ESR-200 Сервисный маршрутизатор

esr# copy fs://default-config fs://candidate-config

Процесс сброса на заводскую конфигурацию аналогичен.

esr# copy fs://factory-config fs://candidate-config

Изменения конфигурации вступают в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Задача: Настроить SNMPv3 сервер с аутентификацией и шифрованием данных для пользователя admin. IP-адрес маршрутизатора esr - 192.168.52.41, ip-адрес сервера - 192.168.52.8.

Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

• указать зону для интерфейса gi1/0/1;
• настроить IP-адрес для интерфейсов gi1/0/1.

Основной этап конфигурирования:

Включаем SNMP-сервер:

esr(config)# snmp-server

Создаем пользователя SNMPv3:

esr(config)# snmp-server user admin

Определим режим безопасности:

esr(snmp-user)# authentication access priv

Определим алгоритм аутентификации для SNMPv3-запросов:

esr(snmp-user)# authentication algorithm md5

Устанавим пароль для аутентификации SNMPv3-запросов:

esr(snmp-user)# authentication key ascii-text 123456789

Определим алгоритм шифрования передаваемых данных:

esr(snmp-user)# privacy algorithm aes128

Устанавим пароль для шифрования передаваемых данных:

esr(snmp-user)# privacy key ascii-text 123456789

Активируем SNMPv3-пользователя :

esr(snmp-user)# enable

Определяем сервер-приемник Trap-PDU сообщений:

esr(config)# snmp-server host 192.168.52.41

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Задача: Настроить маршрут к серверу (108.16.0.1/28) с возможностью балансировки нагрузки.

Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

• настроить зоны для интерфейсов te1/0/1 и te1/0/2;
• указать IP-адреса для интерфейсов te1/0/1 и te1/0/2.

Основной этап конфигурирования:

Настроим маршрутизацию:

еsr(config)# ip route 108.16.0.0/28 wan load-balance rule 1

Создадим правило WAN:

еsr(config)# wan load-balance rule 1

Укажем участвующие интерфейсы:

еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/2
еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/1

Включим созданное правило балансировки и выйдем из режима конфигурирования правила:

еsr(config-wan-rule)# enable
еsr(config-wan-rule)# exit

Создадим список для проверки целостности соединения:

еsr(config)# wan load-balance target-list google

Создадим цель проверки целостности:

esr(config-target-list)# target 1

Зададим адрес для проверки, включим проверку указанного адреса и выйдем:

еsr(config-wan-target)# ip address 8.8.8.8
еsr(config-wan-target)# enable
еsr(config-wan-target)# exit

Настроим интерфейсы. В режиме конфигурирования интерфейса te1/0/1 указываем nexthop:

еsr(config)# interface tengigabitethernet 1/0/1
еsr(config-if)# wan load-balance nexthop 203.0.0.1

В режиме конфигурирования интерфейса te1/0/1 указываем список целей для проверки соединения:

еsr(config-if)# wan load-balance target-list google

В режиме конфигурирования интерфейса te1/0/1 включаем WAN-режим и выходим:

еsr(config-if)# wan load-balance enable
еsr(config-if)# exit

В режиме конфигурирования интерфейса te1/0/2 указываем nexthop:

еsr(config)# interface tengigabitethernet 1/0/2
еsr(config-if)# wan load-balance nexthop 65.6.0.1

В режиме конфигурирования интерфейса te1/0/2 указываем список целей для проверки соединения:

еsr(config-if)# wan load-balance target-list google

В режиме конфигурирования интерфейса te1/0/2 включаем WAN-режим и выходим:

еsr(config-if)# wan load-balance enable
еsr(config-if)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Для переключения в режим резервирования настроим следующее:

Заходим в режим настройки правила WAN:

еsr(config)# wan load-balance rule 1

Функция MultiWAN также может работать в режиме резервирования, в котором трафик будет направляться в активный интерфейс c наибольшим весом. Включить данный режим можно следующей командой:

еsr(config-wan-rule)# failover

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

DNAT используется для перенаправления трафика, идущего на некоторый «виртуальный» адрес в публичной сети, на «реальный» сервер в локальной сети, находящийся за сетевым шлюзом. Эту функцию можно использовать для организации публичного доступа к серверам, находящимся в частной сети и не имеющим публичного сетевого адреса.

Задача: Организовать доступ из публичной сети, относящейся к зоне «UNTRUST», к серверу локальной сети в зоне «TRUST». Адрес сервера в локальной сети - 10.1.1.100. Сервер должен быть доступным извне по адресу 1.2.3.4, доступный порт 80.

Решение:

Создадим зоны безопасности «UNTRUST» и «TRUST». Установим принадлежность используемых сетевых интерфейсов к зонам. Одновременно назначим IP-адреса интерфейсам.

esr# configure
esr(config)# security zone UNTRUST
esr(config-zone)# exit
esr(config)# security zone TRUST
esr(config-zone)# exit
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# security-zone TRUST
esr(config-if-gi)# ip address 10.1.1.1/25
esr(config-if-gi)# exit
esr(config)# interface tengigabitethernet 1/0/1
esr(config-if-te)# ip address 1.2.3.4/29
esr(config-if-te)# security-zone UNTRUST
esr(config-if-te)# exit

Создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.

• NET_UPLINK – профиль адресов публичной сети;
• SERVER_IP – профиль адресов локальной сети;
• SRV_HTTP – профиль портов.

esr(config)# object-group network NET_UPLINK
esr(config-object-group-network)# ip address 1.2.3.4
esr(config-object-group-network)# exit
esr(config)# object-group service SRV_HTTP
esr(config-object-group-network)# port 80
esr(config-object-group-network)# exit
esr(config)# object-group network SERVER_IP
esr(config-object-group-network)# ip address 10.1.1.100
esr(config-object-group-network)# exit

Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 1.2.3.4 из внешней сети.

esr(config)# nat destination
esr(config-dnat)# pool SERVER_POOL
esr(config-dnat-pool)# ip address 10.1.1.100
esr(config-dnat-pool)# ip port 80
esr(config-dnat-pool)# exit

Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «UNTRUST». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».

esr(config-dnat)# ruleset DNAT
esr(config-dnat-ruleset)# from zone UNTRUST
esr(config-dnat-ruleset)# rule 1
esr(config-dnat-rule)# match destination-address NET_UPLINK
esr(config-dnat-rule)# match protocol tcp
esr(config-dnat-rule)# match destination-port SERV_HTTP
esr(config-dnat-rule)# action destination-nat pool SERVER_POOL
esr(config-dnat-rule)# enable
esr(config-dnat-rule)# exit
esr(config-dnat-ruleset)# exit
esr(config-dnat)# exit

Для пропуска трафика, идущего из зоны «UNTRUST» в «TRUST», создадим соответствующую пару зон. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP», и прошедший преобразование DNAT.

esr(config)# security zone-pair UNTRUST TRUST
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address SERVER_IP
esr(config-zone-rule)# match protocol any
esr(config-zone-rule)# match destination-nat
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
esr(config)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Произведенные настройки можно посмотреть с помощью команд:

esr# show ip nat destination pools
esr# show ip nat destination rulesets
esr# show ip nat proxy-arp
esr# show ip nat translations

Сброс конфигурации до заводских настроек

esr-Х# copy system:factory-config system:candidate-config 

Copy factory configuration to candidate configuration...
Read factory configuration...

