gi)# exit
        esr-12v(config)# interface gigabitethernet 1/0/4
        esr-12v(config-if-gi)# ip vrf forwarding kids
        esr-12v(config-if-gi)# ip address 192.168.2.1/24
        esr-12v(config-if-gi)# security-zone trust-kids
        esr-12v(config-if-gi)# exit

        Далее для каждой подсети настроим nat source:

        esr-12v(config)# nat source

        esr-12v(config-snat)# ruleset factory

        esr-12v(config-snat-ruleset)# to zone untrusted

        esr-12v(config-snat-ruleset)# rule 10

        esr-12v(config-snat-rule)# action source-nat interface

        esr-12v(config-snat-rule)# enable

        esr-12v(config-snat-rule)# exit

        esr-12v(config-snat-ruleset)# exit

         

        Для фильтрованного интернета ruleset необходимо таже добавить в vrf kids:

        esr-12v(config-snat)# ruleset kids
        esr-12v(config-snat-ruleset)# ip vrf forwarding kids
        esr-12v(config-snat-ruleset)# to zone untrust-kids
        esr-12v(config-snat-ruleset)# rule 10
        esr-12v(config-snat-rule)# action source-nat interface
        esr-12v(config-snat-rule)# enable
        esr-12v(config-snat-rule)# exit
        esr-12v(config-snat-ruleset)# exit
        esr-12v(config-snat)# exit

         

        Далее разрешим трафик между зонами безопасности:

        esr-12v(config)# security zone-pair trusted untrusted
        esr-12v(config-zone-pair)# rule 1
        esr-12v(config-zone-pair-rule)# action permit
        esr-12v(config-zone-pair-rule)# enable
        esr-12v(config-zone-pair-rule)# exit
        esr-12v(config-zone-pair)# exit
        esr-12v(config)# security zone-pair trusted trusted
        esr-12v(config-zone-pair)# rule 1
        esr-12v(config-zone-pair-rule)# action permit
        esr-12v(config-zone-pair-rule)# enable
        esr-12v(config-zone-pair-rule)# exit
        esr-12v(config-zone-pair)# exit
        sr-12v(config)# security zone-pair trusted self
        esr-12v(config-zone-pair)# rule 1
        esr-12v(config-zone-pair-rule)# action permit
        esr-12v(config-zone-pair-rule)# enable
        esr-12v(config-zone-pair-rule)# exit
        esr-12v(config-zone-pair)# exit

         

        Для интерфейсов в vrf kids:

        esr-12v(config)# security zone-pair trust-kids untrust-kids
        esr-12v(config-zone-pair)# rule 1
        esr-12v(config-zone-pair-rule)# action permit
        esr-12v(config-zone-pair-rule)# enable
        esr-12v(config-zone-pair-rule)# exit
        esr-12v(config-zone-pair)# exit
        esr-12v(config)# security zone-pair trust-kids trust-kids
        esr-12v(config-zone-pair)# rule 1
        esr-12v(config-zone-pair-rule)# action permit
        esr-12v(config-zone-pair-rule)# enable
        esr-12v(config-zone-pair-rule)# exit
        esr-12v(config-zone-pair)# exit
        esr-12v(config)# security zone-pair trust-kids self
        esr-12v(config-zone-pair)# rule 1
        esr-12v(config-zone-pair-rule)# action permit
        esr-12v(config-zone-pair-rule)# enable
        esr-12v(config-zone-pair-rule)# exit
        esr-12v(config-zone-pair)# exit
        esr-12v(config)# exit
        esr-12v# commit
        esr-12v# confirm

         

        В итоге получаем конфигурацию следующего вида:

         

        esr-12v# show running-config
        ip vrf kids
        exit

         security zone trusted
        exit
        security zone untrusted
        exit
        security zone trust-kids
          ip vrf forwarding kids
        exit
        security zone untrust-kids
          ip vrf forwarding kids
        exit

          

        interface gigabitethernet 1/0/1
          security-zone untrusted
          ip address 185.16.15.2/30
        exit
        interface gigabitethernet 1/0/2
          ip vrf forwarding kids
          security-zone untrust-kids
          ip address 185.16.20.2/30
        exit
        interface gigabitethernet 1/0/3
          security-zone trusted
          ip address 192.168.1.1/24
        exit
        interface gigabitethernet 1/0/4
          ip vrf forwarding kids
          security-zone trust-kids
          ip address 192.168.2.1/24
        exit
        security zone-pair trusted untrusted
          rule 1
            action permit
            enable
          exit
        exit
        security zone-pair trusted trusted
          rule 1
            action permit
            enable
          exit
        exit
        security zone-pair trust-kids untrust-kids
          rule 1
            action permit
            enable
          exit
        exit
        security zone-pair trust-kids trust-kids
          rule 1
            action permit
            enable
          exit
        exit
        security zone-pair trusted self
          rule 1
            action permit
            enable
          exit
        exit
        security zone-pair trust-kids self
          rule 1
            action permit
            enable
          exit
        exit

        nat source
          ruleset factory
            to zone untrusted
            rule 10
              description "replace 'source ip'by outgoing interface ip address"
              action source-nat interface
              enable
            exit
          exit
          ruleset kids
            ip vrf forwarding kids
            to zone untrust-kids
            rule 10
              action source-nat interface
              enable
            exit
          exit
        exit

         

        ip route 0.0.0.0/0 185.16.15.1
        ip route vrf kids 0.0.0.0/0 185.16.20.1

        Источник:
        docs.eltex-co.ru

        [ESR] Применение конфигурации на ESR, переданной через сеть
        Настройка ESR Пример настройки компьютера на базе OS Linux для tftp и dhcp-серверов Настройка адресации Настройка dhcp-сервера Настройка tftp-сервера

        Настройка ESR

        Для возможности применения конфигурации, переданной через сеть на ESR необходимо:

        1. Подключить ESR к сети с заведомо настроенными dhcp и tftp серверами
        2. Включить dhcp-client на подключенном к сети интерфейсе
        3. Разрешить применение полученной по сети конфигурации командой "boot host auto-config"

         

        Пример конфигурации на ESR

        esr# sh run
        hostname esr

        boot host auto-config
        interface gigabitethernet 1/0/1
         ip address dhcp
        exit

         

        При следующем старте ESR:

        1. Применит ip настройки полученные через DHCP-сервер
        2. Скачает файл-конфигурации с TFTP-сервера
        3. Применит новую конфигурацию, полученную от TFTP-сервера

         

        Пример настройки компьютера на базе OS Linux для tftp и dhcp-серверов

        Задача: Настроить компьютер для выдачи конфигурации ESR по сети

         

        Настройка адресации

        ip add add 192.168.2.0/24 dev eth0

        где eth0 - сетевая карта компьютера, которая подключена в сеть с ESR

         

        Настройка dhcp-сервера

        dhcp-сервер вместе с сетевыми реквизитами  дополнительно отдает опций "tftp-server-name", "bootfile-name", с целью сообщить ЕСР параметры подключения к tftp-серверу и имя файла конфигурации, который необходимо загрузить и применить

        В примерах для связи ESR и компьютера (под управлением ОС на базе Linux) использована подсеть 192.168.2.0/24, где сервисы tftp-сервер и dhcp-сервер запущены на компьютере с IP адресом 192.168.2.1, а ESR получает IP-адрес из диапозона: 192.168.2.10-192.168.2.50

        Установка dhcp-сервера:

        sudo apt install -y isc-dhcp-server

         

        Правка файла-конфигурации:

        nano /etc/dhcp/dhcpd.conf

         

        /etc/dhcp/dhcpd.conf

        1. subnet168.2.0 netmask 255.255.255.0 {
        2. range 192.168.2.10 192.168.2.50;
        3. option bootfile-name "autoboot.conf";
        4. option tftp-server-name "192.168.2.1";
        5. }

        Запуск сервиса:

        sudo systemctl enable isc-dhcp-server
        sudo systemctl restart isc-dhcp-server

         

        Настройка tftp-сервера

        Установка сервиса tftp-сервер

        sudo apt install tftpd-hpa -y

         

