0 Корзина
Закажите полный прайс-лист
Ваше имя*
Номер телефона*
Электронная почта*

ESR-1700 сервисный маршрутизатор

Сервисные маршрутизаторы ESR-1700 – это устройства, представляющие собой универсальную аппаратную платформу и способные выполнять широкий круг задач, связанных с сетевой защитой. В линейке представлены модели, ориентированные на применение в сетях различных масштабов – от сетей малых предприятий, до сетей операторов связи и дата-центров.

Eltex
Артикул: ESR-1700
Цена GPL
Под заказ
Гарантия: 12 мес.
Скидка с первого заказа!
Мы дилер №1 Eltex
Хит
ESR-10 Сервисный маршрутизатор
4 x 10/100/1000Base-T
2 x 1000Base-X SFP
2 x USB2.0
37 999
ESR-1000 Сервисный маршрутизатор
Сервисный маршрутизатор ESR-1000: 24х1G, 10G Base-R SFP+.NAT, Firewall, функции L2 и L3 маршрутизатора
667 253
ESR-100 Сервисный маршрутизатор
4 x Combo
NAT, Firewall
функции L2 и L3 маршрутизатора
149 000
Хит
ESR-200 Сервисный маршрутизатор
4 х 10/100/1000 Base-T
4 x Combo
NAT, Firewall
функции L2 и L3 маршрутизатора
182 126
ESR-1200 Маршрутизатор L4, 8 портов SFP+, 12 портов 1G
Сервисный маршрутизатор ESR-1200: 4х combo 10/100/1000BASE-T/1000BaseX, 8х 10GBASE-R SFP+, 12x 10/100/1000BASE-T
662 274
ESR-12V Сервисный маршутизатор
8 х 10/100/1000 Base-T
3 x FXS
1 x FXO
92 729
MЕ5100 маршрутизатор
Маршрутизатор ME5100, 20 x 10GE SFP+, 200 Gbps, 150Mpps, 2 слота для модулей питания
4 148 932
ESR-200 FSTEC Сервисный маршрутизатор
Сервисный маршрутизатор ESR-200: 4 х Gigabit Ethernet, 4x Combo. NAT, Firewall, функции L2 и L3 маршрутизатора. FSTEK
546 334
ESR-12VF Сервисный маршутизатор
8 х 10/100/1000 Base-T
1 х 1000Base-X (SFP)
1 х RS-232 (RJ-45)
94 378
ESR-100 FSTEC Сервисный маршрутизатор
Сервисный маршрутизатор ESR-100: 4x Combo. NAT, Firewall, функции L2 и L3 маршрутизатора. FSTEK
447 033
ESR-1000 FSTEC Сервисный маршрутизатор
Сервисный маршрутизатор ESR-1000: 24х1G, 10G Base-R SFP+.NAT, Firewall, функции L2 и L3 маршрутизатора. FSTEC
2 001 761
Новинка
MЕ5000 маршрутизатор
Универсальный пограничный маршрутизатор ME5000, до 12 линейных модулей
894 173
Новинка
MЕ5200 маршрутизатор
32 x 10GBASE-R SFP+ / 1000BASE-X SFP; 4 x 40/100G QSFP 28 OOB порт; Console RS-232(RJ-45); 1xUSB 2.0
5 794 378
ESR-100-ST Криптомаршрутизатор
4 x Combo 10 / 100 / 1000BASE-T / 1000BASE-X SFP. Классы сертификации: КС2, KC3.
ESR-200-ST Криптомаршрутизатор
4х 10/100/1000BASE-T, 4x Combo 10/100/1000BASE-T/1000BASE-X SFP. Классы сертификации: КС2, KC3.
ESR-1000-ST Криптомаршрутизатор
24х 10/100/1000BASE-T, 2х 10GBASE-R(SFP+). Классы сертификации: КС2, KC3.
ESR-20 Сервисный маршрутизатор
2 х 10/100/1000Base-T
2 x Combo
1 x USB 2.0 | 1 x USB3.0
слот для SD-карт
190 284
ESR-21 Сервисный маршрутизатор
8х10/100/1000Base-T; 4хEthernet 10/100/1000 Base-X (SFP); 1xRS-232 (RJ-45); 3xSerial (RS-232); 2 порта USB2.0
220 574
Новинка
ESR-1500 Сервисный маршрутизатор
4х10/100/1000BASE-T, 4хCombo 10/100/1000BASE-T/1000BASE-X, 4х10GBASE-R SFP+
915 065
В разработке
ESR-14VF Сервисный маршутизатор
Сервисный маршрутизатор ESR-14VF: 8хEthernet 10/100/1000 Base-T; 4xFXS
Питание 2 смен.БП
Размер базы FIB 3M
Количество маршрутов BGP 2,8M
Количество маршрутов OSPF 500k
Количество портов esr 12
Количество маршрутов ISIS 500k
Производительность esr 39
Количество маршрутов RIP 10k
Установка в стойку esr 2U
BRAS esr Да
Производительность на пакетах 3121
Количество портов 1G 4
Количество портов 10G 8

Запись вебинаров "Маршрутизаторы ESR" 1 и 2 часть 

 


Кто-то говорил, что ESR-1000 и ESR-1200 не тянет? Мало производительности, недостаточная пропускная способность... Что нужно более мощное устройство с большей производительностью. Встречайте старшего брата линейки ESR - сервисный маршрутизатор ESR-1700. Он выше - 2 RU, прожорливее - потребление до 250Вт и самое главное этот маршрутизатор гораздо производительнее. Его производительность порядка 5Mpps, что превышает показатели ESR-1000/ESR-1200 примерно в 6 раз. Процессор поддерживает хардварную акселерацию шифрования и DPI(Deep Packet Inspection), таким образом стандартные алгоритмы (AES, 3DES) будут обрабатываться аппаратно. Помимо это у него разделен Control Plane и Data Plane. На устройстве есть OOB интерфейс, для непосредственного подключения к процессору управления. В качестве BRAS (IPoE с аутентификацией по MAC адресу) безусловно стоит рассматривать именно его. Количество интерфейсов более лаконичное нежеле ESR-1000/ESR-1200, 4 Combo порта и 8 10GE.

Список функционала данного маршрутизатора не уступает возможностям младших братьев - BRAS, QoS (Классификация и Шейпиинг) BGP, IPsec, NAT, защита от DoS атак, поддержка LTE модемов и много другое.

Все это делает ESR-1700 классным высокпроизводительным сервисным маршрутизатором.

  • Масштабируемое решение для различных областей применения
  • Развитый интерфейс командной строки для управления
  • Гибкое конфигурирование сервисов
  • Возможность сопряжения с оборудованием ведущих производителей
  • Аппаратное ускорение обработки данных
  • Пропускная способность до 60 Гбит/c
  • Модели устройств с повышенной надежностью и резервированием критичных узлов


Производительность
Ключевыми элементами ESR являются средства аппаратного ускорения обработки данных, позволяющие достичь высоких уровней производительности. Программная и аппаратная обработка распределена между узлами устройства.

Типовые задачи, решаемые с помощью сервисных маршрутизаторов:

  • предоставление NAT, Firewall
  • маршрутизация
  • организация защищенных сетевых туннелей для объединения офисов компаний (IPsec VPN)
  • организация удаленного доступа к локальным ресурсам в сетях предприятий (L2TP, PPTP), Open VPN
  • фильтрация сетевых данных по различным критериям
  • AAA (user accounting and policy)
  • Ограничение скорости (Shaper )
  • Ограничение трафика и времени (Limiter)
  • HTTP редиректор
  • Процессор управления Intel Atom C2358 (2 ядра 1700 MHz)
  • Пакетный процессор Broadcom XLP (XLP780)
  • Аппаратный коммутатор Marvell 98DX4251 (BobCat2)
Интерфейсы
  • 4хCombo 10/100/1000BASE-T/ 1000BASE-X
  • 8x10GBASE-R SFP+/1000BASE-X
  • 1xConsole (RJ-45)
  • 1xOOB
  • 2хUSB 2.0
  • 2 разъема для установки HDD
    Подключаемые интерфейсы
    • E1 TopGate SFP
    Производительность
    • Производительность Firewall/NAT/маршрутизации (фреймы 1518B) - 39 Гбит/с; 3216 k пкт/с
    • Производительность Firewall/NAT/маршрутизации (фреймы 70B) - 2672 Мбит/c; 4513 k пкт/c
    • Производительность IPsec VPN (фреймы 1456B) - 13,6 Гбит/с; 1168 k пкт/с
    • Производительность IPS/IDS 10k правил - 3430 Мбит/c; 684 k пкт/с
    • Количество ядер CPU: 80
    • Частота CPU: 1600 MHz
    • Оперативная память: 32 ГБ
    • Постоянная память: 8 ГБ
    Системные характеристики
    • Количество VPN-туннелей - 500
    • Статические маршруты - 11k
    • Количество конкурентных сессий - 512k
    • Поддержка VLAN - до 4k активных VLAN в соответствии с 802.1Q
    • Количество маршрутов BGP - 5M
    • Количество маршрутов OSPF - 500k
    • Количество маршрутов RIP - 10k
    • Таблица MAC-адресов - 128k
    • Размер базы FIB - 3,0M
    • VRF Lite - 32
        Клиенты Remote Access VPN
        • PPTP/PPPoE/L2TP/OpenVPN/IPsec XAUTH
        Сервер Remote Access VPN
        • L2TP/PPTP/OpenVPN/IPsec XAUTH
        Site-to-site VPN
        • IPSec: режимы "policy-based" и "route-based"
        • DMVPN
        • Алгоритмы шифрования DES, 3DES, AES, Blowfish, Camelia
        • Аутентификация сообщений IKE MD5, SHA-1, SHA-2
        Туннелирование
        • IPoGRE, EoGRE
        • IPIP
        • L2TPv3
        • LT (inter VRF-lite routing)
        Функции L2
        • Коммутация пакетов (bridging)
        • Агрегация интерфейсов LAG/LACP (802.3ad)
        • Поддержка VLAN (802.1Q) 
        • Логические интерфейсы
        • LLDP, LLDP MED
        • VLAN на основе MAC
        Функции L3 (IPv4/IPv6)
        • Трансляция адресов NAT, Static NAT, ALG
        • Статические маршруты
        • Динамические протоколы маршрутизации RIPv2, OSPFv2/v3, BGP
        • Фильтрация маршрутов (prefix list)
        • VRF Lite
        • Policy Based Routing (PBR)
        • BFD для BGP, OSPF, статических маршрутов
        BRAS (IPoE)1
        • Терминация пользователей
        • Белые/черные списки URL
        • Квотирование по объёму трафика, по времени сессии, по сетевым приложениям
        • HTTP/HTTPS Proxy
        • HTTP/HTTPS Redirect
        • Аккаунтинг сессий по протоколу Netflow
        • Взаимодействие с серверами ААА, PCRF
        • Управление полосой пропускания по офисам и SSID, сессиям пользователей
        • Аутентификация пользователей по MAC- или IP-адресам
        Функции сетевой защиты 
        • Система обнаружения и предотвращения вторжений (IPS/IDS)1  
        • Взаимодействие с Eltex Distribution Manager для получения лицензируемого контента - наборы правил, предоставляемые Kaspersky SafeStream II1
        • Web-фильтрация по URL, по содержимому (cookies, ActiveX, JavaScript) 
        • Zone-based Firewall
        • Фильтрация на базе L2/L3/L4-полей и по приложениям
        • Поддержка списков контроля доступа (ACL) на базе L2/L3/L4-полей
        • Защита от DoS/DDoS атак и оповещение об атаках
        • Логирование событий атак, событий срабатывания правил
        Качество обслуживания (QoS)
        • До 8-ми приоритетных или взвешанных очередей на порт
        • L2- и L3-приоритизация трафика (802.1p (cos), DSCP, IP Precedence (tos))
        • Предотвращение перегрузки очередей RED, GRED
        • Назначение приоритетов по портам, по VLAN
        • Средства перемаркирования приоритетов
        • Применение политик (policy-map)
        • Управление полосой пропускания (shaping)
        • Иерархический QоS
        • Маркировка сессий
        Управление IP-адресацией (IPv4/IPv6)
        • Статические IP-адреса
        • DHCP-клиент
        • DHCP Relay Option 82
        • Встроенный сервер DHCP, поддержка опций 43, 60, 61, 150
        • DNS resolver
        • IP unnumbered
          Средства обеспечения надежности сети
          • VRRP v2,v3
          • Управление маршрутами на основе состояния VRRP (tracking)
          • Балансировка нагрузки на WAN-интерфейсах, перенаправление потоков данных, переключение при оценке качества канала
          • Резервирование сессий firewall
            Мониторинг и управление
            • Поддержка стандартных и расширенных SNMP MIB, RMONv1
            • Встроенный Zabbix agent
            • Аутентификация по локальной базе пользователей, RADIUS, TACACS+, LDAP
            • Защита от ошибок конфигурирования, автоматическое восстановление конфигурации. Возможность сброса конфигурации к заводским настройкам
            • Интерфейсы управления CLI
            • Поддержка Syslog
            • Монитор использования системных ресурсов
            • Ping, traceroute (IPv4/IPv6), вывод информации о пакетах в консоли
            • Обновление ПО, загрузка и выгрузка конфигурации по TFTP, SCP, FTP, SFTP, HTTP(S)
            • Поддержка NTP
            • Netflow v5/v9/v10 (экспорт статистики URL для HTTP, host для HTTPS)
            • Локальное управление через консольный порт RS-232 (RJ-45)
            • Удаленное управление, протоколы Telnet, SSH (IPv4/IPv6)
            • Вывод информации по сервисам/процессам
            • Локальное/удаленное сохранение конфигураций маршрутизатора
            MPLS
            • Поддержка протокола LDP
            • Поддержка L2VPN VPWS
            • Поддержка L2VPN VPLS Martini Mode
            • Поддержка L2VPN VPLS Kompella Mode
            • Поддержка L3VPN MP-BGP
            Функции контроля SLA
            • Eltex SLA 
            • Оценка параметров каналов связи:
              • Delay (one-way/two-way)
              • Jitter (one-way/two-way)
              • Packet loss (one-way/two-way)
              • Коэффициент ошибок в пакета
              • Нарушение последовательности доставки пакетов
            • Wellink SLA (wiSLA)1

            Физические характеристики и условия окружающей среды
            • Максимальная потребляемая мощность: 250 Вт
            • Максимальный уровень шума - 70 дБ
            • Питание: 
              • 176-264В AC, 50-60 Гц
              • 36-72В DC
              • до двух источников питания с возможностью горячей замены 
            • Интервал рабочих температур: от -10 до +45°С
            • Интервал температуры хранения от -40 до +70°С
            • Относительная влажность при эксплуатации: не более 80%
            • Относительная влажность при хранении: от 10% до 95%
            • Габаритные размеры (ШхВxГ, мм): 440х88х490
            • Вес: 12 кг
            • Срок службы: не менее 15 лет

            Набор функций соответствует версии ПО 1.12.0
            1 Активизируется лицензией  
            ESR-1700
            Сервисный маршрутизатор ESR-1700, 4х combo 10/100/1000BASE-T/1000Base-X,8х 10GBASE-R SFP+, 2x USB 2.0, 32GB RAM, 1 GB Flash, 2 слота для модулей питания
            Шнур питания  (в случае комплектации модулем питания на 220В)
            Шнур питания (в случае комплектации модулем питания на 220В)
            Комплект крепления в 19"стойку
            Комплект крепления в 19"стойку
            Документация
            Документация
            Сертификат
            Сертификат
            [ESR] Очистка конфигурации ESR или сброс на заводскую конфигурацию для версий до 1.1.0 включительно
            Очистка конфигурации происходит путем копирования конфигурации по умолчанию в candidate-config и применения внесенных изменений:

            esr# copy fs://default-config fs://candidate-config

            Процесс сброса на заводскую конфигурацию аналогичен.

            esr# copy fs://factory-config fs://candidate-config

            Изменения конфигурации вступают в действие после применения:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            [ESR] Настройка SNMP
            SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — протокол, предназначенный для управления устройствами в IP-сетях на основе архитектур TCP/UDP. SNMP предоставляет данные для управления в виде переменных, описывающих конфигурацию управляемой системы.

            Задача: Настроить SNMPv3 сервер с аутентификацией и шифрованием данных для пользователя admin. IP-адрес маршрутизатора esr - 192.168.52.41, ip-адрес сервера - 192.168.52.8.

            Рисунок 1 - Схема сети.
            Рисунок 1 – Схема сети

            Решение:

            Предварительно нужно выполнить следующие действия:

            • указать зону для интерфейса gi1/0/1;
            • настроить IP-адрес для интерфейсов gi1/0/1.

            Основной этап конфигурирования:

            Включаем SNMP-сервер:

            esr(config)# snmp-server

            Создаем пользователя SNMPv3:

            esr(config)# snmp-server user admin

            Определим режим безопасности:

            esr(snmp-user)# authentication access priv

            Определим алгоритм аутентификации для SNMPv3-запросов:

            esr(snmp-user)# authentication algorithm md5

            Устанавим пароль для аутентификации SNMPv3-запросов:

            esr(snmp-user)# authentication key ascii-text 123456789

            Определим алгоритм шифрования передаваемых данных:

            esr(snmp-user)# privacy algorithm aes128

            Устанавим пароль для шифрования передаваемых данных:

            esr(snmp-user)# privacy key ascii-text 123456789

            Активируем SNMPv3-пользователя :

            esr(snmp-user)# enable

            Определяем сервер-приемник Trap-PDU сообщений:

            esr(config)# snmp-server host 192.168.52.41

            Изменения конфигурации вступят в действие после применения:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            [ESR] Настройка MultiWAN
            Рекомендуемый порядок действий:

            Задача: Настроить маршрут к серверу (108.16.0.1/28) с возможностью балансировки нагрузки.

            Рисунок 1 - Схема сети.
            Рисунок 1 – Схема сети

            Решение:

            Предварительно нужно выполнить следующие действия:

            • настроить зоны для интерфейсов te1/0/1 и te1/0/2;
            • указать IP-адреса для интерфейсов te1/0/1 и te1/0/2.