 

Применение конфигурации

esr-Х# commit 
Nothing to commit in configuration
2017-01-16T08:57:27+00:00 %CLI-I-CRIT: user admin from console input: commit
esr-Х# confirm 
Nothing to confirm in configuration. You must commit some changes first.
2017-01-16T08:57:30+00:00 %CLI-I-CRIT: user admin from console input: confirm


Если нет удаленного доступа, то нужно нажать функциональную кнопку F на передней панели более, чем на 10 секунд. При отпускании кнопки маршрутизатор перезагрузится с заводскими настройками.

Рисунок 1 – Схема сети

Задача: К маршрутизатору серии ESR подключены 2 сети, которые необходимо изолировать от остальных сетей.

Решение:

Создадим VRF:

esr(config)# ip vrf bit
esr(config-vrf)# exit

Создадим зону безопасности:

esr(config)# security zone vrf-sec
esr(config-zone)# ip vrf forwarding bit
esr(config-zone)# exit

Создадим правило для пары зон и разрешим любой TCP/UDP-трафик:

esr(config)# security zone-pair vrf-sec vrf-sec
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address any
esr(config-zone-rule)# match protocol udp
esr(config-zone-rule)# match source-port any
esr(config-zone-rule)# match destination-port any
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# rule 2
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address any
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-port any
esr(config-zone-rule)# match destination-port any
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit

Создадим привязку интерфейсов, назначим IP-адреса, укажем принадлежность к зоне:

esr(config)# interface gigabitethernet 1/0/7
esr(config-if-gi)# ip vrf forwarding bit
esr(config-if-gi)# ip address 10.20.0.1/24
esr(config-if-gi)# security-zone vrf-sec
esr(config-if-gi)# exit
esr(config)# interface gigabitethernet 1/0/14.10
esr(config-subif)# ip vrf forwarding bit
esr(config-subif)# ip address 10.30.0.1/16
esr(config-subif)# security-zone vrf-sec
esr(config-subif)# exit
esr(config)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Информацию об интерфейсах, привязанных к VRF, можно посмотреть командой:

esr# show ip vrf

Таблицу маршрутов VRF можно просмотреть с помощью команды:

esr# show ip route vrf bit

Netflow позволяет передавать данные о трафике (адрес отправителя и получателя, порт, количество информации и др.) с сетевого оборудования (сенсора) на коллектор. В качестве коллектора может использоваться обычный сервер.

Задача: Организовать учет трафика с интерфейса gi1/0/1 для передачи на сервер через интерфейс gi1/0/8 для обработки.

Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

• На интерфейсах gi1/0/1, gi1/0/8 отключить firewall командой «ip firewall disable». (С версии ПО 1.1.0 необязательно отключать firewall)
• Назначить IP-адреса на портах.

Основной этап конфигурирования:

Укажем IP-адрес коллектора:

esr(config)# netflow collector 10.10.0.2

Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1/0/1:

esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip netflow export

Активируем netflow на маршрутизаторе.:

еsr(config)# netflow enable

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Для просмотра статистики Netflow используется команда:

esr# show netflow statistics

Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.

Задача: Настроить следующие ограничения на интерфейсе gigabitethernet 1/0/8: передавать трафик с DSCP 22 в восьмую приоритетную очередь, трафик с DSCP 14 в седьмую взвешенную очередь, установить ограничение по скорости в 60 Мбит/с для седьмой очереди.

Рисунок 1 – Схема сети

Решение:

Для того чтобы восьмая очередь стала приоритетной, а с первой по седьмую взвешенной, ограничим количество приоритетных очередей до 1:

esr(config)# priority-queue out num-of-queues 1

Перенаправим трафик с DSCP 22 в восьмую приоритетную очередь:

esr(config)# qos map dscp-queue 22 to 8

Перенаправим трафик с DSCP 14 в седьмую взвешенную очередь:

esr(config)# qos map dscp-queue 14 to 7

Включим QoS на входящем интерфейсе со стороны LAN:

esr(config)# interface gigabitethernet 1/0/5
esr(config-if-gi)# qos enable
esr(config-if-gi)# exit

Включим QoS на интерфейсе со стороны WAN:

esr(config)# interface gigabitethernet 1/0/8
esr(config-if-gi)# qos enable

Установим ограничение по скорости в 60Мбит/с для седьмой очереди:

esr(config-if)# traffic-shape queue 7 60000
esr(config-if)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Просмотреть статистику по QoS можно командой (только для ESR-100/ESR-200):

esr# show qos statistics gigabitethernet 1/0/8

Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.

Задача: Классифицировать приходящий трафик по подсетям (10.0.11.0/24, 10.0.12.0/24), произвести маркировку по DSCP (38 и 42) и произвести разграничение по подсетям (40 Мбит/с и 60 Мбит/с), ограничить общую полосу до 250 Мбит/с, остальной трафик обрабатывать через механизм SFQ.