        Внесение изменения в файл настройки tftp-сервера

        sudo nano /etc/default/tftpd-hpa

         

        /etc/default/tftpd-hpa

        1. TFTP_USERNAME="tftp"
        2. TFTP_DIRECTORY="/srv/tftp"
        3. TFTP_ADDRESS=":69"
        4. TFTP_OPTIONS="--ipv4 --secure --create"

        Создание папки, из которой tftp-сервер будет отдавать файлы по протоколу tftp

        sudo mkdir /srv/tftp
        sudo chown tftp:tftp /srv/tftp

         

        Перезапуск сервиса для применения настроек

        /etc/init.d/tftpd-hpa restart

         

        Положить в папку для отдачи файлов по tftp-протоколу файл "autoboot.conf" с конфигурацией, которая будет передаваться для применения на ESR

        Проверка, что файл лежит в папке:

        cat /srv/tftp/autoboot.conf
        #!/usr/bin/clash
        #19
        #1.12.0
        #05/11/2020
        #18:20:08
        hostname esr-boot-usb
        interface gigabitethernet 1/0/1
          ip address 192.168.0.1/24

        Источник:
        docs.eltex-co.ru

        [ESR] Пример настройки аутентификации OSPF по MD5
        Настроим аутентификацию сессии OSPF с использованием алгоритма MD5: Настроим key-chain, содержащий необходимый пароль для аутентификации:

        esr(config)# key-chain auth_ospf
        esr(config-keychain)# key 1
        esr(config-keychain-key)# key-string ascii-text password

        Дополняем конфигурацию на необходимом интерфейсе:

        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# ip ospf authentication algorithm md5
        esr(config-if-gi)# ip ospf authentication key-chain auth_ospf

         

        Изменения конфигурации вступят в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Источник:
        docs.eltex-co.ru

        [ESR] Примеры настройки route-map и prefix-list
        Задача №1 Необходимо разрешить анонс подсетей 172.16.10.0 с префиксом от /24 до /32.

        Решение

        1) При использовании route-map:

         

        route-map OUT
          rule 1
            match ip address 172.16.10.0/24 le 32
            action permit
          exit
          rule 2
            action deny
          exit
        exit

         

        Добавление фильтрации в конфигурацию процесса маршрутизации (для примера используется BGP):

         

        router bgp 1
          address-family ipv4
            redistribute connected
            neighbor 192.168.1.10
              remote-as 2
              route-map OUT out
              update-source 192.168.1.1
              enable
            exit
            enable
          exit
        exit

         

        Для управления анонсами маршрутной информации рекомендуется использовать route-map.

        2) При использовании prefix-list:

         

        ip prefix-list OUT
          permit 172.16.10.0/24  le 32
          deny 0.0.0.0/0 ge 1 le 32
        exit

         

        Добавление фильтрации в конфигурацию процесса маршрутизации(для примера используется BGP)

         

        router bgp 1
          address-family ipv4
            redistribute connected
            neighbor 192.168.1.10
              remote-as 2
              prefix-list OUT out
              update-source 192.168.1.1
              enable
            exit
            enable
          exit
        exit

         

        Задача №2

        Необходимо разрешить анонс всех подсетей.

        Важно! Для разрешения анонса маршрутной информации в протоколах EGP необходимо использовать механизмы фильтрации route-map либо prefix-list.

         

        Решение

        1) При использовании route-map:

         

        route-map OUT
          rule 1
            action permit
          exit
        exit

         

        Добавление фильтрации в конфигурацию процесса маршрутизации (для примера используется BGP):

         

        router bgp 1
          address-family ipv4
            redistribute connected
            neighbor 192.168.1.10
              remote-as 2
              route-map OUT out
              update-source 192.168.1.1
              enable
            exit
            enable
          exit
        exit

         

        2) При использовании prefix-list:

         

        ip prefix-list OUT
          permit  0.0.0.0/0 ge 1 le 32
        exit

         

        Добавление фильтрации в конфигурацию процесса маршрутизации (для примера используется BGP)

         

        router bgp 1
          address-family ipv4
            redistribute connected
            neighbor 192.168.1.10
              remote-as 2
              prefix-list OUT out
              update-source 192.168.1.1
              enable
            exit
            enable
          exit
        exit

        Источник:
        docs.eltex-co.ru

        [ESR] Резервирование сессий Firewall в схемах с VRRP
        Рассмотрим схему с резервированием маршрутизатора посредством протокола VRRP (Virtual Router Redundancy Protocol).

        Поскольку на маршрутизаторах серии ESR используется Stateful Firewall, то при переключении мастерства активные сессий будут разрываться.

        Одноко, если VRRP Buckup будет знать об активных сессиях VRRP Master и автоматически поднимет сессии при переходе в состояние VRRP Master, то разрыва сессий не произойдет.

        Для организации отказоустойчивой работы необходимо настроить механизм Firewall failover, рассмотрим на примере вышеприведенной схемы:

         

        ################################  R1 ######################################

        hostname R1

        object-group service FAILOVER
        port-range 3333
        exit

        object-group network OWN_IP
        ip address-range 192.168.1.148
        exit

        ip firewall failover sync-type unicast
        ip firewall failover source-address 192.168.1.148
        ip firewall failover destination-address 192.168.1.250
        ip firewall failover port 3333
        ip firewall failover vrrp-group 1
        ip firewall failover

        security zone trust
        exit

        interface gigabitethernet 1/0/5.50
        security-zone trust
        ip address 192.168.1.148/24
        vrrp id 1
        vrrp ip 192.168.1.1/32
        vrrp priority 125
        vrrp group 1
        vrrp
        exit

         

        security zone-pair trust self
        rule 2
        action permit
        match protocol udp
        match source-address any
        match destination-address OWN_IP
        match source-port any
        match destination-port FAILOVER
        enable
        exit
        rule 3
        action permit
        match protocol vrrp
        match source-address any
        match destination-address any
        enable
        exit
        exit

         

        ################################  R2 ######################################

        hostname R2

        object-group service FAILOVER
        port-range 3333
        exit

        object-group network OWN_IP
        ip address-range 192.168.1.250
        exit

        ip firewall failover sync-type unicast
        ip firewall failover source-address 192.168.1.250
        ip firewall failover destination-address 192.168.1.148
        ip firewall failover port 3333
        ip firewall failover vrrp-group 1
        ip firewall failover

        security zone trust
        exit

        interface gigabitethernet 1/0/5.50
        security-zone trust
        ip address 192.168.1.250/24
        vrrp id 1
        vrrp ip 192.168.1.1/32
        vrrp priority 100
        vrrp group 1
        vrrp
        exit

         

        security zone-pair trust self
        rule 2
        action permit
        match protocol udp
        match source-address any
        match destination-address OWN_IP
        match source-port any
        match destination-port FAILOVER
        enable
        exit
        rule 3
        action permit
        match protocol vrrp
        match source-address any
        match destination-address any
        enable
        exit
        exit

         

        Командой show ip firewall failover проверяем наличие обмена между VRRP нодами:

         

        R1# show vrrp
        Virtual router Virtual IP Priority Preemption State
        -------------- --------------------------------- -------- ---------- ------
        1 192.168.1.1/32 125 Enabled Master

         

        R1# show ip firewall failover
        Communication interface: gigabitethernet 1/0/5.50
        Status: Running
        Bytes sent: 2944
        Bytes received: 3584
        Packets sent: 225
        Packets received: 141
        Send errors: 0
        Receive errors: 0

         

        R2# show vrrp
        Virtual router Virtual IP Priority Preemption State
        -------------- --------------------------------- -------- ---------- ------
        1 192.168.1.1/32 100 Enabled Backup

         

        R2# show ip firewall failover
        Communication interface: gigabitethernet 1/0/5.50
        Status: Running
        Bytes sent: 1072
        Bytes received: 500
        Packets sent: 40
        Packets received: 30
        Send errors: 0
        Receive errors: 0

         

        Данный механизм поддержан для сервисных маршрутизаторов и для МЭ сертифицированных ФСТЭК по класс 4 тип А.