            Основной этап конфигурирования:

            Настроим маршрутизацию:

            еsr(config)# ip route 108.16.0.0/28 wan load-balance rule 1

            Создадим правило WAN:

            еsr(config)# wan load-balance rule 1

            Укажем участвующие интерфейсы:

            еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/2
            еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/1

            Включим созданное правило балансировки и выйдем из режима конфигурирования правила:

            еsr(config-wan-rule)# enable
            еsr(config-wan-rule)# exit

            Создадим список для проверки целостности соединения:

            еsr(config)# wan load-balance target-list google

            Создадим цель проверки целостности:

            esr(config-target-list)# target 1

            Зададим адрес для проверки, включим проверку указанного адреса и выйдем:

            еsr(config-wan-target)# ip address 8.8.8.8
            еsr(config-wan-target)# enable
            еsr(config-wan-target)# exit

            Настроим интерфейсы. В режиме конфигурирования интерфейса te1/0/1 указываем nexthop:

            еsr(config)# interface tengigabitethernet 1/0/1
            еsr(config-if)# wan load-balance nexthop 203.0.0.1

            В режиме конфигурирования интерфейса te1/0/1 указываем список целей для проверки соединения:

            еsr(config-if)# wan load-balance target-list google

            В режиме конфигурирования интерфейса te1/0/1 включаем WAN-режим и выходим:

            еsr(config-if)# wan load-balance enable
            еsr(config-if)# exit

            В режиме конфигурирования интерфейса te1/0/2 указываем nexthop:

            еsr(config)# interface tengigabitethernet 1/0/2
            еsr(config-if)# wan load-balance nexthop 65.6.0.1

            В режиме конфигурирования интерфейса te1/0/2 указываем список целей для проверки соединения:

            еsr(config-if)# wan load-balance target-list google

            В режиме конфигурирования интерфейса te1/0/2 включаем WAN-режим и выходим:

            еsr(config-if)# wan load-balance enable
            еsr(config-if)# exit

            Изменения конфигурации вступят в действие после применения:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            Для переключения в режим резервирования настроим следующее:

            Заходим в режим настройки правила WAN:

            еsr(config)# wan load-balance rule 1

            Функция MultiWAN также может работать в режиме резервирования, в котором трафик будет направляться в активный интерфейс c наибольшим весом. Включить данный режим можно следующей командой:

            еsr(config-wan-rule)# failover

            Изменения конфигурации вступят в действие после применения:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            [ESR] Конфигурирование Destination NAT
            Функция Destination NAT (DNAT) состоит в преобразовании IP-адреса назначения у пакетов, проходящих через сетевой шлюз.

            DNAT используется для перенаправления трафика, идущего на некоторый «виртуальный» адрес в публичной сети, на «реальный» сервер в локальной сети, находящийся за сетевым шлюзом. Эту функцию можно использовать для организации публичного доступа к серверам, находящимся в частной сети и не имеющим публичного сетевого адреса.

            Задача: Организовать доступ из публичной сети, относящейся к зоне «UNTRUST», к серверу локальной сети в зоне «TRUST». Адрес сервера в локальной сети - 10.1.1.100. Сервер должен быть доступным извне по адресу 1.2.3.4, доступный порт 80.

            Решение:

            Создадим зоны безопасности «UNTRUST» и «TRUST». Установим принадлежность используемых сетевых интерфейсов к зонам. Одновременно назначим IP-адреса интерфейсам.

            esr# configure
            esr(config)# security zone UNTRUST
            esr(config-zone)# exit
            esr(config)# security zone TRUST
            esr(config-zone)# exit
            esr(config)# interface gigabitethernet 1/0/1
            esr(config-if-gi)# security-zone TRUST
            esr(config-if-gi)# ip address 10.1.1.1/25
            esr(config-if-gi)# exit
            esr(config)# interface tengigabitethernet 1/0/1
            esr(config-if-te)# ip address 1.2.3.4/29
            esr(config-if-te)# security-zone UNTRUST
            esr(config-if-te)# exit

            Создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.

            • NET_UPLINK – профиль адресов публичной сети;
            • SERVER_IP – профиль адресов локальной сети;
            • SRV_HTTP – профиль портов.

            esr(config)# object-group network NET_UPLINK
            esr(config-object-group-network)# ip address 1.2.3.4
            esr(config-object-group-network)# exit
            esr(config)# object-group service SRV_HTTP
            esr(config-object-group-network)# port 80
            esr(config-object-group-network)# exit
            esr(config)# object-group network SERVER_IP
            esr(config-object-group-network)# ip address 10.1.1.100
            esr(config-object-group-network)# exit

            Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 1.2.3.4 из внешней сети.

            esr(config)# nat destination
            esr(config-dnat)# pool SERVER_POOL
            esr(config-dnat-pool)# ip address 10.1.1.100
            esr(config-dnat-pool)# ip port 80
            esr(config-dnat-pool)# exit

            Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «UNTRUST». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».

            esr(config-dnat)# ruleset DNAT
            esr(config-dnat-ruleset)# from zone UNTRUST
            esr(config-dnat-ruleset)# rule 1
            esr(config-dnat-rule)# match destination-address NET_UPLINK
            esr(config-dnat-rule)# match protocol tcp
            esr(config-dnat-rule)# match destination-port SERV_HTTP
            esr(config-dnat-rule)# action destination-nat pool SERVER_POOL
            esr(config-dnat-rule)# enable
            esr(config-dnat-rule)# exit
            esr(config-dnat-ruleset)# exit
            esr(config-dnat)# exit

            Для пропуска трафика, идущего из зоны «UNTRUST» в «TRUST», создадим соответствующую пару зон. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP», и прошедший преобразование DNAT.

            esr(config)# security zone-pair UNTRUST TRUST
            esr(config-zone-pair)# rule 1
            esr(config-zone-rule)# match source-address any
            esr(config-zone-rule)# match destination-address SERVER_IP
            esr(config-zone-rule)# match protocol any
            esr(config-zone-rule)# match destination-nat
            esr(config-zone-rule)# action permit
            esr(config-zone-rule)# enable
            esr(config-zone-rule)# exit
            esr(config-zone-pair)# exit
            esr(config)# exit

            Изменения конфигурации вступят в действие после применения:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            Произведенные настройки можно посмотреть с помощью команд:

            esr# show ip nat destination pools
            esr# show ip nat destination rulesets
            esr# show ip nat proxy-arp
            esr# show ip nat translations

            [ESR] Применение заводских настроек на ESR
            Чтобы выполнить сброс к заводским настройкам, нужно выполнить команды:
            Сброс конфигурации до заводских настроек
            esr-Х# copy system:factory-config system:candidate-config 
            Copy factory configuration to candidate configuration...
            Read factory configuration...
             
            Применение конфигурации
            esr-Х# commit 
            Nothing to commit in configuration
            2017-01-16T08:57:27+00:00 %CLI-I-CRIT: user admin from console input: commit
            esr-Х# confirm 
            Nothing to confirm in configuration. You must commit some changes first.
            2017-01-16T08:57:30+00:00 %CLI-I-CRIT: user admin from console input: confirm

             

            Если нет удаленного доступа, то нужно нажать функциональную кнопку F на передней панели более, чем на 10 секунд. При отпускании кнопки маршрутизатор перезагрузится с заводскими настройками.

            [ESR] Настройка VRF Lite
            VRF (Virtual Routing and Forwarding) – технология, которая позволяет изолировать маршрутную информацию, принадлежащую различным классам (например, маршруты одного клиента).

            Рисунок 1 - Схема сети.
            Рисунок 1 – Схема сети

            Задача: К маршрутизатору серии ESR подключены 2 сети, которые необходимо изолировать от остальных сетей.

            Решение:

            Создадим VRF:

            esr(config)# ip vrf bit
            esr(config-vrf)# exit

            Создадим зону безопасности:

            esr(config)# security zone vrf-sec
            esr(config-zone)# ip vrf forwarding bit
            esr(config-zone)# exit

            Создадим правило для пары зон и разрешим любой TCP/UDP-трафик:

            esr(config)# security zone-pair vrf-sec vrf-sec
            esr(config-zone-pair)# rule 1
            esr(config-zone-rule)# match source-address any
            esr(config-zone-rule)# match destination-address any
            esr(config-zone-rule)# match protocol udp
            esr(config-zone-rule)# match source-port any
            esr(config-zone-rule)# match destination-port any
            esr(config-zone-rule)# action permit
            esr(config-zone-rule)# enable
            esr(config-zone-rule)# exit
            esr(config-zone-pair)# rule 2
            esr(config-zone-rule)# match source-address any
            esr(config-zone-rule)# match destination-address any
            esr(config-zone-rule)# match protocol tcp
            esr(config-zone-rule)# match source-port any
            esr(config-zone-rule)# match destination-port any
            esr(config-zone-rule)# action permit
            esr(config-zone-rule)# enable
            esr(config-zone-rule)# exit

            Создадим привязку интерфейсов, назначим IP-адреса, укажем принадлежность к зоне:

            esr(config)# interface gigabitethernet 1/0/7
            esr(config-if-gi)# ip vrf forwarding bit
            esr(config-if-gi)# ip address 10.20.0.1/24
            esr(config-if-gi)# security-zone vrf-sec
            esr(config-if-gi)# exit
            esr(config)# interface gigabitethernet 1/0/14.10
            esr(config-subif)# ip vrf forwarding bit
            esr(config-subif)# ip address 10.30.0.1/16
            esr(config-subif)# security-zone vrf-sec
            esr(config-subif)# exit
            esr(config)# exit

            Изменения конфигурации вступят в действие после применения:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            Информацию об интерфейсах, привязанных к VRF, можно посмотреть командой:

            esr# show ip vrf

            Таблицу маршрутов VRF можно просмотреть с помощью команды:

            esr# show ip route vrf bit

            [ESR] Настройка Netflow
            Netflow — сетевой протокол, предназначенный для учета и анализа трафика.