Рисунок 1 – Схема сети

Решение:

Настроим списки доступа для фильтрации по подсетям, выходим в глобальный режим конфигурации:

esr(config)# ip access-list extended fl1
esr(config-acl)# rule 1
esr(config-acl-rule)# action permit
esr(config-acl-rule)# match protocol any
esr(config-acl-rule)# match source-address 10.0.11.0 255.255.255.0
esr(config-acl-rule)# match destination-address any
esr(config-acl-rule)# enable
esr(config-acl-rule)# exit
esr(config-acl)# exit
esr(config)# ip access-list extended fl2
esr(config-acl)# rule 1
esr(config-acl-rule)# action permit
esr(config-acl-rule)# match protocol any
esr(config-acl-rule)# match source-address 10.0.12.0 255.255.255.0
esr(config-acl-rule)# match destination-address any
esr(config-acl-rule)# enable
esr(config-acl-rule)# exit
esr(config-acl)# exit

Создаем классы fl1 и fl2, указываем соответствующие списки доступа, настраиваем маркировку:

esr(config)# class-map fl1
esr(config-class-map)# set dscp 38
esr(config-class-map)# match access-group fl1
esr(config-class-map)# exit
esr(config)# class-map fl2
esr(config-class-map)# set dscp 42
esr(config-class-map)# match access-group fl2
esr(config-class-map)# exit

Создаём политику и определяем ограничение общей полосы пропускания:

esr(config)# policy-map fl
esr(config-policy-map)# shape average 250000

Осуществляем привязку класса к политике, настраиваем ограничение полосы пропускания и выходим:

esr(config-policy-map)# class fl1
esr(config-class-policy-map)# shape average 40000
esr(config-class-policy-map)# exit
esr(config-policy-map)# class fl2
esr(config-class-policy-map)# shape average 60000
esr(config-class-policy-map)# exit

Для другого трафика настраиваем класс с режимом SFQ:

esr(config-policy-map)# class class-default
esr(config-class-policy-map)# mode sfq
esr(config-class-policy-map)# fair-queue 800
esr(config-class-policy-map)# exit
esr(config-policy-map)# exit

Включаем QoS на интерфейсах, политику на входе интерфейса gi 1/0/19 для классификации и на выходе gi1/0/20 для применения ограничений и режима SFQ для класса по умолчанию:

esr(config)# interface gigabitethernet 1/0/19
esr(config-if-gi)# qos enable
esr(config-if-gi)# service-policy input fl
esr(config-if-gi)# exit
esr(config)# interface gigabitethernet 1/0/20
esr(config-if-gi)# qos enable
esr(config-if-gi)# service-policy output fl
esr(config-if-gi)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Для просмотра статистики используется команда:

esr# do show qos policy statistics gigabitethernet 1/0/20

Задача: Разрешить обмен сообщениями по протоколу ICMP между устройствами ПК1, ПК2 и маршрутизатором ESR.

Рисунок 1 - схема сети.

Решение:

Для каждой сети ESR создадим свою зону безопасности:

esr# configure
esr(config)# security zone LAN
esr(config-zone)# exit
esr(config)# security zone WAN
esr(config-zone)# exit

Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:

esr(config)# interface gi1/0/2
esr(config-if-gi)# ip address 192.168.12.2/24
esr(config-if-gi)# security-zone LAN
esr(config-if-gi)# exit
esr(config)# interface gi1/0/3
esr(config-if-gi)# ip address 192.168.23.2/24
esr(config-if-gi)# security-zone WAN
esr(config-if-gi)# exit

Для настройки правил зон безопасности потребуется создать профиль адресов сети «LAN», включающий адреса, которым разрешен выход в сеть «WAN», и профиль адресов сети «WAN».

esr(config)# object-group network WAN
esr(config-object-group-network)# ip address-range 192.168.23.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN
esr(config-object-group-network)# ip address-range 192.168.12.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.12.1
esr(config-object-group-network)# exit
esr(config)# object-group network WAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.23.3
esr(config-object-group-network)# exit

Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК1 к ПК2. Действие правил разрешается командой enable:

esr(config)# security zone-pair LAN WAN
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address WAN
esr(config-zone-rule)# match source-address LAN
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Для пропуска трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК2 к ПК1. Действие правил разрешается командой enable:

esr(config)# security zone-pair WAN LAN
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address LAN
esr(config-zone-rule)# match source-address WAN
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Создадим пару зон для трафика, идущего из зоны «WAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК2 и маршрутизатором ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «WAN»:

esr(config)# security zone-pair WAN self
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address WAN
esr(config-zone-rule)# match source-address WAN_GATEWAY
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Создадим пару зон для трафика, идущего из зоны «LAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:

esr(config)# security zone-pair LAN self
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address LAN
esr(config-zone-rule)# match source-address LAN_GATEWAY
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
esr(config)# exit

Изменения конфигурации вступят в действие по следующим командам:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Посмотреть членство портов в зонах можно с помощью команды:

esr# show security zone

Посмотреть пары зон и их конфигурацию можно с помощью команд:

esr# show security zone-pair
esr# show security zone-pair configuration

Посмотреть активные сессии можно с помощью команд:

esr# show ip firewall sessions

Такое объединение позволяет увеличивать пропускную способность и надежность канала.

Задача: Настроить агрегированный канал между маршрутизатором ESR и коммутатором.

Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие настройки:

• На интерфейсах gi1/0/1, gi1/0/2 отключить зону безопасности командой «no security-zone».

Основной этап конфигурирования:

Cоздадим интерфейс port-channel 2:

esr(config)# interface port-channel 2

Включим физические интерфейсы gi1/0/1, gi1/0/2 в созданную группу агрегации каналов:

esr(config)# interface gigabitethernet 1/0/1-2
esr(config-if-gi)# channel-group 2 mode auto

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Дальнейшая конфигурация port-channel проводится как на обычном физическом интерфейсе.

Это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего IP-адреса, который и будет использоваться как шлюз по умолчанию для компьютеров в сети.

Задача 1: Организовать виртуальный шлюз для локальной сети в VLAN 50, используя протокол VRRP. В качестве локального виртуального шлюза используется IP адрес 192.168.1.1.

Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

• создать соответствующий саб-интерфейс;
• настроить зону для саб-интерфейса;
• указать IP-адрес для саб-интерфейса.

Основной этап конфигурирования:

Настроим маршрутизатор R1.

В созданном саб-интерфейсе настроим VRRP. Укажем уникальный идентификатор VRRP:

R1(config)# interface gi 1/0/5.50
R1(config-subif)# vrrp id 10

Укажем IP-адрес виртуального шлюза 192.168.1.1/24:

R1(config-subif)# vrrp ip 192.168.1.1

Включим VRRP:

R1(config-subif)# vrrp
R1(config-subif)# exit

Изменения конфигурации вступят в действие после применения:

R1# commit
Configuration has been successfully committed
R1# confirm
Configuration has been successfully confirmed

Произвести аналогичные настройки на R2.

Задача 2: Организовать виртуальные шлюзы для подсети 192.168.20.0/24 в VLAN 50 и подсети 192.168.1.0/24 в VLAN 60, используя протокол VRRP c функцией синхронизации Мастера. Для этого используем объединение VRRP-процессов в группу. В качестве виртуальных шлюзов используются IP-адреса 192.168.1.1 и 192.168.20.1.

Рисунок 2 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

• создать соответствующие саб-интерфейсы;
• настроить зону для саб-интерфейсов;
• указать IP-адреса для саб-интерфейсов.

Основной этап конфигурирования:

Настроим маршрутизатор R1.