        Источник:
        docs.eltex-co.ru

        [ESR] Рекомендации по организации доступа до маршрутизатора из публичной сети
        1. В качестве протокола для управления маршрутизатором желательно использовать SSH. Если маршрутизатор подключен к публичной сети (интернет) использование протокола TELNET - крайне опасно.
        1. При подключении маршрутизатора к публичной сети крайне нежелательно открывать доступ до самого маршрутизатора из публичной сети. Если такая необходимость есть - SSH-сервер на маршрутизаторе необходимо запускать на нестандартном TCP-порту (не на 22м)

        Для включения на маршрутизаторе SSH-сервера необходимо добавить в глобальную конфигурацию маршрутизатора следующую команду:

        esr(config)# ip ssh server

         

        Для запуска SSH-сервера на нестандартном порту, необходимо добавить в глобальную конфигурацию маршрутизатора следующую команду:

        esr(config)# ip ssh port 65022

         

        В данном примере, 65022 - номер TCP-порта на котором будет доступен протокол SSH.

        По умолчанию на маршрутизаторе указан 22 TCP-порт, который является стандартным для протокола SSH.

         

        1. При организации доступа до маршрутизатора из публичной сети желательно ограничить список ip-адресов, которым разрешен доступ до маршрутизатора.

        Для примера, на маршрутизаторе уже создан ip-интерфейс, подключенный к публичной сети, и он включен в зону безопасности WAN

        esr(config)# security zone WAN
        esr(config-zone)# exit
        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)#   security-zone WAN
        esr(config-if-gi)#   ip address 192.0.2.1/30
        esr(config-if-gi)# exit
        esr(config)# ip route 0.0.0.0/0 192.0.2.2

         

        Для разрешения доступа к маршрутизатору из публичной сети с узлов 198.51.100.15 и 203.0.113.74 по протоколу SSH на порт 65022 необходимо применить следующую конфигурацию:

        esr(config)# object-group service SSH
        esr(config-object-group-service)#   port-range 65022
        esr(config-object-group-service)# exit
        esr(config)#
        esr(config)# object-group network REMOTE_SSH
        esr(config-object-group-network)#   ip address-range 198.51.100.15
        esr(config-object-group-network)#   ip address-range 203.0.113.74
        esr(config-object-group-network)# exit
        esr(config)# security zone-pair WAN self
        esr(config-zone-pair)#   rule 10
        esr(config-zone-pair-rule)#     action permit
        esr(config-zone-pair-rule)#     match protocol tcp
        esr(config-zone-pair-rule)#     match source-address REMOTE_SSH
        esr(config-zone-pair-rule)#     match destination-port SSH
        esr(config-zone-pair-rule)#     enable
        esr(config-zone-pair-rule)#   exit
        esr(config-zone-pair)# exit

         

        Любые изменения конфигурации на маршрутизаторах ESR всупают в силу только после выполнения команды commit и confirm в привеллигированном режиме.

         

        esr# commit
        esr# confirm

        Источник:
        docs.eltex-co.ru

        [ESR] Создание L2GRE-туннеля на ESR
        Имеется необходимость прокинуть vlan из одного офиса в другой. Один из возможных вариантов на маршрутизаторах ESR - это L2GRE.

        Приступим к настройке маршрутизатора в офисе 1. Допустим, что уже имеется некоторая конфигурация:

        vlan 100
        exit

         

        bridge 100
         vlan 100
         enable
        exit

         

        interface gigabitethernet 1/0/1
         ip firewall disable
         ip address 192.168.12.1/24
        exit

         

        interface gigabitethernet 1/0/2
         mode switchport
         switchport access vlan 100
        exit

         

        На интерфейсе bridge 100 терменируется vlan 100. Интерфейс gigabitethernet 1/0/1 - аплинк в сторону интернета/канала связи. Создадим GRE туннель и добавим его в соответствующий bridge-groupe.

         

        tunnel gre 1
         mode ethernet - включаем режим L2.
         bridge-group 100
         local address 192.168.12.1 - адрес интерфейса аплинка
         remote address 192.168.12.2 - внешний адрес маршрутизатора офиса 2.
         enable
        exit

         

        Теперь приступим к настройке Офиса 2. На нем уже есть конфигурация вида:

         

        interface gigabitethernet 1/0/1
         ip firewall disable
         ip address 192.168.12.2/24
        exit

        Добавим Vlan 100 на интерфейс, который необходимо включить в этот Vlan и создадим соответствующий bridge:

        vlan 100
        exit

        bridge 100
         vlan 100
         enable
        exit

        interface gigabitethernet 1/0/2
         mode switchport
         switchport access vlan 100
        exit

        Далее аналогичным офису 1 способом создаем туннель:

        tunnel gre 1
         mode ethernet
         bridge-group 100
         local address 192.168.12.2
         remote address 192.168.12.1
         enable
        exit

        Готово.

        Источник:
        docs.eltex-co.ru

        [ESR] Фильтрация по спискам url при работе с BRAS
        При работе BRAS на ESR, есть возможность разрешить или запретить доступ для требуемых url с использованием внешнего HTTP/HTTPS(WEB) сервера, на котором будут храниться списки разрешенных/запрещенных url.

        Принцип конфигурирования:

        • На ESR настраивается функционал BRAS с указанием параметров RADIUS-сервера с настройками абонентов и WEB-сервера содержащего списки разрешенных/запрещенных url.
        • Для абонента BRAS, в настройках RADIUS описываются именf файлов содержащих разрешенные и запрещенные ресурсы.
        • На WEB-сервере размещаются списки разрешенных/запрещенных url с именами, соответствующими настройкам в RADIUS.

        Принцип работы функционала:

        • При авторизации абонента на BRAS:
          • ESR получает от RADIUS-сервера имена имена списков разрешенных/запрещенных url;
          • Скачивает и применяет соответствующие списки разрешенных/запрещенных url для абонента.
        • В момент, когда абонент BRAS запрашивает в интернете тот или иной ресурс, происходит проверка по примененным для него спискам разрешенных/запрещенных url.

        Есть возможность составлять списки разрешенных/запрещенных url в формате regexp.

         

        1) Конфигурация BRAS на ESR.

        object-group url defaultserv
          url https://eltex-co.ru/
        exit

        syslog console debug

        username techsupport

          password encrypted
        $6$dArYxEkFjWgMtgf8$gtlzWm1YLBrFhqmVdzKu6B7CCBV4TPnYeDK6zCGF3.LuN2NNwFSPZCGatezKJolD4VzeqCKNpNdvOf7q3tF/I1
        exit
        aaa authentication login auth_test radius
        radius-server host 192.168.0.1
          key ascii-text encrypted 8CB5107EA7005AFF
          source-address 192.168.0.10
        exit
        aaa radius-profile bras_radius
          radius-server host 192.168.0.1
        exit
        aaa radius-profile bras_radius_servers
          radius-server host 192.168.0.1
        exit
        das-server das
          key ascii-text encrypted 8CB5107EA7005AFF
        exit
        aaa das-profile bras_das
          das-server das
        exit
        line telnet
          login authentication auth_test
        exit

         tech-support login enable
        ystem fan-speed auto

         vlan 10
        exit

         

        ip access-list extended BYPASS
          rule 1
            action permit
            match protocol udp
            match source-port 68
            match destination-port 67
            enable
          exit
          rule 2
            action permit
            match protocol udp
            match destination-port 53
            enable
          exit
          rule 3
          exit
        exit

         

        ip access-list extended INTERNET
          rule 1
            action permit
            enable
          exit
        exit

         

        subscriber-control filters-server-url http://192.168.0.1:8000/   # запрос списков url с http/https сервера(web сервера)
        subscriber-control
          aaa das-profile bras_das
          aaa sessions-radius-profile bras_radius
          aaa services-radius-profile bras_radius_servers
          nas-ip-address 192.168.0.10
          session ip-authentication
          bypass-traffic-acl BYPASS
          default-service
            class-map BYPASS
            filter-name local defaultserv
            filter-action permit
            default-action redirect https://eltex-co.ru/
            session-timeout 121
          exit
          enable
        exit

         

        bridge 10
          description LocalNetwork
          vlan 10
          ip firewall disable
          ip address 172.16.0.1/24
          ip helper-address 192.168.16.1
          service-subscriber-control any
          location USER
          enable
        exit