            Netflow позволяет передавать данные о трафике (адрес отправителя и получателя, порт, количество информации и др.) с сетевого оборудования (сенсора) на коллектор. В качестве коллектора может использоваться обычный сервер.

            Задача: Организовать учет трафика с интерфейса gi1/0/1 для передачи на сервер через интерфейс gi1/0/8 для обработки.

            Рисунок 1 - Схема сети.
            Рисунок 1 – Схема сети

            Решение:

            Предварительно нужно выполнить следующие действия:

            • На интерфейсах gi1/0/1, gi1/0/8 отключить firewall командой «ip firewall disable». (С версии ПО 1.1.0 необязательно отключать firewall)
            • Назначить IP-адреса на портах.

            Основной этап конфигурирования:

            Укажем IP-адрес коллектора:

            esr(config)# netflow collector 10.10.0.2

            Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1/0/1:

            esr(config)# interface gigabitethernet 1/0/1
            esr(config-if-gi)# ip netflow export

            Активируем netflow на маршрутизаторе.:

            еsr(config)# netflow enable

            Изменения конфигурации вступят в действие после применения:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            Для просмотра статистики Netflow используется команда:

            esr# show netflow statistics

            [ESR] Базовый QoS
            QoS (Quality of Service) – технология предоставления различным классам трафика различных приоритетов в обслуживании.

            Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.

            Задача: Настроить следующие ограничения на интерфейсе gigabitethernet 1/0/8: передавать трафик с DSCP 22 в восьмую приоритетную очередь, трафик с DSCP 14 в седьмую взвешенную очередь, установить ограничение по скорости в 60 Мбит/с для седьмой очереди.

            Рисунок 1 - Схема сети.
            Рисунок 1 – Схема сети

            Решение:

            Для того чтобы восьмая очередь стала приоритетной, а с первой по седьмую взвешенной, ограничим количество приоритетных очередей до 1:

            esr(config)# priority-queue out num-of-queues 1

            Перенаправим трафик с DSCP 22 в восьмую приоритетную очередь:

            esr(config)# qos map dscp-queue 22 to 8

            Перенаправим трафик с DSCP 14 в седьмую взвешенную очередь:

            esr(config)# qos map dscp-queue 14 to 7

            Включим QoS на входящем интерфейсе со стороны LAN:

            esr(config)# interface gigabitethernet 1/0/5
            esr(config-if-gi)# qos enable
            esr(config-if-gi)# exit

            Включим QoS на интерфейсе со стороны WAN:

            esr(config)# interface gigabitethernet 1/0/8
            esr(config-if-gi)# qos enable

            Установим ограничение по скорости в 60Мбит/с для седьмой очереди:

            esr(config-if)# traffic-shape queue 7 60000
            esr(config-if)# exit

            Изменения конфигурации вступят в действие после применения:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            Просмотреть статистику по QoS можно командой (только для ESR-100/ESR-200):

            esr# show qos statistics gigabitethernet 1/0/8

            [ESR] Расширенный QoS
            QoS (Quality of Service) – технология предоставления различным классам трафика различных приоритетов в обслуживании.

            Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.

            Задача: Классифицировать приходящий трафик по подсетям (10.0.11.0/24, 10.0.12.0/24), произвести маркировку по DSCP (38 и 42) и произвести разграничение по подсетям (40 Мбит/с и 60 Мбит/с), ограничить общую полосу до 250 Мбит/с, остальной трафик обрабатывать через механизм SFQ.

            Рисунок 1 - Схема сети.
            Рисунок 1 – Схема сети

            Решение:

            Настроим списки доступа для фильтрации по подсетям, выходим в глобальный режим конфигурации:

            esr(config)# ip access-list extended fl1
            esr(config-acl)# rule 1
            esr(config-acl-rule)# action permit
            esr(config-acl-rule)# match protocol any
            esr(config-acl-rule)# match source-address 10.0.11.0 255.255.255.0
            esr(config-acl-rule)# match destination-address any
            esr(config-acl-rule)# enable
            esr(config-acl-rule)# exit
            esr(config-acl)# exit
            esr(config)# ip access-list extended fl2
            esr(config-acl)# rule 1
            esr(config-acl-rule)# action permit
            esr(config-acl-rule)# match protocol any
            esr(config-acl-rule)# match source-address 10.0.12.0 255.255.255.0
            esr(config-acl-rule)# match destination-address any
            esr(config-acl-rule)# enable
            esr(config-acl-rule)# exit
            esr(config-acl)# exit

            Создаем классы fl1 и fl2, указываем соответствующие списки доступа, настраиваем маркировку:

            esr(config)# class-map fl1
            esr(config-class-map)# set dscp 38
            esr(config-class-map)# match access-group fl1
            esr(config-class-map)# exit
            esr(config)# class-map fl2
            esr(config-class-map)# set dscp 42
            esr(config-class-map)# match access-group fl2
            esr(config-class-map)# exit

            Создаём политику и определяем ограничение общей полосы пропускания:

            esr(config)# policy-map fl
            esr(config-policy-map)# shape average 250000

            Осуществляем привязку класса к политике, настраиваем ограничение полосы пропускания и выходим:

            esr(config-policy-map)# class fl1
            esr(config-class-policy-map)# shape average 40000
            esr(config-class-policy-map)# exit
            esr(config-policy-map)# class fl2
            esr(config-class-policy-map)# shape average 60000
            esr(config-class-policy-map)# exit

            Для другого трафика настраиваем класс с режимом SFQ:

            esr(config-policy-map)# class class-default
            esr(config-class-policy-map)# mode sfq
            esr(config-class-policy-map)# fair-queue 800
            esr(config-class-policy-map)# exit
            esr(config-policy-map)# exit

            Включаем QoS на интерфейсах, политику на входе интерфейса gi 1/0/19 для классификации и на выходе gi1/0/20 для применения ограничений и режима SFQ для класса по умолчанию:

            esr(config)# interface gigabitethernet 1/0/19
            esr(config-if-gi)# qos enable
            esr(config-if-gi)# service-policy input fl
            esr(config-if-gi)# exit
            esr(config)# interface gigabitethernet 1/0/20
            esr(config-if-gi)# qos enable
            esr(config-if-gi)# service-policy output fl
            esr(config-if-gi)# exit

            Изменения конфигурации вступят в действие после применения:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            Для просмотра статистики используется команда:

            esr# do show qos policy statistics gigabitethernet 1/0/20

            [ESR] Конфигурирование Firewall
            Firewall – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

            Задача: Разрешить обмен сообщениями по протоколу ICMP между устройствами ПК1, ПК2 и маршрутизатором ESR.

            Рисунок 1 - Схема сети.
            Рисунок 1 - схема сети.

            Решение:

            Для каждой сети ESR создадим свою зону безопасности:

            esr# configure
            esr(config)# security zone LAN
            esr(config-zone)# exit
            esr(config)# security zone WAN
            esr(config-zone)# exit

            Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:

            esr(config)# interface gi1/0/2
            esr(config-if-gi)# ip address 192.168.12.2/24
            esr(config-if-gi)# security-zone LAN
            esr(config-if-gi)# exit
            esr(config)# interface gi1/0/3
            esr(config-if-gi)# ip address 192.168.23.2/24
            esr(config-if-gi)# security-zone WAN
            esr(config-if-gi)# exit

            Для настройки правил зон безопасности потребуется создать профиль адресов сети «LAN», включающий адреса, которым разрешен выход в сеть «WAN», и профиль адресов сети «WAN».

            esr(config)# object-group network WAN
            esr(config-object-group-network)# ip address-range 192.168.23.2
            esr(config-object-group-network)# exit
            esr(config)# object-group network LAN
            esr(config-object-group-network)# ip address-range 192.168.12.2
            esr(config-object-group-network)# exit
            esr(config)# object-group network LAN_GATEWAY
            esr(config-object-group-network)# ip address-range 192.168.12.1
            esr(config-object-group-network)# exit
            esr(config)# object-group network WAN_GATEWAY
            esr(config-object-group-network)# ip address-range 192.168.23.3
            esr(config-object-group-network)# exit

            Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК1 к ПК2. Действие правил разрешается командой enable:

            esr(config)# security zone-pair LAN WAN
            esr(config-zone-pair)# rule 1
            esr(config-zone-rule)# action permit
            esr(config-zone-rule)# match protocol icmp
            esr(config-zone-rule)# match destination-address WAN
            esr(config-zone-rule)# match source-address LAN
            esr(config-zone-rule)# enable
            esr(config-zone-rule)# exit
            esr(config-zone-pair)# exit

            Для пропуска трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК2 к ПК1. Действие правил разрешается командой enable:

            esr(config)# security zone-pair WAN LAN
            esr(config-zone-pair)# rule 1
            esr(config-zone-rule)# action permit
            esr(config-zone-rule)# match protocol icmp
            esr(config-zone-rule)# match destination-address LAN
            esr(config-zone-rule)# match source-address WAN
            esr(config-zone-rule)# enable
            esr(config-zone-rule)# exit
            esr(config-zone-pair)# exit

            На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Создадим пару зон для трафика, идущего из зоны «WAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК2 и маршрутизатором ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «WAN»:

            esr(config)# security zone-pair WAN self
            esr(config-zone-pair)# rule 1
            esr(config-zone-rule)# action permit
            esr(config-zone-rule)# match protocol icmp
            esr(config-zone-rule)# match destination-address WAN
            esr(config-zone-rule)# match source-address WAN_GATEWAY
            esr(config-zone-rule)# enable
            esr(config-zone-rule)# exit
            esr(config-zone-pair)# exit

            Создадим пару зон для трафика, идущего из зоны «LAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:

            esr(config)# security zone-pair LAN self
            esr(config-zone-pair)# rule 1
            esr(config-zone-rule)# action permit
            esr(config-zone-rule)# match protocol icmp
            esr(config-zone-rule)# match destination-address LAN
            esr(config-zone-rule)# match source-address LAN_GATEWAY
            esr(config-zone-rule)# enable
            esr(config-zone-rule)# exit
            esr(config-zone-pair)# exit
            esr(config)# exit

            Изменения конфигурации вступят в действие по следующим командам:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            Посмотреть членство портов в зонах можно с помощью команды:

            esr# show security zone

            Посмотреть пары зон и их конфигурацию можно с помощью команд:

            esr# show security zone-pair
            esr# show security zone-pair configuration

            Посмотреть активные сессии можно с помощью команд:

            esr# show ip firewall sessions

            [ESR] Настройка LACP
            LACP — протокол для агрегирования каналов, позволяет объединить несколько физических каналов в один логический.

            Такое объединение позволяет увеличивать пропускную способность и надежность канала.

            Задача: Настроить агрегированный канал между маршрутизатором ESR и коммутатором.

            Рисунок 1 - Схема сети.
            Рисунок 1 – Схема сети

            Решение:

            Предварительно нужно выполнить следующие настройки:

            • На интерфейсах gi1/0/1, gi1/0/2 отключить зону безопасности командой «no security-zone».

            Основной этап конфигурирования:

            Cоздадим интерфейс port-channel 2:

            esr(config)# interface port-channel 2

            Включим физические интерфейсы gi1/0/1, gi1/0/2 в созданную группу агрегации каналов:

            esr(config)# interface gigabitethernet 1/0/1-2
            esr(config-if-gi)# channel-group 2 mode auto

            Изменения конфигурации вступят в действие после применения:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            Дальнейшая конфигурация port-channel проводится как на обычном физическом интерфейсе.

            [ESR] Настройка VRRP
            VRRP (Virtual Router Redundancy Protocol) — сетевой протокол, предназначенный для увеличения доступности маршрутизаторов, выполняющих роль шлюза по умолчанию.

            Это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего IP-адреса, который и будет использоваться как шлюз по умолчанию для компьютеров в сети.

            Задача 1: Организовать виртуальный шлюз для локальной сети в VLAN 50, используя протокол VRRP. В качестве локального виртуального шлюза используется IP адрес 192.168.1.1.

            Рисунок 1 - Схема сети.
            Рисунок 1 – Схема сети

            Решение:

            Предварительно нужно выполнить следующие действия:

            • создать соответствующий саб-интерфейс;
            • настроить зону для саб-интерфейса;
            • указать IP-адрес для саб-интерфейса.

            Основной этап конфигурирования:

            Настроим маршрутизатор R1.

            В созданном саб-интерфейсе настроим VRRP. Укажем уникальный идентификатор VRRP:

            R1(config)# interface gi 1/0/5.50
            R1(config-subif)# vrrp id 10

            Укажем IP-адрес виртуального шлюза 192.168.1.1/24:

            R1(config-subif)# vrrp ip 192.168.1.1

            Включим VRRP:

            R1(config-subif)# vrrp
            R1(config-subif)# exit

            Изменения конфигурации вступят в действие после применения:

            R1# commit
            Configuration has been successfully committed
            R1# confirm
            Configuration has been successfully confirmed

            Произвести аналогичные настройки на R2.

            Задача 2: Организовать виртуальные шлюзы для подсети 192.168.20.0/24 в VLAN 50 и подсети 192.168.1.0/24 в VLAN 60, используя протокол VRRP c функцией синхронизации Мастера. Для этого используем объединение VRRP-процессов в группу. В качестве виртуальных шлюзов используются IP-адреса 192.168.1.1 и 192.168.20.1.


            Рисунок 2 – Схема сети

            Решение:

            Предварительно нужно выполнить следующие действия:

            • создать соответствующие саб-интерфейсы;
            • настроить зону для саб-интерфейсов;
            • указать IP-адреса для саб-интерфейсов.

            Основной этап конфигурирования:

            Настроим маршрутизатор R1.

            Настроим VRRP для подсети 192.168.1.0/24 в созданном саб-интерфейсе.

            Укажем уникальный идентификатор VRRP:

            R1(config-sub)# interface gi 1/0/5.50
            R1(config-subif)# vrrp id 10

            Укажем IP-адрес виртуального шлюза 192.168.1.1:

            R1(config-subif)# vrrp ip 192.168.1.1

            Укажем идентификатор VRRP-группы:

            R1(config-subif)# vrrp group 5

            Включим VRRP:

            R1(config-subif)# vrrp
            R1(config-subif)# exit

            Настроим VRRP для подсети 192.168.20.0/24 в созданном саб-интерфейсе.

            Укажем уникальный идентификатор VRRP:

            R1(config-sub)# interface gi 1/0/6.60
            R1(config-subif)# vrrp id 20

            Укажем IP-адрес виртуального шлюза 192.168.20.1:

            R1(config-subif)# vrrp ip 192.168.20.1

            Укажем идентификатор VRRP-группы:

            R1(config-subif)# vrrp group 5

            Включим VRRP:

            R1(config-subif)# vrrp
            R1(config-subif)# exit

            Изменения конфигурации вступят в действие после применения:

            R1# commit
            Configuration has been successfully committed
            R1# confirm
            Configuration has been successfully confirmed

            Произвести аналогичные настройки на R2.

            [ESR] Настройка RIP
            RIP — дистанционно-векторный протокол динамической маршрутизации, который использует количество транзитных участков в качестве метрики маршрута.

            Максимальное количество транзитных участков (hop), разрешенное в RIP, равно 15. Каждый RIP-маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд. RIP работает на 3-м уровне стека TCP/IP, используя UDP-порт 520.

            Задача: Настроить на маршрутизаторе протокол RIP для обмена маршрутной информацией с соседними маршрутизаторами. Маршрутизатор должен анонсировать статические маршруты и подсети 115.0.0.0/24, 14.0.0.0/24, 10.0.0.0/24. Анонсирование маршрутов должно происходить каждые 25 секунд.

            Рисунок 1 - Схема сети.
            Рисунок 1 - Схема сети.

            Решение:

            Предварительно нужно настроить IP-адреса на интерфейсах согласно схеме сети, приведенной на рисунке 1.

            Перейдём в режим конфигурирования протокола RIP:

            esr(config)# router rip

            Укажем подсети, которые будут анонсироваться протоколом: 115.0.0.0/24, 14.0.0.0/24 и 10.0.0.0/24:

            esr(config-rip)# network 115.0.0.0/24
            esr(config-rip)# network 14.0.0.0/24
            esr(config-rip)# network 10.0.0.0/24

            Для анонсирования протоколом статических маршрутов выполним команду:

            esr(config-rip)# redistribute static

            Настроим таймер, отвечающий за отправку маршрутной информации:

            esr(config-rip)# timers update 25

            После установки всех требуемых настроек включаем протокол:

            esr(config-rip)# enable

            Изменения конфигурации вступят в действие после применения:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            Для того чтобы просмотреть таблицу маршрутов RIP воспользуемся командой:

            esr# show ip rip

            Помимо настройки протокола RIP, необходимо в firewall разрешить UDP-порт 520.

            [ESR] Настройка зеркалирования
            Зеркалирование трафика — функция маршрутизатора, предназначенная для перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора (локальное зеркалирование) или на удаленное устройство (удаленное зеркалирование).

            Задача: Организовать удаленное зеркалирование трафика по VLAN 50 с интерфейса gi1/0/11 для передачи на сервер для обработки.