Настроим VRRP для подсети 192.168.1.0/24 в созданном саб-интерфейсе.

Укажем уникальный идентификатор VRRP:

R1(config-sub)# interface gi 1/0/5.50
R1(config-subif)# vrrp id 10

Укажем IP-адрес виртуального шлюза 192.168.1.1:

R1(config-subif)# vrrp ip 192.168.1.1

Укажем идентификатор VRRP-группы:

R1(config-subif)# vrrp group 5

Включим VRRP:

R1(config-subif)# vrrp
R1(config-subif)# exit

Настроим VRRP для подсети 192.168.20.0/24 в созданном саб-интерфейсе.

Укажем уникальный идентификатор VRRP:

R1(config-sub)# interface gi 1/0/6.60
R1(config-subif)# vrrp id 20

Укажем IP-адрес виртуального шлюза 192.168.20.1:

R1(config-subif)# vrrp ip 192.168.20.1

Укажем идентификатор VRRP-группы:

R1(config-subif)# vrrp group 5

Включим VRRP:

R1(config-subif)# vrrp
R1(config-subif)# exit

Изменения конфигурации вступят в действие после применения:

R1# commit
Configuration has been successfully committed
R1# confirm
Configuration has been successfully confirmed

Произвести аналогичные настройки на R2.

Максимальное количество транзитных участков (hop), разрешенное в RIP, равно 15. Каждый RIP-маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд. RIP работает на 3-м уровне стека TCP/IP, используя UDP-порт 520.

Задача: Настроить на маршрутизаторе протокол RIP для обмена маршрутной информацией с соседними маршрутизаторами. Маршрутизатор должен анонсировать статические маршруты и подсети 115.0.0.0/24, 14.0.0.0/24, 10.0.0.0/24. Анонсирование маршрутов должно происходить каждые 25 секунд.

Рисунок 1 - Схема сети.

Решение:

Предварительно нужно настроить IP-адреса на интерфейсах согласно схеме сети, приведенной на рисунке 1.

Перейдём в режим конфигурирования протокола RIP:

esr(config)# router rip

Укажем подсети, которые будут анонсироваться протоколом: 115.0.0.0/24, 14.0.0.0/24 и 10.0.0.0/24:

esr(config-rip)# network 115.0.0.0/24
esr(config-rip)# network 14.0.0.0/24
esr(config-rip)# network 10.0.0.0/24

Для анонсирования протоколом статических маршрутов выполним команду:

esr(config-rip)# redistribute static

Настроим таймер, отвечающий за отправку маршрутной информации:

esr(config-rip)# timers update 25

После установки всех требуемых настроек включаем протокол:

esr(config-rip)# enable

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Для того чтобы просмотреть таблицу маршрутов RIP воспользуемся командой:

esr# show ip rip

Помимо настройки протокола RIP, необходимо в firewall разрешить UDP-порт 520.

Задача: Организовать удаленное зеркалирование трафика по VLAN 50 с интерфейса gi1/0/11 для передачи на сервер для обработки.

Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

• Создать VLAN 50;
• На интерфейсе gi 1/0/5 добавить VLAN 50 в режиме general.

Основной этап конфигурирования:

Укажем VLAN, по которой будет передаваться зеркалированный трафик:

еsr1000(config)# port monitor remote vlan 50

На интерфейсе gi 1/0/5 укажем порт для зеркалирования:

еsr1000(config)# interface gigabitethernet 1/0/5
еsr1000(config-if-gi)# port monitor interface gigabitethernet 1/0/11

Укажем на интерфейсе gi 1/0/5 режим удаленного зеркалирования:

еsr1000(config-if-gi)# port monitor remote

Изменения конфигурации вступят в действие после применения:

esr1000# commit
Configuration has been successfully committed
esr1000# confirm
Configuration has been successfully confirmed

Задача: Настроить доступ к сети Internet для пользователей локальной сети 192.168.1.0/24 и 10.0.0.0/8, используя статическую маршрутизацию. На устройстве R1 создать шлюз для доступа к сети Internet. Трафик внутри локальной сети должен маршрутизироваться внутри зоны LAN, трафик из сети Internet должен относиться к зоне WAN.

Рисунок 1 - схема сети.

Решение:

Зададим имя устройства для маршрутизатора R1:

esr# hostname R1
esr#(config)# do commit
R1#(config)# do confirm

Для интерфейса gi1/0/1 укажем адрес 192.168.1.1/24 и зону «LAN». Через данный интерфейс R1 будет подключен к сети 192.168.1.0/24:

R1(config)# interface gi1/0/1
R1(config-if-gi)# security-zone LAN
R1(config-if-gi)# ip address 192.168.1.1/24
R1(config-if-gi)# exit

Для интерфейса gi1/0/2 укажем адрес 192.168.100.1/30 и зону «LAN». Через данный интерфейс R1 будет подключен к устройству R2 для последующей маршрутизации трафика:

R1(config)# interface gi1/0/2
R1(config-if-gi)# security-zone LAN
R1(config-if-gi)# ip address 192.168.100.1/30
R1(config-if-gi)# exit

Для интерфейса gi1/0/3 укажем адрес 128.107.1.2/30 и зону «WAN». Через данный интерфейс R1 будет подключен к сети Internet:

R1(config)# interface gi1/0/3
R1(config-if-gi)# security-zone WAN
R1(config-if-gi)# ip address 128.107.1.2/30
R1(config-if-gi)# exit

Создадим маршрут для взаимодействия с сетью 10.0.0.0/8, используя в качестве шлюза устройство R2 (192.168.100.2):

R1(config)# ip route 10.0.0.0/8 192.168.100.2

Создадим маршрут для взаимодействия с сетью Internet, используя в качестве nexthop шлюз провайдера (128.107.1.1):

R1(config)# ip route 0.0.0.0/0 128.107.1.1

Изменения конфигурации на маршрутизаторе R1 вступят в действие по следующим командам:

R1# commit
Configuration has been successfully committed
R1# confirm
Configuration has been successfully confirmed

Зададим имя устройства для маршрутизатора R2:

esr# hostname R2
esr#(config)# do commit
R2#(config)# do confirm

Для интерфейса gi1/0/1 укажем адрес 10.0.0.1/8 и зону «LAN». Через данный интерфейс R2 будет подключен к сети 10.0.0.0/8:

R2(config)# interface gi1/0/1
R2(config-if-gi)# security-zone LAN
R2(config-if-gi)# ip address 10.0.0.1/8
R2(config-if-gi)# exit

Для интерфейса gi1/0/2 укажем адрес 192.168.100.2/30 и зону «LAN». Через данный интерфейс R2 будет подключен к устройству R1 для последующей маршрутизации трафика:

R2(config)# interface gi1/0/2
R2(config-if-gi)# security-zone LAN
R2(config-if-gi)# ip address 192.168.100.2/30
R2(config-if-gi)# exit

Создадим маршрут по умолчанию, указав в качестве nexthop IP-адрес интерфейса gi1/0/2 маршрутизатора R1 (192.168.100.1):

R2(config)# ip route 0.0.0.0/0 192.168.100.1

Изменения конфигурации на маршрутизаторе R2 вступят в действие по следующим командам:

R2# commit
Configuration has been successfully committed
R2# confirm
Configuration has been successfully confirmed

Проверить таблицу маршрутов можно командой:

esr# show ip route

Рисунок 1 - Схема сети

Предварительно необходимо сконфигурировать интерфейсы:

esr(config)# interface gigabitethernet 1/0/1

esr(config-if-gi)# ip address 10.0.0.1/24

esr(config)# interface gigabitethernet 1/0/2

esr(config-if-gi)# ip address 192.168.0.1/24

Настройки DHCP-ретранслятора на ESR сводятся к:

1. Включению DHCP relay глобально на устройстве командой

esr(config)# ip dhcp-relay

2. Указанию на интерфейсе со стороны DHCP-клинта IP адреса DHCP-сервера, на который будут перенаправляться клиентские запросы.

esr(config)# interface gigabitethernet 1/0/2

esr(config-if-gi)# ip helper-address 10.0.0.2

Чтобы изменения вступили в силу, необходимо ввести следующие команды:

esr# commit

Configuration has been commited

esr# confirm

 Configuration has been confirmed

Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

Рисунок 1 – Схема сети

Задача: Настроить IPsec-туннель между R1 и R2.

• R1 IP адрес - 120.11.5.1;
• R2 IP адрес - 180.100.0.1;
• IKE:
  группа Диффи-Хэллмана: 2;
  алгоритм шифрования: AES 128 bit;
  алгоритм аутентификации: MD5.
• IPSec:
  алгоритм шифрования: AES 128 bit;
  алгоритм аутентификации: MD5.

Решение:

1. Конфигурирование R1

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

esr# configure
esr(config)# interface gi 1/0/1
esr(config-if-gi)# ip address 120.11.5.1/24
esr(config-if-gi)# security-zone untrusted
esr(config-if-gi)# exit

Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

esr(config)# tunnel vti 1
esr(config-vti)# local address 120.11.5.1
esr(config-vti)# remote address 180.100.0.1
esr(config-vti)# enable
esr(config-vti)# exit

Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

esr(config)# object-group service ISAKMP
esr(config-object-group-service)# port-range 500
esr(config-object-group-service)# exit

Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

esr(config)# ip route 10.0.0.0/16 tunnel vti 1

Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit

Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# exit

Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# mode route-based
esr(config-ike-gw)# bind-interface vti 1
esr(config-ike-gw)# version v2-only
esr(config-ike-gw)# exit

Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit

Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit

Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel immediate
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit

2. Конфигурирование R2

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

esr# configure
esr(config)# interface gi 1/0/1
esr(config-if)# ip address 180.100.0.1/24
esr(config-if)# security-zone untrusted
esr(config-if)# exit

Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

esr(config)# tunnel vti 1
esr(config-vti)# remote address 120.11.5.1
esr(config-vti)# local address 180.100.0.1
esr(config-vti)# enable
esr(config-vti)# exit

Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

esr(config)# object-group service ISAKMP
esr(config-addr-set)# port-range 500
esr(config-addr-set)# exit

Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

esr(config)# ip route 10.0.0.0/16 tunnel vti 1

Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit

Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# exit

Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# mode route-based
esr(config-ike-gw)# bind-interface vti 1
esr(config-ike-gw)# version v2-only
esr(config-ike-gw)# exit

Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec туннеля:

esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit

Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit

Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel immediate
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit

Состояние туннеля можно посмотреть командой:

esr# show security ipsec vpn status ipsec1

Конфигурацию туннеля можно посмотреть командой:

esr# show security ipsec vpn configuration ipsec1

Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты. GRE может использоваться для организации VPN на 3-м уровне модели OSI. В маршрутизаторе ESR реализованы статические неуправляемые GRE-туннели, то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах. Параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером.

Задача: Организовать L3-VPN между офисами компании через IP-сеть, используя для туннелирования трафика протокол GRE.

• в качестве локального шлюза для туннеля используется IP-адрес 115.0.0.1;
• в качестве удаленного шлюза для туннеля используется IP-адрес 114.0.0.10;
• IP-адрес туннеля на локальной стороне 25.0.0.1/24.

Рисунок 1 – Схема сети

Решение:

Создадим туннель GRE 10:

esr(config)# tunnel gre 10

Укажем локальный и удаленный шлюз (IP-адреса интерфейсов, граничащих с WAN):

esr(config-gre)# local address 115.0.0.1
esr(config-gre)# remote address 114.0.0.10

Укажем IP-адрес туннеля 25.0.0.1/24:

esr(config-gre)# ip address 25.0.0.1/24

Также туннель должен принадлежать к зоне безопасности, для того чтобы можно было создать правила, разрешающие прохождение трафика в firewall. Принадлежность туннеля к зоне задается следующей командой:

esr(config-gre)# security-zone untrusted

Включим туннель:

esr(config-gre)# enable
esr(config-gre)# exit

На маршрутизаторе должен быть создан маршрут до локальной сети партнера. В качестве интерфейса назначения указываем ранее созданный туннель GRE:

esr(config)# ip route 172.16.0.0/16 tunnel gre 10

Для применения изменений конфигурации выполним следующие команды:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

После применения настроек трафик будет инкапсулироваться в туннель и отправляться партеру, независимо от наличия GRE-туннеля и правильности настроек с его стороны.

Опционально для GRE-туннеля можно указать следующие параметры:

• Включить вычисление и включение в пакет контрольной суммы заголовка GRE и инкапсулированного пакета для исходящего трафика:

esr(config-gre)# local checksum

• Включить проверку наличия и корректности контрольной суммы GRE для входящего трафика:

esr(config-gre)# remote checksum

• Указать уникальный идентификатор:

esr(config-gre)# key 15808

• Указать значение DSCP, MTU, TTL:

esr(config-gre)# dscp 44
esr(config-gre)# mtu 1426
esr(config-gre)# ttl 18

Состояние туннеля можно посмотреть командой:

esr# show tunnels status gre 10

Счетчики входящих и отправленных пакетов можно посмотреть командой:

esr# show tunnels counters gre 10

Конфигурацию туннеля можно посмотреть командой:

esr# show tunnels configuration gre 10

Настройка туннеля IPv4-over-IPv4 производится аналогичным образом.