         

        interface gigabitethernet 1/0/1
          description to_FreeRadius
          ip firewall disable
          ip address 192.168.0.10/24
        exit
        interface gigabitethernet 1/0/3.10
          bridge-group 10
          ip firewall disable
        exit
        interface gigabitethernet 1/0/4
          description WAN
          ip firewall disable
          ip address <ipaddr>
        exit

         

        security passwords history 0
        nat source
          ruleset factory
            to interface gigabitethernet 1/0/4
            rule 10
              description "replace 'source ip'by outgoing interface ip address"
              action source-nat interface
              enable
            exit
          exit
        exit

         

        ip route 0.0.0.0/0 <>

         

        Диагностика:

        esr-1200# show subscriber-control sessions status
        Session id User name IP address MAC address Interface Domain
        -------------------- --------------- --------------- ----------------- ------------------ ---------------
        1224979098644774945 Bras_user 172.16.0.20 a8:f9:4b:ac:9f:33 gi1/0/3.10 --
        1224979098644774944 Bras_user_2 172.16.0.10 a8:f9:4b:ab:a9:ae gi1/0/3.10 --

         esr-1200# show subscriber-control services status
        ervice id Session id Service name User name Quota volume Quota time
        (Bytes) (Seconds)
        -------------------- -------------------- --------------- --------------- -------------- --------------
        1261007895663738900 1224979098644774935 A INTERNET Bras_user -- --
        1261007895663738899 1224979098644774934 A INTERNETDY Bras_user_2 -- --

         esr-1200# clear subscriber-control sessions

         

        Включение debug:

        esr-1200# debug
        esr-1200(debug)# debug bras error
        esr-1200(debug)# debug bras debug
        esr-1200(debug)# debug bras coa
        esr-1200(debug)# debug bras radius
        esr-1200(debug)# debug bras radius-err
        esr-1200(debug)# debug bras netlink
        esr-1200(debug)# debug bras netlink-err
        esr-1200(debug)# debug bras warn
        esr-1200(debug)# end

         

        2) Конфигурация freeradius:

        freeradius/users:

        "172.16.0.20" Cleartext-Password := "172.16.0.20"
        User-Name = "Bras_user",
        Session-Timeout = 259200,
        Idle-Timeout = 259200,
        Cisco-Account-Info = "AINTERNET"                          # INTERNET - название сервиса для клиента с ip 172.16.0.20

         "172.16.0.10" Cleartext-Password := "172.16.0.10"
        User-Name = "Bras_user_2",
        Session-Timeout = 259200,
        Idle-Timeout = 259200,
        Cisco-Account-Info = "AINTERNETDY"                        # AINTERNETDY - название сервиса для клиента с ip 172.16.0.10

         INTERNET Cleartext-Password := "INTERNET"
        User-Name = "INTERNET",
        Cisco-AVPair = "subscriber:traffic-class=INTERNET",          #INTERNET - название acl на esr(bras)
        Cisco-AVPair += "subscriber:filter-id=white;subscriber:filter-action=permit",      # white - имя списка доступа url, разрешенных для данного сервиса(INTERNET)
        Cisco-AVPair += "subscriber:filter-id=black;subscriber:filter-action=deny",        # black - имя списка доступа url, запрещенных для данного сервиса(INTERNET)
        Cisco-AVPair += "subscriber:flow-status=enabled"

         INTERNETDY Cleartext-Password := "INTERNETDY"
        User-Name = "INTERNETDY",
        Cisco-AVPair = "subscriber:traffic-class=INTERNET",          #INTERNET - название acl на esr(bras)
        Cisco-AVPair += "subscriber:filter-id=white;subscriber:filter-action=permit",      # white - имя списка доступа url, разрешенных для данного сервиса(INTERNETDY)
        Cisco-AVPair += "subscriber:filter-id=black_2;subscriber:filter-action=deny",      # black_2 - имя списка доступа url, запрещенных для данного сервиса(INTERNETDY)
        Cisco-AVPair += "subscriber:flow-status=enabled"

         

        freeradius/clients.conf:
        client BRAS {
        ipaddr = 192.168.0.10
        secret = password
        }

        freeradius -X - запуск freeradius в режиме отладки

         

        3) HTTP/HTTPS(WEB) сервер:

        Запуск web сервера на Linux из деректории /Документы/http

        root@comp:~/Документы/http# python3 -m http.server 8000

        В директории /Документы/http хранятся списки доступа с именами black/black_2/white. URL в списках доступа рекомендуется хранить в формате regexp.

        Источник:
        docs.eltex-co.ru

        [ESR] Фильтрация трафика с помощью firewall в одном широковещательном домене
        Фильтрации трафика в одном широковещательном домене возможно осуществить c помощью zone based firewall и использованием команды ports firewall enable.

        Рассмотрим пример, в котором необходимо Хосту 1 запретить отправлять трафик ICMP, проходящий через ESR, то есть ESR выступает в качестве firewall, а также узла коммутации.  В данном примере используется ESR-1000.

         

        Конфигурация ESR:

        esr-1000# sh ru
        object-group network host_1
         ip address-range 192.168.1.10
        exit

         system fan-speed auto

         no spanning-tree

         ecurity zone trusted
        exit

        bridge 1
         ports firewall enable
         security-zone trusted
         enable
        exit

        interface gigabitethernet 1/0/23
         mode hybrid
         bridge-group 1
        exit
        interface gigabitethernet 1/0/24
         mode hybrid
         bridge-group 1
        exit
        security zone-pair trusted trusted
         rule 1
          action deny
          match protocol icmp
          match source-address host_1
          enable
         exit
         rule 2
          action permit
          enable
          exit
        exit

         

        В данной конфигурации блокируется протокол ICMP для ip пакетов, имеющих src ip 192.168.1.10.

        Дамп трафика при запросе по ICMP Хоста 2 с Хоста 1:

         

        esr-1000# monitor gigabitethernet 1/0/23 protocol icmp packets 4

         17:37:18.952310 a8:f9:4b:ac:9f:32 > a8:f9:4b:aa:38:1c, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 11170, offset 0, flags [DF], proto ICMP (1), length 84)

         192.168.1.10 > 192.168.1.20: ICMP echo request, id 77, seq 1, length 64

         17:37:19.953428 a8:f9:4b:ac:9f:32 > a8:f9:4b:aa:38:1c, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 11270, offset 0, flags [DF], proto ICMP (1), length 84)

         192.168.1.10 > 192.168.1.20: ICMP echo request, id 77, seq 2, length 64

         17:37:20.954509 a8:f9:4b:ac:9f:32 > a8:f9:4b:aa:38:1c, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 11286, offset 0, flags [DF], proto ICMP (1), length 84)

         192.168.1.10 > 192.168.1.20: ICMP echo request, id 77, seq 3, length 64

         17:37:21.955584 a8:f9:4b:ac:9f:32 > a8:f9:4b:aa:38:1c, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 11370, offset 0, flags [DF], proto ICMP (1), length 84)

         192.168.1.10 > 192.168.1.20: ICMP echo request, id 77, seq 4, length 64

         

        В данном дампе трафика отсутствуют ICMP echo reply.