            Рисунок 1 - Схема сети.
            Рисунок 1 – Схема сети

            Решение:

            Предварительно нужно выполнить следующие действия:

            • Создать VLAN 50;
            • На интерфейсе gi 1/0/5 добавить VLAN 50 в режиме general.

            Основной этап конфигурирования:

            Укажем VLAN, по которой будет передаваться зеркалированный трафик:

            еsr1000(config)# port monitor remote vlan 50

            На интерфейсе gi 1/0/5 укажем порт для зеркалирования:

            еsr1000(config)# interface gigabitethernet 1/0/5
            еsr1000(config-if-gi)# port monitor interface gigabitethernet 1/0/11

            Укажем на интерфейсе gi 1/0/5 режим удаленного зеркалирования:

            еsr1000(config-if-gi)# port monitor remote

            Изменения конфигурации вступят в действие после применения:

            esr1000# commit
            Configuration has been successfully committed
            esr1000# confirm
            Configuration has been successfully confirmed

            [ESR] Конфигурирование статических маршрутов
            Статическая маршрутизация – вид маршрутизации, при котором маршруты указываются в явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации.

            Задача: Настроить доступ к сети Internet для пользователей локальной сети 192.168.1.0/24 и 10.0.0.0/8, используя статическую маршрутизацию. На устройстве R1 создать шлюз для доступа к сети Internet. Трафик внутри локальной сети должен маршрутизироваться внутри зоны LAN, трафик из сети Internet должен относиться к зоне WAN.

            Рисунок 1 - Схема сети.
            Рисунок 1 - схема сети.

            Решение:

            Зададим имя устройства для маршрутизатора R1:

            esr# hostname R1
            esr#(config)# do commit
            R1#(config)# do confirm

            Для интерфейса gi1/0/1 укажем адрес 192.168.1.1/24 и зону «LAN». Через данный интерфейс R1 будет подключен к сети 192.168.1.0/24:

            R1(config)# interface gi1/0/1
            R1(config-if-gi)# security-zone LAN
            R1(config-if-gi)# ip address 192.168.1.1/24
            R1(config-if-gi)# exit

            Для интерфейса gi1/0/2 укажем адрес 192.168.100.1/30 и зону «LAN». Через данный интерфейс R1 будет подключен к устройству R2 для последующей маршрутизации трафика:

            R1(config)# interface gi1/0/2
            R1(config-if-gi)# security-zone LAN
            R1(config-if-gi)# ip address 192.168.100.1/30
            R1(config-if-gi)# exit

            Для интерфейса gi1/0/3 укажем адрес 128.107.1.2/30 и зону «WAN». Через данный интерфейс R1 будет подключен к сети Internet:

            R1(config)# interface gi1/0/3
            R1(config-if-gi)# security-zone WAN
            R1(config-if-gi)# ip address 128.107.1.2/30
            R1(config-if-gi)# exit

            Создадим маршрут для взаимодействия с сетью 10.0.0.0/8, используя в качестве шлюза устройство R2 (192.168.100.2):

            R1(config)# ip route 10.0.0.0/8 192.168.100.2

            Создадим маршрут для взаимодействия с сетью Internet, используя в качестве nexthop шлюз провайдера (128.107.1.1):

            R1(config)# ip route 0.0.0.0/0 128.107.1.1

            Изменения конфигурации на маршрутизаторе R1 вступят в действие по следующим командам:

            R1# commit
            Configuration has been successfully committed
            R1# confirm
            Configuration has been successfully confirmed

            Зададим имя устройства для маршрутизатора R2:

            esr# hostname R2
            esr#(config)# do commit
            R2#(config)# do confirm

            Для интерфейса gi1/0/1 укажем адрес 10.0.0.1/8 и зону «LAN». Через данный интерфейс R2 будет подключен к сети 10.0.0.0/8:

            R2(config)# interface gi1/0/1
            R2(config-if-gi)# security-zone LAN
            R2(config-if-gi)# ip address 10.0.0.1/8
            R2(config-if-gi)# exit

            Для интерфейса gi1/0/2 укажем адрес 192.168.100.2/30 и зону «LAN». Через данный интерфейс R2 будет подключен к устройству R1 для последующей маршрутизации трафика:

            R2(config)# interface gi1/0/2
            R2(config-if-gi)# security-zone LAN
            R2(config-if-gi)# ip address 192.168.100.2/30
            R2(config-if-gi)# exit

            Создадим маршрут по умолчанию, указав в качестве nexthop IP-адрес интерфейса gi1/0/2 маршрутизатора R1 (192.168.100.1):

            R2(config)# ip route 0.0.0.0/0 192.168.100.1

            Изменения конфигурации на маршрутизаторе R2 вступят в действие по следующим командам:

            R2# commit
            Configuration has been successfully committed
            R2# confirm
            Configuration has been successfully confirmed

            Проверить таблицу маршрутов можно командой:

            esr# show ip route

            [ESR] DHCP Relay
            В случае, если DHCP-клиент не имеет возможности обратиться к DHCP-серверу напрямую (например, если они находятся в разных широковещательных доменах), используется так называемый DHCP-ретранслятор (relay agent), который обрабатывает клиентский широковещательный DHCP-запрос и отправляет его на DHCP-сервер в виде unicast пакета, а полученный от DHCP-сервера ответ, в свою очередь, перенаправляет DHCP-клиенту.

            Рисунок 1 - Схема сети

             

            Предварительно необходимо сконфигурировать интерфейсы:

            esr(config)# interface gigabitethernet 1/0/1

            esr(config-if-gi)# ip address 10.0.0.1/24

            esr(config)# interface gigabitethernet 1/0/2

            esr(config-if-gi)# ip address 192.168.0.1/24

             

            Настройки DHCP-ретранслятора на ESR сводятся к:

             

            1. Включению DHCP relay глобально на устройстве командой

             

            esr(config)# ip dhcp-relay

             

            2. Указанию на интерфейсе со стороны DHCP-клинта IP адреса DHCP-сервера, на который будут перенаправляться клиентские запросы.

             

            esr(config)# interface gigabitethernet 1/0/2

            esr(config-if-gi)# ip helper-address 10.0.0.2

             

            Чтобы изменения вступили в силу, необходимо ввести следующие команды:

            esr# commit

            Configuration has been commited

            esr# confirm

             Configuration has been confirmed

            [ESR] Настройка Route-based IPsec VPN
            IPsec – это набор протоколов, которые обеспечивают защиту передаваемых с помощью IP-протокола данных.

            Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

            Рисунок 1 - Схема сети.
            Рисунок 1 – Схема сети

            Задача: Настроить IPsec-туннель между R1 и R2.

            • R1 IP адрес - 120.11.5.1;
            • R2 IP адрес - 180.100.0.1;
            • IKE:
              группа Диффи-Хэллмана: 2;
              алгоритм шифрования: AES 128 bit;
              алгоритм аутентификации: MD5.
            • IPSec:
              алгоритм шифрования: AES 128 bit;
              алгоритм аутентификации: MD5.

            Решение:

            1. Конфигурирование R1

            Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

            esr# configure
            esr(config)# interface gi 1/0/1
            esr(config-if-gi)# ip address 120.11.5.1/24
            esr(config-if-gi)# security-zone untrusted
            esr(config-if-gi)# exit

            Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

            esr(config)# tunnel vti 1
            esr(config-vti)# local address 120.11.5.1
            esr(config-vti)# remote address 180.100.0.1
            esr(config-vti)# enable
            esr(config-vti)# exit

            Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

            esr(config)# object-group service ISAKMP
            esr(config-object-group-service)# port-range 500
            esr(config-object-group-service)# exit

            Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

            esr(config)# ip route 10.0.0.0/16 tunnel vti 1

            Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

            esr(config)# security ike proposal ike_prop1
            esr(config-ike-proposal)# dh-group 2
            esr(config-ike-proposal)# authentication algorithm md5
            esr(config-ike-proposal)# encryption algorithm aes128
            esr(config-ike-proposal)# exit

            Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

            esr(config)# security ike policy ike_pol1
            esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
            esr(config-ike-policy)# proposal ike_prop1
            esr(config-ike-policy)# exit

            Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

            esr(config)# security ike gateway ike_gw1
            esr(config-ike-gw)# ike-policy ike_pol1
            esr(config-ike-gw)# mode route-based
            esr(config-ike-gw)# bind-interface vti 1
            esr(config-ike-gw)# version v2-only
            esr(config-ike-gw)# exit

            Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

            esr(config)# security ipsec proposal ipsec_prop1
            esr(config-ipsec-proposal)# authentication algorithm md5
            esr(config-ipsec-proposal)# encryption algorithm aes128
            esr(config-ipsec-proposal)# exit

            Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

            esr(config)# security ipsec policy ipsec_pol1
            esr(config-ipsec-policy)# proposal ipsec_prop1
            esr(config-ipsec-policy)# exit

            Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

            esr(config)# security ipsec vpn ipsec1
            esr(config-ipsec-vpn)# mode ike
            esr(config-ipsec-vpn)# ike establish-tunnel immediate
            esr(config-ipsec-vpn)# ike gateway ike_gw1
            esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
            esr(config-ipsec-vpn)# enable
            esr(config-ipsec-vpn)# exit
            esr(config)# exit