Для установки лицензии необходимо файл лицензии загрузить на маршрутизатор с TFTP, FTP или SCP сервера:

esr# copy tftp://А.B.C.D:/NPXXXXXXXX.lic system:licence

esr# copy ftp://admin:password@А.B.C.D:/NPXXXXXXXX.lic system:licence

esr# copy scp://admin:password@A.B.C.D:/NPXXXXXXXX.lic system:licence

Процесс активации лицензии происходит автоматически после перезагрузки оборудования.

esr# reload system

Шаг 1.  Настройка FreeRADIUS - сервера.

Для FreeRADIUS сервера нужно задать подсеть, из которой могут приходить запросы и добавить список пользователей. Для этого в файл users в директории с файлами конфигурации FreeRADIUS сервера нужно добавить:

Профиль пользователя:

<MACADDR> Cleartext-Password := <MACADDR>

# Имя пользователя

User-Name = <USER_NAME>,

# Максимальное время жизни сессии

Session-Timeout = <SECONDS>,

# Максимальное время жизни сесиии при бездействии пользователя

Idle-Timeout = <SECONDS>,

# Время на обновление статистики по сессии

Acct-Interim-Interval = <SECONDS>,

# Имя сервиса для сессии (A - сервис включен, N - сервис выключен)

Cisco-Account-Info = "{A|N}<SERVICE_NAME>"

Профиль сервиса:

<SERVICE_NAME> Cleartext-Password := <MACADDR>

# Соответствует имени class-map в настройках ESR

Cisco-AVPair = "subscriber:traffic-class=<CLASS_MAP>",

# Действие, которое применяет ESR к трафику (permit, deny, redirect)

Cisco-AVPair = "subscriber:filter-default-action=<ACTION>",

# Возможность прохождения IP потоков (enabled-uplink, enabled-downlink, enabled, disabled)

Cisco-AVPair = "subscriber:flow-status=<STATUS>"

В файл clients.conf нужно добавить подсеть, в которой находится ESR:

client ESR {

ipaddr = <SUBNET>

secret = <RADIUS_KEY>

}

Шаг 2.  Настройка ESR - нужно сконфигурировать:

radius-server host <IP_ADDRESS>

key ascii-text <RADIUS_KEY>

exit

aaa radius-profile bras_radius

radius-server host <IP_ADDRESS>

exit

das-server das

key ascii-text <RADIUS_KEY>

exit

aaa das-profile bras_das

das-server das

exit

ip access-list extended user_acl

rule 1

action permit

match protocol any

match source-address any

match destination-address any

enable

exit

exit

subscriber-control

aaa das-profile bras_das

aaa sessions-radius-profile bras_radius

nas-ip-address <IP_ADDRESS>

session mac-authentication

default-service default-action redirect <URL>

exit

enable

exit

На интерфейсах, для которых требуется работа BRAS настроить (для успешного запуска требуется как минимум один интерфейс):

service-subscriber-control {object-group <NAME> | any}

location <L2LOCATION>

!!! Настройка действие фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:

1. Создаем локальный список URL (можно указать свои URL, на которые неавторизованные пользователи смогут проходить без авторизации и без редиректа, например локальные сервисы вашей сети и ваш сайт):

object-group url defaultserv
  url http://eltex.nsk.ru
  url http://ya.ru
  url https://ya.ru
exit

2. Добавим действие фильтрации для локального списка URL в BRAS:

subscriber-control
  default-service
    filter-name local defaultserv
    filter-action permit
end

Теперь неавторизированные пользователи будут иметь доступ к URL defaultserv без редирект, а при попытке пройти на другие сайты для них отработает редирект:

default-service
    default-action redirect http://192.168.16.54:8080/eltex_portal/

Пример настройки:

Дано:

Шаг 1. Настройка FreeRADIUS - сервера:

подсеть с клиентами 10.10.0.0/16, подсеть для работы с FreeRADIUS сервером 192.168.16.140/23. Настраиваем FreeRADIUS сервер. В файл «clients.conf» добавляем строки:

client BRAS {

ipaddr = 192.168.16.140

secret = password 

}

В файл «users» добавляем строки (вместо <MAC> нужно указать MAC адрес клиента):

"00-00-00-33-96-3D" Cleartext-Password := "00-00-00-33-96-3D"
User-Name = "Bras_user",
Session-Timeout = 259200,
Idle-Timeout = 259200,
Cisco-AVPair += "subscriber:policer-rate-in=1000",
Cisco-AVPair += "subscriber:policer-rate-out=1000",
Cisco-AVPair += "subscriber:policer-burst-in=188",
Cisco-AVPair += "subscriber:policer-burst-out=188",
Cisco-Account-Info = "AINTERNET"

INTERNET Cleartext-Password := "INTERNET"
User-Name = "INTERNET",
Cisco-AVPair = "subscriber:traffic-class=INTERNET",
Cisco-AVPair += "subscriber:filter-default-action=permit"

Для traffic-class в настройках сервиса нужно указать access-list из настроек ESR. Он нужен для определения какой трафик пользователя считать за трафик этого сервиса.

Шаг 2. Конфигурация ESR:

configure

object-group url defaultserv
url http://eltex.nsk.ru
url http://ya.ru
url https://ya.ru
exit

radius-server host 192.168.16.54
key ascii-text encrypted 8CB5107EA7005AFF
source-address 192.168.16.140
exit
 aaa radius-profile bras_radius
radius-server host 192.168.16.54
 exit
 aaa radius-profile bras_radius_servers
 radius-server host 192.168.16.54
 exit
das-server das
key ascii-text encrypted 8CB5107EA7005AFF
 exit
 aaa das-profile bras_das
 das-server das
exit

 vlan 10
 exit

 ip access-list extended BYPASS
rule 1
 action permit
match protocol udp
 match source-address any
match destination-address any
 match source-port 68
 match destination-port 67
enable
 exit
 rule 2
 action permit
 match protocol udp
 match source-address any
 match destination-address any
 match source-port any
 match destination-port 53
enable
exit
 rule 3
 exit
 exit

ip access-list extended INTERNET
rule 1
 action permit
match protocol any
match source-address any
match destination-address any
enable
 exit
 exit

ip access-list extended WELCOME
rule 10
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 443
enable
exit
rule 20
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 8443
enable
exit
rule 30
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 80
enable
exit
rule 40
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 8080
enable
exit
exit

 subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
aaa services-radius-profile bras_radius_servers
nas-ip-address 192.168.16.140
session mac-authentication
bypass-traffic-acl BYPASS
default-service
class-map BYPASS
filter-name local defaultserv
filter-action permit
default-action redirect http://192.168.16.54/eltex_portal
session-timeout 121
exit
enable
exit

 bridge 10
vlan 10
ip firewall disable
 ip address 10.10.0.1/16
 ip helper-address 192.168.16.54
service-subscriber-control any
location USER
 protected-ports
 protected-ports exclude vlan
enable
 exit
 interface gigabitethernet 1/0/2
ip firewall disable
ip address 192.168.16.140/23
 exit
 interface gigabitethernet 1/0/3.10
 bridge-group 10
ip firewall disable
 exit
 interface gigabitethernet 1/0/4
ip firewall disable
 ip address 30.30.30.2/24
 exit
 interface tengigabitethernet 1/0/1
ip firewall disable
 exit
 interface tengigabitethernet 1/0/1.10
 bridge-group 10
exit
 interface tengigabitethernet 1/0/1.20
 ip firewall disable
ip address 20.20.20.1/24
 exit
interface tengigabitethernet 1/0/1.30
bridge-group 10
 exit
 interface tengigabitethernet 1/0/1.40
 bridge-group 10
exit

nat source
ruleset factory
to interface gigabitethernet 1/0/2
rule 10
description "replace 'source ip' by outgoing interface ip address"
match protocol any
match source-address any
match destination-address any
action source-nat interface
enable
exit
exit

 ip route 0.0.0.0/0 192.168.16.145

 ip telnet server

Создаем порт

object-group service HTTP

  port-range 8080

exit

Создаем IP адреса аплинка и сервера, до которого планируем пробросить порт

object-group network UPLINK

  ip address-range X.X.X.X   - где X.X.X.X белый IP маршрутизатора без маски

exit

object-group network SERVER

  ip address-range Y.Y.Y.Y где Y.Y.Y.Y белый IP серввера без маски

exit

Объявляем зоны безопасности

security zone untrusted

exit

security zone trusted

exit

Создаем бридж (нужно, если планируем использовать одну серую сеть на нескольких портах)

bridge 1

  vlan 2  (опционально)

  security-zone trusted

  ip address Y.Y.Y.Y/24

  enable

exit

interface gigabitethernet 1/0/1

  description "UPLINLK"

  security-zone untrusted

  ip address X.X.X.X/n   -где n – размер маски подсети белой подсети

exit

interface gigabitethernet 1/0/2

  mode switchport

  security-zone trusted

  switchport access vlan 2 (опционально, если этот vlan был объявлен в bridge 1)

exit

Настроим firewall для прохождения трафика к серверу по порту 8080

security zone-pair untrusted trusted

  rule 1

    action permit

    match protocol tcp

    match destination-address SERVER

    match destination-port HTTP

    enable

  exit

exit

Создадим правило, разрешающее любой исходящий трафик из локальной сети в сторону интернета

security zone-pair trusted untrusted

  rule 1

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

Создадим правило, позволяющее прохождение локального трафика без ограничений.

security zone-pair trusted trusted

  rule 1

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

• Если в будущем планируются какие любо ограничения локального трафика, рекомендуется задать номер правила побольше, например 10, чтобы правила, создаваемые в будущем, можно было легко поставить приоритетом выше или ниже только что созданного правила.

Создадим пул адресов, на который будет транслироваться трафик

nat destination

  pool SERVER

    ip address Y.Y.Y.Y

  exit

  *Если необходимо обращаться на белый IP по одному порту (например 8080), но в локальной сети попадать на сервер на другой порт (например 80), в пуле нужно указать номер порта назначения.
Если требуется пробросить порт симметрично, то писать «ip port 80» нужно

  pool SERVER

    ip address Y.Y.Y.Y

    ip port 80

  exit

  Создадим правило проброса портов

*Для проброса tcp и udp портов с одинаковым значением придется создать два отдельных правила для tcp и udp соответственно.

  ruleset DNAT

    from zone untrusted

    rule 1

      match protocol tcp

      match destination-address UPLINK

      match destination-port HTTP

      action destination-nat pool SERVER

      enable

    exit

Настроим исходящий NAT       

nat source

  ruleset factory

    to zone untrusted

    rule 1

      action source-nat interface

      enable

    exit

  exit

exit

access

Данной командой определяется уровень доступа по протоколу SNMPv3.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

access <TYPE> 

no access

Параметры

<TYPE> – уровень доступа:

• ro – доступ только для чтения;
• rw – доступ для чтения и записи.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-USER

Пример

1.     esr(config-snmp-user)# access rw

authentication access

Данной командой определяется режим безопасности.

Использование отрицательной формы команды (no) отключает аутентификацию.

Синтаксис

authentication access <TYPE>

no authentication access

Параметры

<TYPE> – режим безопасности:

• auth – используется только аутентификация;
• priv – используется аутентификация и шифрование данных.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-USER

Пример

1     esr(config-snmp-user)# authentication algorithm auth

authentication algorithm

Данная команда определяет алгоритм аутентификации SNMPv3-запросов.

Использование отрицательной формы команды (no) отключает аутентификацию.

Синтаксис

authentication algorithm <ALGORITHM>

no authentication algorithm

Параметры

<ALGORITHM> – алгоритм шифрования:

• md5 – пароль шифруется по алгоритму md5;
• sha1 – пароль шифруется по алгоритму sha1.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-USER

Пример

1     esr(config-snmp-user)# authentication algorithm md5

authentication key

Данная команда устанавливает пароль для аутентификации SNMPv3-запросов.

Использование отрицательной формы команды (no) удаляет пароль.

Синтаксис

authentication key ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

no authentication key

Параметры

<CLEAR-TEXT> – пароль, задаётся строкой от 8 до 16 символов;

encrypted – при указании команды задается зашифрованный пароль:

<ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...).

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-USER

Пример

esr(config-snmp-user)# authentication key ascii-text 123456789
esr(config-snmp-user)# authentication key ascii-text encrypted CDE65039E5591FA3F1

client-list

Данной командой активируется фильтрация и устанавливается профиль IP-адресов, с которых могут приниматься SNMPv3 пакеты с данным именем SNMPv3 пользователя.

Использование отрицательной формы команды (no) деактивирует фильтрацию принимаемых SNMPv3-пакетов.

Синтаксис

[no] client-list <NAME>

Параметры

<NAME> – имя ранее сознанной object-group, задается строкой до 31 символа.

Значение по умолчанию

Ограничения отключены.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-USER

Пример

1     esr(config-snmp-user)# client-list OBG005

community

Данной командой определяется SNMP-community для отправки уведомлений на удаленный сервер.