        Дамп трафика при запросе по ICMP Хоста 1 с Хоста 2:

        esr-1000# monitor gigabitethernet 1/0/24 protocol icmp packets 4

         17:38:23.125035 a8:f9:4b:aa:38:1c > a8:f9:4b:ac:9f:32, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 3332, offset 0, flags [DF], proto ICMP (1), length 84)

         192.168.1.20 > 192.168.1.10: ICMP echo request, id 32, seq 1, length 64

         17:38:23.125467 a8:f9:4b:ac:9f:32 > a8:f9:4b:aa:38:1c, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 14488, offset 0, flags [none], proto ICMP (1), length 84)

         192.168.1.10 > 192.168.1.20: ICMP echo reply, id 32, seq 1, length 64

         17:38:24.126133 a8:f9:4b:aa:38:1c > a8:f9:4b:ac:9f:32, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 3383, offset 0, flags [DF], proto ICMP (1), length 84)

         192.168.1.20 > 192.168.1.10: ICMP echo request, id 32, seq 2, length 64

         17:38:24.126536 a8:f9:4b:ac:9f:32 > a8:f9:4b:aa:38:1c, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 14560, offset 0, flags [none], proto ICMP (1), length 84)

         192.168.1.10 > 192.168.1.20: ICMP echo reply, id 32, seq 2, length 64

        Источник:
        docs.eltex-co.ru

        [ESR] Формирование опции для DHCP сервера (options 121)
        Пример формирования 121й опции для DHCP сервера

        option rfc3442-classless-routes
        8, 10, 192,168,1,1,
        16, 192,168, 192,168,1,1,
        12, 172,16, 192,168,1,1,
        24, 192,168,200, 192,168,1,1;

         

        1. Необходимо перевести в hex payload опции, для этого воспользуемся скриптом:

        # cat hex.py
        def hex_encode(route):
        return b"".join([b"%02x" % octet for octet in route])
        routes = [
        (
        # Paylod:
        8, 10, 192,168,1,1,
        16, 192,168, 192,168,1,1,
        12, 172,16, 192,168,1,1,
        24, 192,168,200, 192,168,1,1
        # end.
        )
        ]
        print(b"".join(hex_encode(route) for route in routes))

         

        1. Получим байты нагрузки:

        # python hex.py
        080ac0a8010110c0a8c0a801010cac10c0a8010118c0a8c8c0a80101

         

        1. Сконфигурируем опцию на сервере (Начинаем с "0x" и далее байты, полученные в п.2):

        sh ru dhcp:

        ip dhcp-server pool la
        option 121 hex-bytes 0x080ac0a8010110c0a8c0a801010cac10c0a8010118c0a8c8c0a80101

        В дампе можно посмотреть содержимое передаваемой опции:

        Classless-Static-Route Option 121, length 28: (10.0.0.0/8:192.168.1.1),(192.168.0.0/16:192.168.1.1),(172.16.0.0/12:192.168.1.1),(192.168.200.0/24:192.168.1.1)

        На DHCP клиенте:

        D * 10.0.0.0/8 [1/0] via 192.168.1.1  [static 03:03:31]
        D * 192.168.0.0/16 [1/0] via 192.168.1.1  [static 03:03:31]
        D * 192.168.200.0/24 [1/0] via 192.168.1.1 [static 03:03:31]
        D * 172.16.0.0/12 [1/0] via 192.168.1.1 static 03:03:31]

        Перевод в шеснадцатиричную систему можно выполнить и в ручном режиме, но запись в CLI необходимо начинать с "0x"

        Источник:
        docs.eltex-co.ru

        [ESR] Функциональные лицензии на сервисные маршрутизаторы ESR
        Список доступных функциональных лицензий ESR Поддержка функциональных лицензий на различных моделях ESR Процедура применения лицензии на ESR

        Список доступных функциональных лицензий ESR

        На данный момент для линейки сервисных маршрутизаторов ESR представлены следующие функциональные лицензии:

        • BRAS -
        • BRAS-DEMO -
        • WIFI -
        • WIFI DEMO -
        • WISLA - лицензия активирует возможность конфигурирования IP SLA тестов в режиме wisla.
        • IPS - лицензия открывает доступ к командам настройки системы IDS/IPS.
        • IPS-DEMO - лицензия открывает доступ к командам настройки системы IDS/IPS с ограничением производительности (система IDS/IPS будет работать на одном ядре процессора).
        • AS DEMO - лицензия открывает доступ к командам настройки системы Antispam.

         

        Поддержка функциональных лицензий на различных моделях ESR

        Доступность вышеописанных лицензий на различных моделях линейки сервисных маршрутизаторов ESR представлена ниже в виде таблицы:

         

        BRAS-DEMO

        BRAS

        Wi-Fi DEMO

        Wi-Fi

        WISLA

        IPS-DEMO

        IPS

        AS DEMO

        ESR-10

        + +     + + + +

        ESR-12V(F)

        + +     + + + +

        ESR-20

        + +     + + + +

        ESR-21

        + +     + + + +

        ESR-100

        + +     + + + +

        ESR-200

        + +     + + + +

        ESR-1000

        + + + + + + + +

        ESR-1200

        + + + + + + + +

        ESR-1500

        + + + + + + + +
        ESR-1511 + + + + + + + +

        ESR-1700

        + + + + + + + +
        ESR-3100 + + + + + + + +

        Процедура применения лицензии на ESR

        Для применения лицензии на сервисном маршрутизаторе ESR файл с лицензией требуется загрузить на ESR в раздел system:license с помощью команды copy. Поддержана загрузка по сети по протоколам FTP, TFTP, SFTP, SCP, HTTP, а также загрузка с USB и MMC носителя:

         

        esr# copy tftp://192.168.34.2:/licence system:licence
        |******************************************| 100% (672B) Licence loaded successfully. Please reboot system to apply changes.
        esr-1200#

         

        После этого добавленную лицензию будет видно в выводе команды show licence:

        esr# show licence
        Active licence not found!

         

        After reboot:
        -------------------
        Name:    Eltex
        Version: 1.0
        Type:    ESR-1200
        S/N:     NP0C000022
        MAC:     A8:F9:4B:AB:D7:00
        Features:
         IPS - Intrusion Prevention System
        esr#
        esr#

        Для активации загруженной лицензии требуется перезагрузка устройства. После перезагрузки лицензия станет активной:

        esr# show licence
        Licence information
        -------------------
        Name:    Eltex
        Version: 1.0
        Type:    ESR-1200
        S/N:     NP0C000022
        MAC:     A8:F9:4B:AB:D7:00
        Features:
         IPS - Intrusion Prevention System
        esr#
        esr#

         

        На сервисных маршрутизаторах ESR загружаемая лицензия затирает уже активную лицензию! В случае, если в загружаемой лицензии отсутствует функционал, который был в уже активной лицензии, то после перезагрузки этот функционал перестанет работать:

        esr# show licence
        Licence information
        -------------------
        Name:    Eltex
        Version: 1.0
        Type:    ESR-1200
        S/N:     NP0C000022
        MAC:     A8:F9:4B:AB:D7:00
        Features:
         WIFI - Wi-Fi controller

         After reboot:
        ------------------
        Name:    Eltex
        Version: 1.0
        Type:    ESR-1200
        S/N:     NP0C000022
        MAC:     A8:F9:4B:AB:D7:00
        Features:
         IPS - Intrusion Prevention System
        esr-1200#

         

        В примере выше после перезагрузки устройства будет заблокирован доступ к функционалу под лицензией WIFI и все текущие настройки в конфигурации, связанные с Wi-Fi, перестанут быть активными.

        Таким образом в случае расширения списка доступного функционала, при обращении в техническую поддержку или коммерческий отдел компании "Eltex" необходимо сообщать информацию о списке уже активных лицензий, чтобы новый лицензионный файл уже содержал используемые функциональные лицензии.

        Источник:
        docs.eltex-co.ru

        [ESR] Закрываются сессии SSH, Telnet, Oracle DB на маршрутизаторе серии ESR
        Stateful Firewall сервисного маршрутизатора ESR закрывает неактивные сессии, в том числе и сессий TCP: SSH, Telnet и т.д.

        Для поддержания сессии в активном состоянии необходимо настроить передачу keepalive пакетов. Опция отправки keepalive настраивается в клиенте SSH, например для клиента PuTTY раздел “Соединение”.

        В свою очередь, на маршрутизаторе можно выставить время ожидания до закрытия активных сессий TCP (в примере выставлен 1 час):

        esr(config)# ip firewall sessions tcp-estabilished-timeout 3600

        Изменения конфигурации вступают в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

         

        Размер таблиц активных и конкурирующих сессий можно настраивать:

        esr(config)# ip firewall sessions max-expect
        1-8553600 Size of expectation table

        esr(config)# ip firewall sessions max-tracking
        1-8553600 Size of connection tracking table

        Источник:
        docs.eltex-co.ru

        [ESR] Не удается обновить дату/время по NTP
        В заводской конфигурации (factory-config) прописан параметр: ntp broadcast-client enable

        Данной командой включается режим приёма широковещательных сообщений от NTP-серверов.