            2. Конфигурирование R2

            Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

            esr# configure
            esr(config)# interface gi 1/0/1
            esr(config-if)# ip address 180.100.0.1/24
            esr(config-if)# security-zone untrusted
            esr(config-if)# exit

            Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

            esr(config)# tunnel vti 1
            esr(config-vti)# remote address 120.11.5.1
            esr(config-vti)# local address 180.100.0.1
            esr(config-vti)# enable
            esr(config-vti)# exit

            Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

            esr(config)# object-group service ISAKMP
            esr(config-addr-set)# port-range 500
            esr(config-addr-set)# exit

            Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

            esr(config)# ip route 10.0.0.0/16 tunnel vti 1

            Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

            esr(config)# security ike proposal ike_prop1
            esr(config-ike-proposal)# dh-group 2
            esr(config-ike-proposal)# authentication algorithm md5
            esr(config-ike-proposal)# encryption algorithm aes128
            esr(config-ike-proposal)# exit

            Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

            esr(config)# security ike policy ike_pol1
            esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
            esr(config-ike-policy)# proposal ike_prop1
            esr(config-ike-policy)# exit

            Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

            esr(config)# security ike gateway ike_gw1
            esr(config-ike-gw)# ike-policy ike_pol1
            esr(config-ike-gw)# mode route-based
            esr(config-ike-gw)# bind-interface vti 1
            esr(config-ike-gw)# version v2-only
            esr(config-ike-gw)# exit

            Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec туннеля:

            esr(config)# security ipsec proposal ipsec_prop1
            esr(config-ipsec-proposal)# authentication algorithm md5
            esr(config-ipsec-proposal)# encryption algorithm aes128
            esr(config-ipsec-proposal)# exit

            Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

            esr(config)# security ipsec policy ipsec_pol1
            esr(config-ipsec-policy)# proposal ipsec_prop1
            esr(config-ipsec-policy)# exit

            Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

            esr(config)# security ipsec vpn ipsec1
            esr(config-ipsec-vpn)# mode ike
            esr(config-ipsec-vpn)# ike establish-tunnel immediate
            esr(config-ipsec-vpn)# ike gateway ike_gw1
            esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
            esr(config-ipsec-vpn)# enable
            esr(config-ipsec-vpn)# exit
            esr(config)# exit

            Состояние туннеля можно посмотреть командой:

            esr# show security ipsec vpn status ipsec1

            Конфигурацию туннеля можно посмотреть командой:

            esr# show security ipsec vpn configuration ipsec1

            [ESR] Настройка GRE-туннелей
            GRE (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов.

            Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты. GRE может использоваться для организации VPN на 3-м уровне модели OSI. В маршрутизаторе ESR реализованы статические неуправляемые GRE-туннели, то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах. Параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером.

            Задача: Организовать L3-VPN между офисами компании через IP-сеть, используя для туннелирования трафика протокол GRE.

            • в качестве локального шлюза для туннеля используется IP-адрес 115.0.0.1;
            • в качестве удаленного шлюза для туннеля используется IP-адрес 114.0.0.10;
            • IP-адрес туннеля на локальной стороне 25.0.0.1/24.

            Рисунок 1 - Схема сети.
            Рисунок 1 – Схема сети

            Решение:

            Создадим туннель GRE 10:

            esr(config)# tunnel gre 10

            Укажем локальный и удаленный шлюз (IP-адреса интерфейсов, граничащих с WAN):

            esr(config-gre)# local address 115.0.0.1
            esr(config-gre)# remote address 114.0.0.10

            Укажем IP-адрес туннеля 25.0.0.1/24:

            esr(config-gre)# ip address 25.0.0.1/24

            Также туннель должен принадлежать к зоне безопасности, для того чтобы можно было создать правила, разрешающие прохождение трафика в firewall. Принадлежность туннеля к зоне задается следующей командой:

            esr(config-gre)# security-zone untrusted

            Включим туннель:

            esr(config-gre)# enable
            esr(config-gre)# exit

            На маршрутизаторе должен быть создан маршрут до локальной сети партнера. В качестве интерфейса назначения указываем ранее созданный туннель GRE:

            esr(config)# ip route 172.16.0.0/16 tunnel gre 10

            Для применения изменений конфигурации выполним следующие команды:

            esr# commit
            Configuration has been successfully committed
            esr# confirm
            Configuration has been successfully confirmed

            После применения настроек трафик будет инкапсулироваться в туннель и отправляться партеру, независимо от наличия GRE-туннеля и правильности настроек с его стороны.

            Опционально для GRE-туннеля можно указать следующие параметры:

            • Включить вычисление и включение в пакет контрольной суммы заголовка GRE и инкапсулированного пакета для исходящего трафика:

            esr(config-gre)# local checksum

            • Включить проверку наличия и корректности контрольной суммы GRE для входящего трафика:

            esr(config-gre)# remote checksum

            • Указать уникальный идентификатор:

            esr(config-gre)# key 15808

            • Указать значение DSCP, MTU, TTL:

            esr(config-gre)# dscp 44
            esr(config-gre)# mtu 1426
            esr(config-gre)# ttl 18

            Состояние туннеля можно посмотреть командой:

            esr# show tunnels status gre 10

            Счетчики входящих и отправленных пакетов можно посмотреть командой:

            esr# show tunnels counters gre 10

            Конфигурацию туннеля можно посмотреть командой:

            esr# show tunnels configuration gre 10

            Настройка туннеля IPv4-over-IPv4 производится аналогичным образом.

            [ESR] Установка и активация лицензий
            В текущей релизной версия ПО - 1.2.0 доступны лицензии для функционала BRAS, Wi-Fi, wiSLA (активация SLA агента, используемого для мониторинга параметров качества канала связи).

            Для установки лицензии необходимо файл лицензии загрузить на маршрутизатор с TFTP, FTP или SCP сервера:

            esr# copy tftp://А.B.C.D:/NPXXXXXXXX.lic system:licence

            esr# copy ftp://admin:password@А.B.C.D:/NPXXXXXXXX.lic system:licence

            esr# copy scp://admin:password@A.B.C.D:/NPXXXXXXXX.lic system:licence

            Процесс активации лицензии происходит автоматически после перезагрузки оборудования.

            esr# reload system

            [ESR] Настройка BRAS без поддержки SoftWLC
            Основные шаги по настройке:

            Шаг 1.  Настройка FreeRADIUS - сервера.

            Для FreeRADIUS сервера нужно задать подсеть, из которой могут приходить запросы и добавить список пользователей. Для этого в файл users в директории с файлами конфигурации FreeRADIUS сервера нужно добавить:

             

            Профиль пользователя:

             

            <MACADDR> Cleartext-Password := <MACADDR>

            # Имя пользователя

            User-Name = <USER_NAME>,

            # Максимальное время жизни сессии

            Session-Timeout = <SECONDS>,

            # Максимальное время жизни сесиии при бездействии пользователя

            Idle-Timeout = <SECONDS>,

            # Время на обновление статистики по сессии

            Acct-Interim-Interval = <SECONDS>,

            # Имя сервиса для сессии (A - сервис включен, N - сервис выключен)

            Cisco-Account-Info = "{A|N}<SERVICE_NAME>"

             

            Профиль сервиса:

             

            <SERVICE_NAME> Cleartext-Password := <MACADDR>

            # Соответствует имени class-map в настройках ESR

            Cisco-AVPair = "subscriber:traffic-class=<CLASS_MAP>",

            # Действие, которое применяет ESR к трафику (permit, deny, redirect)

            Cisco-AVPair = "subscriber:filter-default-action=<ACTION>",

            # Возможность прохождения IP потоков (enabled-uplink, enabled-downlink, enabled, disabled)

            Cisco-AVPair = "subscriber:flow-status=<STATUS>"

            В файл clients.conf нужно добавить подсеть, в которой находится ESR:

            client ESR {

            ipaddr = <SUBNET>

            secret = <RADIUS_KEY>

            }

             

            Шаг 2.  Настройка ESR - нужно сконфигурировать:

             

            radius-server host <IP_ADDRESS>

            key ascii-text <RADIUS_KEY>

            exit

            aaa radius-profile bras_radius

            radius-server host <IP_ADDRESS>

            exit

            das-server das

            key ascii-text <RADIUS_KEY>

            exit

            aaa das-profile bras_das

            das-server das

            exit

            ip access-list extended user_acl

            rule 1

            action permit

            match protocol any

            match source-address any

            match destination-address any

            enable

            exit

            exit

            subscriber-control

            aaa das-profile bras_das

            aaa sessions-radius-profile bras_radius

            nas-ip-address <IP_ADDRESS>

            session mac-authentication

            default-service default-action redirect <URL>

            exit

            enable

            exit

             

            На интерфейсах, для которых требуется работа BRAS настроить (для успешного запуска требуется как минимум один интерфейс):

             

            service-subscriber-control {object-group <NAME> | any}

            location <L2LOCATION>

             