        Маршрутизатор работает в качестве NTP-клиента. Если в конфигурации устройства заданы NTP пиры и серверы, то в широковещательном режиме они игнорируются.

        Соответственно, при указании NTP сервера дата и время не обновится.

         

        ntp enable
          ntp server 115.0.0.2
        exit

         

        Для устранения проблемы необходимо удалить ntp broadcast-client из конфигурации:

        no ntp broadcast-client enable

         

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

         

        Необходимо не забывать, что источник синхронизации должен быть достаточно стабильным с небольшим stratum (1-3).

        Источник:
        docs.eltex-co.ru

        [ESR] Не удается получить маршрут по BGP/OSPF, организованному в VRF
        Проблема: Не удалось получить маршруты по BGP и/или OSPF, сконфигурированных в VRF. Соседство успешно устанавливается, но в записи маршрутов в RIB отказано: %ROUTING-W-KERNEL: Can not install route. Reached the maximum number of BGP routes in the RIB

        Решение:

        Необходимо выделить ресурс RIB для VRF, по умолчанию весь RIB выделен под global таблицу маршрутизации.

        Делаем это в режиме конфигурирования VRF:

        esr(config)# ip vrf <NAME>
        esr(config-vrf)# ip protocols ospf max-routes 12000
        esr(config-vrf)# ip protocols bgp max-routes 1200000
        esr(config-vrf)# end

        Изменения конфигурации вступают в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Источник:
        docs.eltex-co.ru

        [ESR] Настройка OpenVPN на ESR
        Алгоритм настройки OpenVPN на сервисных маршрутизаторах Eltex:

        1) Для ОС Windows cкачаем с официального сайта дистрибутив клиента. Для ОС Linux устанавливаем пакет из репозитория разработчика дистрибутива.

        Далее все примеры команд будут приведены для OC Windows, пути расположения файлов будут отличаться в зависимости от особенностей конкретного дистрибутива, информацию о расположении можно получить из соответствующих man страниц.

        2) Устанавливаем программу. Нажимаем кнопку "Customize" и выбираем установку компонента.

        EasyRSA Certificate Management Scripts (специально созданная программа по созданию ключей и сертификатов, которая использует openssl для выполнения действий с ключами и сертификатами) она нам понадобится для генерации ключей и сертификатов.

        3) Указываем путь. В будущем он нам понадобится, поэтому запомните его. В нашем случае мы используем стандартный путь: C:\Program Files\OpenVPN.

        4) После установки заходим в C:\Program files\OpenVPN\easy-rsa (путь, который указали в п. 3 \easy-rsa).

        Открываем vars.example блокнотом и редактируем его (блокнот надо запустить с правами администратора, чтобы иметь права на запись в папку).

        Редактируем строки

        #set_var EASYRSA_REQ_COUNTRY "US"
        #set_var EASYRSA_REQ_PROVINCE "California"
        #set_var EASYRSA_REQ_CITY "San Francisco"
        #set_var EASYRSA_REQ_ORG "Copyleft Certificate Co"
        #set_var EASYRSA_REQ_EMAIL "me@example.net"
        #set_var EASYRSA_REQ_OU "My Organizational Unit"
        #set_var EASYRSA_CA_EXPIRE 3650
        #set_var EASYRSA_CERT_EXPIRE 825
        Убираем знак комментария в начале (#) и задаём требуемые значения:

        • страна
        • регион
        • город
        • организация
        • почта администратора
        • подразделение
        • время действия корневого и пользовательских сертификатов в днях

        Строку #set_var EASYRSA_OPENSSL приводим к виду:
        set_var EASYRSA_OPENSSL "..bin/openssl.exe"
        Сохраняем файл как vars (без расширения!).

        5) Запускаем командную строку от имени администратора, не закрываем окно до конца процесса генерации сертификатов.

        6) Поочерёдно выполняем следующие три команды
        cd: C:\Program files\OpenVPN\easy-rsa (путь, который указали в п. 3 \easy-rsa).
        EasyRSA-Start.bat

        В итоге мы должны увидеть вот такое окно:

        Настройка OpenVPN на ESR Eltex

        7) Инициализируем pki командой ./easyrsa init-pki

        8) Генерируем ключ Диффи Хельмана - команда ./easyrsa gen-dh
        Генерация займёт некоторое время. Дождитесь окончания.

        9) Генерируем ключ центра сертификации (CA) - ./easyrsa build-ca nopass
        На запросы ввода пароля
        Enter PEM pass phrase:
        Verifying - Enter PEM pass phrase:
        придумываем и запоминаем пароль, затем вводим его. На запрос
        Common Name (eg: your user, host, or server name) [Easy-RSA CA]:
        вводим enter

        10) Генерируем сертификат сервера - команда ./easyrsa build-server-full ESR nopass
        На запросы
        Enter PEM pass phrase:
        Verifying - Enter PEM pass phrase:
        придумываем и вводим пароль от сертификата, а на запрос

        Enter pass phrase for c:/Program Files/OpenVPN/easy-rsa/pki/private/ca.key:

        вводим пароль, использованный при генерации СА сертификата. При успешно выполнении увидим текст вида:

        Write out database with 1 new entries

        Data Base Updated

        11) Генерируем сертификат клиента ./easyrsa build-client-full Alli nopass
        Тут важно отметить, что имя сертификата (Alli в данном примере) должно совпадать с именем соответствующего пользователя в настройках OpenVPN сервера на ESR. Ответы на вопросы аналогичны предыдущему пункту. Если пользователей несколько - надо генерировать несколько клиентских сертификатов.

        12) Выходим из оболочкие EasyRSA командой exit
        Генерируем ключ для tls аутентификации:
        ..\bin\openvpn.exe --genkey secret ta.key

        13) Генерация сертификатов окончена.
        Сертификат СА.crt, ключ Диффи Хельмана dh.pem будут находиться в папке C:\Program files\OpenVPN\easy-rsa\pki. Сертификаты сервера и клиентов будут в папке C:\Program Files\OpenVPN\easy-rsa\pki\issued. А ключи - в папке C:\Program Files\OpenVPN\easy-rsa\pki\private. Ключ tls-auth ta.key в папке C:\Program Files\OpenVPN\easy-rsa.

        14) Переходим к настройке ESR.

        Загрузим сертификаты в маршрутизатор. Для этого воспользуемся TFTP сервером (также можно загружать сертификаты и через FTP/SCP либо USB/SD, 192.168.16.10 в данном примере—адрес АРМ с tftp сервером).

        esr-200# copy tftp://192.168.16.10:/ca.crt certificate:ca/ca.crt
        esr-200# copy tftp://192.168.16.10:/dh.pem certificate:dh/dh.pem
        esr-200# copy tftp://192.168.16.10:/ESR.key certificate:server-key/ESR.key
        esr-200# copy tftp://192.168.16.10:/ESR.crt certificate:server-crt/ESR.crt
        esr-200# copy tftp://192.168.16.10:/ta.key certificate:ta/ta.key

        Проверить, что загрузка прошла успешно можно командой

        esr-200# sh crypto certificates
        Type               Total
        ------------     -------
        ca                    1
        dh                    1
        server-key       2
        server-crt        1
        client-key        1
        client-crt         1
        ta                     1
        crl                    0

        Далее выполняем настройку:

        esr-200# config
        esr-200(config)# remote-access openvpn GenOffice // Создаем сервер и даем ему имя
        esr-200(config-openvpn-server)# network 10.10.100.0/24 // Определяем сеть из которой будут выделяться адреса клиентам
        esr-200(config-openvpn-server)# protocol tcp // Выбираем протокол по которому будет работать сервер (tcp/udp)
        esr-200(config-openvpn-server)# tunnel ip // Выбираем на каком уровне будет работать (l2 ethetnet/l3 ip)
        esr-200(config-openvpn-server)# encryption algorithm aes128 //Выбираем алгоритм шифрования
        esr-200(config-openvpn-server)# authentication algorithm sha-256 //Алгоритм аутентификации
        esr-200(config-openvpn-server)# certificate ca ca.crt //
        esr-200(config-openvpn-server)# certificate dh dh.pem //
        esr-200(config-openvpn-server)# certificate server-key ESR.key //Указываем загруженные ранее сертификаты
        esr-200(config-openvpn-server)# certificate server-crt ESR.crt //
        esr-200(config-openvpn-server)# certificate ta ta.key //
        esr-200(config-openvpn-server)# security-zone trusted // Указываем зону безопасности
        esr-200(config-openvpn-server)# route 192.168.1.0/24, 192.168.3.0/24
        // Добавляем маршруты к сетям, которые будут доступны клиентам через удалённое соединение
        esr-200(config-openvpn-server)# enable // Включаем сервер

        Предположим что клиенту необходимо дать статический IP. Тогда для данного клиента (в примере используется имя сертификата Alli) необходимо произвести следующие настройки:

        esr-200(config-openvpn-server)# username Alli
        esr-200(config-openvpn-user)# ip address 10.10.100.202
        esr-200(config-openvpn-user)# exit

        Также, можно указать какую-либо удалённую сеть, находящуюся «за» удалённым клиентом, это делается командой:

        esr-200(config-openvpn-user)# subnet 192.168.3.0/24

        Даже если никаких специфических настроек для клиента не требуется, его всё равно необходимо завести в настройках сервера!

        esr-200(config-openvpn-server)# username Alli
        esr-200(config-openvpn-user)# exit

        Если необходимо, что бы несколько клиентов подключались через один сертификат, то используем опцию duplicate-cn в настройках сервера:

        esr-200(config-openvpn-server)# duplicate-cn
        esr-200(config-openvpn-server)# exit

        В случае, если на внешнем интерфейсе используется межсетевой экран, необходимо разрешить прохождение трафика из зоны внешнего интерфейса (пусть это будет untrusted) к зоне self, в нашем примере - протокол tcp и порт по умолчанию 1194:

        esr-200(config)# object-group service OpenVPN
        esr-200(config-object-group-service)# port-range 1194
        esr-200(config-object-group-service)# exit
        esr-200(config)# security zone-pair untrusted self
        esr-200(config-zone-pair)# rule 100
        esr-200(config-zone-pair-rule)# action permit
        esr-200(config-zone-pair-rule)# match protocol tcp
        esr-200(config-zone-pair-rule)# match destination-port OpenVPN
        esr-200(config-zone-pair-rule)# enable
        esr-200(config-zone-pair-rule)# end
        esr-200# commit
        esr-200# confirm

        Для настройки клиента надо поместить файлы ca.crt, ta.key, и сертификат/ключ пользователя (в нашем примере Alli.crt, Alli.key) в папку OpenVPN\config\client, которая в windows по умолчанию находится в домашней папке пользователя (например для пользователя 123 путь будет C:\Users\123\OpenVPN\config\client) и создать там конфигурационный файл, например ESR-200.ovpn следующего содержания (в строчке remote X.X.X.X заменить на реальный адрес ESR:

        client
        dev tun
        proto tcp
        remote X.X.X.X
        resolv-retry infinite
        nobind
        persist-key
        persist-tun
        ca ca.crt
        remote-cert-tls server
        tls-auth ta.key 1
        data-ciphers-fallback AES-128-CBC
        data-ciphers AES-128-CBC
        auth SHA256
        cert Alli.crt
        key Alli.key

        После сохранения файла настроек в доке панели задач Windows найти значок OpenVPN, щёлкнув правой кнопкой мышки, выбрать нужный сервер (по имени конфигурационного файла, ESR-200 в нашем примере) и нажать подключиться.

        Для настройки openvpn клиента на мобильных устройствах, например iOS, надо скачать клиента из AppStore, а конфигурационный файл привести к так называемому унифицированному формату, добавив в конец строки

        <ca>
        ##
        </ca>
        <cert>
        ####
        </cert>
        <key>
        ####
        </key>
        key-direction 1
        <tls-auth>
        ###
        </tls-auth>

        вставив вместо ### содержимое соответствующих сертификатов - ca.crt, Alli.crt, Alli.key, ta.key в нашем примере.

        Также необходимо закомментировать (или убрать) строки с указанием сертификатов:

        ca ca.crt
        cert Alli.crt
        key Alli.key
        tls-auth ta.key 1

        После этого, полученный файл надо передать на мобильное устройство (проще всего как почтовое вложение, или через iTunes) и открыть установленным OpenVPN клиентом.

        Унифицированный формат файла можно использовать и для конфигурации настольного клиента.

        На маршрутизаторе проверить, что клиент успешно подключен можно командой:

        esr-200# sh remote-access status
        User                  IP-address     Server
        ----------------  ---------------     --------------------------------------
        Alli                    192.168.86.2   openvpn(TulOffice)

        [ESR] ESR-1000. Порты XG (10G) уходят в down после конфигурации LACP
        Проблема: Порты XG в down после конфигурирования LACP на ESR-1000

        Решение: По умолчанию на port-channel установлен режим: speed 1000M, необходимо выставить: speed 10Gесли в port-channel включаем XG интерфейсы.

         

        esr(config)# interface port-channel 1
        esr(config-port-channel)# speed 10G

        Изменения конфигурации вступают в действие после применения:

        esr# commit
        Configuration has been successfully committed
        esr# confirm
        Configuration has been successfully confirmed

        Источник:
        docs.eltex-co.ru

        [ESR] Возникла ошибка при обновлении через флеш-карту, нужно обновлять через TFTP

        Обновление ESR FSTEC

        >> X-Loader update FAILED! 
        Такая ошибка иногда возникает при обновлении ESR через SD-карту.
        Тогда для обновления нужно использовать TPTP-сервер.

        Пошаговая инструкция по обновлению:

        1. К ESR подключить только линк к ПК c tftp-сервером (можно через коммутируемую сеть но на МЭ должен быть активен только один линк).
        2. В рабочую папку tftp-сервера поместить необходимые для обновления файлы (esr200-1.5.4-build42.FSTEC.uboot, esr200-1.5.4-build42.FSTEC.xload, esr200-1.5.5-build4.FSTEC.firmware)
        3. В CLI uboot межсетевого экрана указать ip-адрес назначенный на ПК при помощи команды:

        serverip <IP-адрес ПК>

        4. В CLI uboot межсетевого экрана назначить межсетевому экрану ip-адрес (должен быть из той-же /24 ip-подсети, что и ПК)

        ipaddr <ip-адрес ESR-FSTEC>

        5. В CLI uboot межсетевого экрана проверить связность ESR-FSTEC и ПК

        ping <IP-адрес ПК>

        6. Загрузить необходимые файлы при помощи команды:

        tftp_update_xloader esr200-1.5.4-build42.FSTEC.xload
        tftp_update_uboot esr200-1.5.4-build42.FSTEC.uboot
        tftp_update_firmware esr200-1.5.5-build4.FSTEC.firmware image1
        tftp_update_firmware esr200-1.5.5-build4.FSTEC.firmware image2

        7. Перезагрузить межсетевой экран (ESR)

        reset

        [ESR] Настройка L2TPv3 туннеля между ESR и Cisco

        Задача: соединить ethernet сети, находящиеся за маршрутизаторами в один широковещательный домен. Топология тестовой сети:

        схема
        из картинки следует, что vESR работает в EVE-NG

        настройки VPC1:

        VPCS> sh ip

         

        NAME        : VPCS[1]

        IP/MASK     : 192.168.1.1/24

        GATEWAY     : 255.255.255.0

        DNS         :

        MAC         : 00:50:79:66:68:02

        LPORT       : 20000

        RHOST:PORT  : 127.0.0.1:30000

        MTU         : 1500

         

        настройки VPC2:

        VPCS> show ip

         

        NAME        : VPCS[2]

        IP/MASK     : 192.168.1.2/24

        GATEWAY     : 255.255.255.0

        DNS         :

        MAC         : 00:50:79:66:68:04

        LPORT       : 20000

        RHOST:PORT  : 127.0.0.1:30000

        MTU         : 1500

         

        Решение: будем использовать туннели L2tvp3, на ESR реализованы статические туннели без сигнализации, поэтому на Cisco также настроем туннель без сигнализации (режим manual).