            !!! Настройка действие фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:
            1. Создаем локальный список URL (можно указать свои URL, на которые неавторизованные пользователи смогут проходить без авторизации и без редиректа, например локальные сервисы вашей сети и ваш сайт):
            object-group url defaultserv
              url http://eltex.nsk.ru
              url http://ya.ru
              url https://ya.ru
            exit
            2. Добавим действие фильтрации для локального списка URL в BRAS:

            subscriber-control
              default-service
                filter-name local defaultserv
                filter-action permit
            end
            Теперь неавторизированные пользователи будут иметь доступ к URL defaultserv без редирект, а при попытке пройти на другие сайты для них отработает редирект:
            default-service
                default-action redirect http://192.168.16.54:8080/eltex_portal/

             

             

             

            Пример настройки:

             

            Дано:

            Шаг 1. Настройка FreeRADIUS - сервера:

             
            подсеть с клиентами 10.10.0.0/16, подсеть для работы с FreeRADIUS сервером 192.168.16.140/23. Настраиваем FreeRADIUS сервер. В файл «clients.conf» добавляем строки:
            client BRAS {
            ipaddr = 192.168.16.140
            secret = password
            }

             

            В файл «users» добавляем строки (вместо <MAC> нужно указать MAC адрес клиента):

            "00-00-00-33-96-3D" Cleartext-Password := "00-00-00-33-96-3D"
            User-Name = "Bras_user",
            Session-Timeout = 259200,
            Idle-Timeout = 259200,
            Cisco-AVPair += "subscriber:policer-rate-in=1000",
            Cisco-AVPair += "subscriber:policer-rate-out=1000",
            Cisco-AVPair += "subscriber:policer-burst-in=188",
            Cisco-AVPair += "subscriber:policer-burst-out=188",
            Cisco-Account-Info = "AINTERNET"

            INTERNET Cleartext-Password := "INTERNET"
            User-Name = "INTERNET",
            Cisco-AVPair = "subscriber:traffic-class=INTERNET",
            Cisco-AVPair += "subscriber:filter-default-action=permit"

            Для traffic-class в настройках сервиса нужно указать access-list из настроек ESR. Он нужен для определения какой трафик пользователя считать за трафик этого сервиса.

             

            Шаг 2. Конфигурация ESR:

             

            configure

            object-group url defaultserv
            url http://eltex.nsk.ru
            url http://ya.ru
            url https://ya.ru
            exit


            radius-server host 192.168.16.54
            key ascii-text encrypted 8CB5107EA7005AFF
            source-address 192.168.16.140
            exit
             aaa radius-profile bras_radius
            radius-server host 192.168.16.54
             exit
             aaa radius-profile bras_radius_servers
             radius-server host 192.168.16.54
             exit
            das-server das
            key ascii-text encrypted 8CB5107EA7005AFF
             exit
             aaa das-profile bras_das
             das-server das
            exit


             vlan 10
             exit


             ip access-list extended BYPASS
            rule 1
             action permit
            match protocol udp
             match source-address any
            match destination-address any
             match source-port 68
             match destination-port 67
            enable
             exit
             rule 2
             action permit
             match protocol udp
             match source-address any
             match destination-address any
             match source-port any
             match destination-port 53
            enable
            exit
             rule 3
             exit
             exit


            ip access-list extended INTERNET
            rule 1
             action permit
            match protocol any
            match source-address any
            match destination-address any
            enable
             exit
             exit

            ip access-list extended WELCOME
            rule 10
            action permit
            match protocol tcp
            match source-address any
            match destination-address any
            match source-port any
            match destination-port 443
            enable
            exit
            rule 20
            action permit
            match protocol tcp
            match source-address any
            match destination-address any
            match source-port any
            match destination-port 8443
            enable
            exit
            rule 30
            action permit
            match protocol tcp
            match source-address any
            match destination-address any
            match source-port any
            match destination-port 80
            enable
            exit
            rule 40
            action permit
            match protocol tcp
            match source-address any
            match destination-address any
            match source-port any
            match destination-port 8080
            enable
            exit
            exit


             subscriber-control
            aaa das-profile bras_das
            aaa sessions-radius-profile bras_radius
            aaa services-radius-profile bras_radius_servers
            nas-ip-address 192.168.16.140
            session mac-authentication
            bypass-traffic-acl BYPASS
            default-service
            class-map BYPASS
            filter-name local defaultserv
            filter-action permit
            default-action redirect http://192.168.16.54/eltex_portal
            session-timeout 121
            exit
            enable
            exit


             bridge 10
            vlan 10
            ip firewall disable
             ip address 10.10.0.1/16
             ip helper-address 192.168.16.54
            service-subscriber-control any
            location USER
             protected-ports
             protected-ports exclude vlan
            enable
             exit
             interface gigabitethernet 1/0/2
            ip firewall disable
            ip address 192.168.16.140/23
             exit
             interface gigabitethernet 1/0/3.10
             bridge-group 10
            ip firewall disable
             exit
             interface gigabitethernet 1/0/4
            ip firewall disable
             ip address 30.30.30.2/24
             exit
             interface tengigabitethernet 1/0/1
            ip firewall disable
             exit
             interface tengigabitethernet 1/0/1.10
             bridge-group 10
            exit
             interface tengigabitethernet 1/0/1.20
             ip firewall disable
            ip address 20.20.20.1/24
             exit
            interface tengigabitethernet 1/0/1.30
            bridge-group 10
             exit
             interface tengigabitethernet 1/0/1.40
             bridge-group 10
            exit

            nat source
            ruleset factory
            to interface gigabitethernet 1/0/2
            rule 10
            description "replace 'source ip' by outgoing interface ip address"
            match protocol any
            match source-address any
            match destination-address any
            action source-nat interface
            enable
            exit
            exit


             ip route 0.0.0.0/0 192.168.16.145

             ip telnet server

            [ESR] Пример настройки проброса портов на маршрутизаторах ESR
            Для начала нужно создать объекты, которыми будем оперировать дальше в конфигурации.

            Создаем порт

            object-group service HTTP

              port-range 8080

            exit

             

            Создаем IP адреса аплинка и сервера, до которого планируем пробросить порт

            object-group network UPLINK

              ip address-range X.X.X.X   - где X.X.X.X белый IP маршрутизатора без маски

            exit

            object-group network SERVER

              ip address-range Y.Y.Y.Y где Y.Y.Y.Y белый IP серввера без маски

            exit

             

            Объявляем зоны безопасности

            security zone untrusted

            exit

            security zone trusted

            exit

             

            Создаем бридж (нужно, если планируем использовать одну серую сеть на нескольких портах)

            bridge 1

              vlan 2  (опционально)

              security-zone trusted

              ip address Y.Y.Y.Y/24

              enable

            exit

             

            interface gigabitethernet 1/0/1

              description "UPLINLK"

              security-zone untrusted

              ip address X.X.X.X/n   -где n – размер маски подсети белой подсети

            exit

            interface gigabitethernet 1/0/2

              mode switchport

              security-zone trusted

              switchport access vlan 2 (опционально, если этот vlan был объявлен в bridge 1)

            exit

             

            Настроим firewall для прохождения трафика к серверу по порту 8080

            security zone-pair untrusted trusted

              rule 1

                action permit

                match protocol tcp

                match destination-address SERVER

                match destination-port HTTP

                enable

              exit

            exit

             

            Создадим правило, разрешающее любой исходящий трафик из локальной сети в сторону интернета

            security zone-pair trusted untrusted

              rule 1

                action permit

                match protocol any

                match source-address any

                match destination-address any

                enable

              exit

            exit

             

            Создадим правило, позволяющее прохождение локального трафика без ограничений.

            security zone-pair trusted trusted

              rule 1

                action permit

                match protocol any

                match source-address any

                match destination-address any

                enable

              exit

            exit

            • Если в будущем планируются какие любо ограничения локального трафика, рекомендуется задать номер правила побольше, например 10, чтобы правила, создаваемые в будущем, можно было легко поставить приоритетом выше или ниже только что созданного правила.

             

            Создадим пул адресов, на который будет транслироваться трафик

            nat destination

              pool SERVER

                ip address Y.Y.Y.Y

              exit

             

              *Если необходимо обращаться на белый IP по одному порту (например 8080), но в локальной сети попадать на сервер на другой порт (например 80), в пуле нужно указать номер порта назначения.
            Если требуется пробросить порт симметрично, то писать «ip port 80» нужно

              pool SERVER

                ip address Y.Y.Y.Y

                ip port 80

              exit

             

              Создадим правило проброса портов

            *Для проброса tcp и udp портов с одинаковым значением придется создать два отдельных правила для tcp и udp соответственно.

              ruleset DNAT

                from zone untrusted

                rule 1

                  match protocol tcp

                  match destination-address UPLINK

                  match destination-port HTTP

                  action destination-nat pool SERVER

                  enable

                exit

             

            Настроим исходящий NAT       

            nat source

              ruleset factory

                to zone untrusted

                rule 1

                  action source-nat interface

                  enable

                exit

              exit

            exit

             

            Ваш браузер сильно устарел.
            Обновите его до последней версии или используйте другой более современный.
            0
            Ваш заказ
            Наименование Цена Количество Итого
            Сумма заказа:
            0 руб