        Конфигурация Cisco:

         

        l2tp-class l2tpv3

        !

        pseudowire-class l2tpv3

         encapsulation l2tpv3

         protocol none

         ip local interface FastEthernet0

        !

        interface Ethernet0

         no ip address

         xconnect 172.16.1.2 10 encapsulation l2tpv3 manual pw-class l2tpv3

          l2tp id 10 10

          l2tp cookie local 4 0

          l2tp cookie remote 4 0

        !

        interface FastEthernet0

         ip address 172.16.1.1 255.255.255.252

         speed auto

         no keepalive

        !

        Следует обратить внимание на строки

        l2tp cookie local 4 0

        l2tp cookie remote 4 0

        дело в том, что по-умолчанию Cisco не добавляет L2 sublayer header к туннельному пакету, а ESR ожидает его получить, как это описано в RFC 3931, при такой настройке, в отсутствии заголовка, ESR трактует нулевой cookie как L2SpecificSublayer с Sbit=0 (игнорировать номер последовательности) и отвечает таким же заголовком, который Cisco трактует, как нулевой cookie. В такой настройке туннель работает.

        Конфигурация ESR:

        bridge 1
                    ip firewall disable
                    no spanning-tree
                    enable
        exit

        interface gigabitethernet 1/0/1
                    ip firewall disable
                    ip address 172.16.1.2/30
        exit
        interface gigabitethernet 1/0/2

        mode switchport
        bridge-group 1

        exit

        tunnel 12tpu3 1

        protocol ip
        local session-id 10

        remote session-id 10

        bridge-group 1

        local address 172.16.1.2

        remote address 172.16.1.1

        enable
        exit

        Поверяем связанность:

        VPCS> ping 192.168.1.2

         

        84 bytes from 192.168.1.2 icmp_seq=1 ttl=64 time=3.851 ms

        84 bytes from 192.168.1.2 icmp_seq=2 ttl=64 time=3.530 ms

        84 bytes from 192.168.1.2 icmp_seq=3 ttl=64 time=2.172 ms

        84 bytes from 192.168.1.2 icmp_seq=4 ttl=64 time=2.282 ms

        84 bytes from 192.168.1.2 icmp_seq=5 ttl=64 time=2.957 ms

        [ESR] Производительность SIP для ESR-12/14V(F)
        В таблице 1 приведены данные количества входящих/исходящих вызовов в зависимости от голосового кодека.
        1 Количество одновременных регистраций 600
        2 Количество одновременных звонков (cps) 28
        3 Количество одновременных звонков (g711<->g711) 44
        4 Количество одновременных звонков (g722<->g726) 25
        5 Количество одновременных звонков (g711<->g726) 32
        6 Количество одновременных звонков (g711<->g722) 25
        7 Количество одновременных звонков без RTP 72

        Источник:
        docs.eltex-co.ru

        [ESR] Различия режимов работы L2-интерфейса access/trunk
        Данный режим поддерживается на сервисных маршрутизаторах следующих моделей ESR-10/12v/12vf/14vf/20/21/100/200/3100

        Режим access

        Данный режим поддерживается на сервисных маршрутизаторах следующих моделей ESR-10/12v/12vf/14vf/20/21/100/200/3100

        При переводе интерфейса в L2-режим работы данный режим является режимом по умолчанию.

        интерфейс gigabitethernet 1/0/1 используется в качестве примера
        esr# configure
        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# mode switchport

        В режиме access L2-интерфейс принимает только ethernet-кадры без VLAN-тега. L2-интерфейс в режиме access отбрасывает любые ethernet-кадры с установленным VLAN-тегом.

        По умолчанию, эти кадры обрабатываются на основе таблицы коммутации VLAN'а по умолчанию (vlan 1). Исходящие Ethernet-кадры отправляются через L2-интерфейc в режиме access без VLAN-тега.

        При необходимости, на L2-интерфейсе в режиме access можно настроить обработку Ethernet-кадров на основе таблицы коммутации VLAN отличного от VLAN'а по умолчанию.

        интерфейс gigabitethernet 1/0/1 и vlan 100 используются в качестве примера
        esr# configure
        esr(config)# vlan 100
        esr(config-vlan)# exit
        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# mode switchport
        esr(config-if-gi)# switchport access vlan 100

        Режим trunk

        Данный режим поддерживается на сервисных маршрутизаторах следующих моделей ESR-10/12v/12vf/14vf/20/21/100/200/3100

        После переводе интерфейса в L2-режим работы, для перевода из режима access в режим trunk необходимо применить соответствующую команду:

        интерфейс gigabitethernet 1/0/1 используется в качестве примера
        esr# configure
        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# mode switchport
        esr(config-if-gi)# switchport mode trunk

        В режиме trunk, L2-интерфейс может принимать и отправлять как тегированные так и нетегированные ethernet-кадры.

        Для приёма  ethernet-кадров с определенными VLAN-тегами используется следующая команда:

        интерфейс gigabitethernet 1/0/1 и vlan 100, 101, 102, 103, 107 используются в качестве примера
        esr# configure
        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# mode switchport
        esr(config-if-gi)# switchport mode trunk
        esr(config-if-gi)# switchport trunk allowed vlan add 100-103,107

        После применения вышеуказанной команды L2-интерфейс будет принимать ethernet-кадры с указанными VLAN-тегами и обрабатывать их на основе таблиц коммутации соответствующего VLAN. Отправляться Ethernet-кадры соответствующих VLAN'ов будут с VLAN-тегом.

        Нетегированные ethernet-кадры поступающие на L2-интерфейс в режиме trunk настроенный как указано в примере выше, будут обрабатываться на основе таблицы коммутации VLAN'а по умолчанию (vlan 1). Исходящие Ethernet-кадры VLAN'а по умолчанию (vlan 1) будут отправляться через L2-интерфейс в режиме trunk без VLAN-тега.

        При необходимости, на L2-интерфейсе в режиме trunk можно настроить обработку нетегированных Ethernet-кадров на основе таблицы коммутации VLAN отличного от VLAN'а по умолчанию.

        интерфейс gigabitethernet 1/0/1 и vlan 100, 101, 102, 103, 107, 109 используются в качестве примера
        esr# configure
        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# mode switchport
        esr(config-if-gi)# switchport mode trunk
        esr(config-if-gi)# switchport trunk allowed vlan add 100-103,107
        esr(config-if-gi)# switchport trunk native-vlan 109

        При необходимости, на L2-интерфейсе в режиме trunk можно запретить приём (а следовательно и отправку) нетегированных ethernet-кадров:

        интерфейс gigabitethernet 1/0/1 используется в качестве примера
        esr# configure
        esr(config)# interface gigabitethernet 1/0/1
        esr(config-if-gi)# mode switchport
        esr(config-if-gi)# switchport mode trunk
        esr(config-if-gi)# switchport forbidden default-vlan

        Команда "switchport forbidden default-vlan" актуальна только при отсутствии в конфигурации команды "switchport trunk native-vlan"

        Таким образом, L2-интерфейс в режиме trunk может работать как l2-интерфейс в режиме access если настроен только "switchport trunk native-vlan" и не настроена обработка тегированных кадров при помощи команды "switchport trunk allowed vlan"

        Источник:
        docs.eltex-co.ru

        Оценка товара ( 2 )
        5.0
        Главная серверная нашего учреждения. В ней стоит ESR-1511, который должен заменить кластер из ZyXEL. Ниже MES2348P, используются как коммутаторы доступа. Также есть MES2324B для служебной сети.
        Стойка, в которой имеется сервисный маршрутизатор ESR-1511, а также коммутаторы MES2348B, MES2448B. Стойка обеспечивает сеть компании и телефонов.
        Используя наш сайт, Вы даёте согласие на обработку файлов cookie и пользовательских данных.
        Оставаясь на сайте, Вы соглашаетесь с политикой их применения.
        Ваш браузер сильно устарел.
        Обновите его до последней версии или используйте другой более современный.
        Пожалуйста, завершите проверку безопасности!
        0
        Корзина
        Наименование Артикул Количество Сравнить