Использование отрицательной формы команды (no) удаляет значение community.

Синтаксис

community <COMMUNITY>

no community

Параметры

<COMMUNITY> – сообщество для доступа по протоколу SNMP, задается строкой длинной [1..128] символа;

Значение по умолчанию

community – не задано.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-HOST

Пример

1     esr(config-snmp-host)# community privatekey

ip address

Данной командой активируется фильтрация и устанавливается IP-адрес, которому предоставлен доступ к маршрутизатору под данным SNMPv3-пользователем.

Использование отрицательной формы команды (no) деактивирует фильтрацию принимаемых SNMPv3–пакетов.

Синтаксис

[no] ip address <ADDR>

Параметры

<ADDR> – IP-адрес клиента, которому предоставлен доступ, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

Значение по умолчанию

Ограничения отключены.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-USER

Пример

1     esr(config-snmp-user)# ip address 192.168.85.33

ipv6 address

Данной командой активируется фильтрация и устанавливается IPv6-адрес, которому предоставлен доступ к маршрутизатору под данным SNMPv3-пользователем.

Использование отрицательной формы команды (no) деактивирует фильтрацию принимаемых SNMPv3–пакетов.

Синтаксис

[no] ipv6 address <IPV6-ADDR>

Параметры

<IPV6-ADDR> – IPv6-адрес клиента, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-USER

Пример

1     esr(config-snmp-user)# ipv6 address AC:05:12:44::24

enable

Данной командой активируется SNMPv3-пользователь.

Использование отрицательной формы команды (no) деактивирует SNMPv3-пользователя.

Синтаксис

[no] enable

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-USER

Пример

1     esr(config-snmp-user)# enable

oid-tree

Данной командой устанавливается OID и действие применяемое к нему (разрешить/запретить). Более длинные OID имеют преимущество.

OID указывается в цифровой нотации.

Использование отрицательной формы команды (no) удаляет запись oid-tree.

Синтаксис

oid-tree <OID> <ACTION>

no oid-tree <OID>

Параметры

<OID> – OID, задаётся строкой до 255 символов;

<ACTION> – действие, применяемое к OID

• excluded – запретить использование OID;
• included – разрешить использование OID.

Значение по умолчанию

Разрешено.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-VIEW

Пример

1     esr(config-snmp-view)# oid-tree 1.3.6.1.2.1.2.2 excluded

port

Данной командой определяется порт коллектора SNMP уведомлений на удаленном сервере.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

port <PORT>

no port

Параметры

<PORT> – номер UDP-порта, указывается в диапазоне [1..65535].

Значение по умолчанию

162

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-HOST

Пример

1     esr(config-snmp-host)# port 5555

privacy algorithm

Данная команда определяет алгоритм шифрования передаваемых данных.

Использование отрицательной формы команды (no) отключает шифрование.

Синтаксис

privacy algorithm <ALGORITHM>

no privacy algorithm

Параметры

<ALGORITHM> – алгоритм шифрования:

• aes128 – использовать алгоритм шифрования AES-128;
• des – использовать алгоритм шифрования DES.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-USER

Пример

1     esr(config-snmp-user)# privacy algorithm des

privacy key

Данная команда устанавливает пароль для шифрования передаваемых данных.

Использование отрицательной формы команды (no) удаляет пароль.

Синтаксис

privacy key ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

no privacy key

Параметры

<CLEAR-TEXT> – пароль, задаётся строкой от 8 до 16 символов;

<ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...).

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-USER

Пример

1     esr(config-snmp-user)# privacy key ascii-text 123456789
2     esr(config-snmp-user)# privacy key ascii-text encrypted CDE65039E5591FA3F1

rmon collection statistics

Данная команда включается сохранение RMON-статистики для физического интерфейса.

Использование отрицательной формы команды (no) отключается сохранение RMON-статистики для физического интерфейса.

Синтаксис

rmon collection statistics <INDEX> owner <OWNER>

no rmon collection statistics

Параметры

<INDEX> – RMON-интекс данного интерфейса;

<OWNER> – текстовое поле длинной [1..127] символов описывающее владельца создавшего данный процесс.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GI

CONFIG-TE

Пример

1     esr(config-if)# rmon collection statistics 17 owner admin

snmp-server

Данной командой включается SNMP-сервер как в глобальной таблице маршрутизации так и во всех созданных VRF.

Использование отрицательной формы команды (no) выключает SNMP-сервер.

Синтаксис

[no] snmp-server

Параметры

Команда не содержит параметров.

Значение по умолчанию

Выключен.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# snmp-server

snmp-server community

Данной командой определяется сообщество для доступа по протоколу SNMP.

Использование отрицательной формы команды (no) удаляет настройки сообщества.

Синтаксис

[no] snmp-server community <COMMUNITY> [ <TYPE> ] [ { <ADDR> | <IPV6-ADDR> } ] [client-list <OBJ-GROUP-NETWORK-NAME> ] [ <VERSION> ] [ view <VIEW-NAME> ] [ vrf <VRF> ]

Параметры

<COMMUNITY> – сообщество для доступа по протоколу SNMP, задается строкой длинной [1..128] символа;

<TYPE> – уровень доступа:

• ro – доступ только для чтения;
• rw – доступ для чтения и записи.

<ADDR> – IP-адрес клиента, которому предоставлен доступ, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

<IPV6-ADDR> – IPv6-адрес клиента, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, от которых обрабатываются snmp-запросы, задаётся строкой до 31 символа.

<VERSION> – версия snmp, поддерживаемая данным community, принимает значения v1 или v2c.

<VIEW-NAME> – имя SNMP view профиля, на основании которого обеспечивается доступ к OID.

<VRF> – имя экземпляра VRF, из которого будет разрешен доступ, задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server community public rw

snmp-server contact

Данной командой устанавливается значение переменной SNMP, содержащей контактную информацию (по умолчанию не определена). Для удобства в параметрах можно указать ответственного за данное оборудование, например, его фамилию.

Использование отрицательной формы команды (no) удаляет значение переменной SNMP, содержащей контактную информацию.

Синтаксис

[no] snmp-server contact <CONTACT>

Параметры

<CONTACT> – контактная информация, задаётся строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server contact ivanov_ivan

snmp-server dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов SNMP-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

snmp-server dscp <DSCP>

no snmp-server dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

61

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server dscp 40

snmp-server enable traps

Данная команда разрешает отправку всех типов SNMP-уведомлений.

Использование отрицательной формы команды (no) отменяет разрешение отправки всех типов SNMP-уведомлений.

Синтаксис

[no] snmp-server enable traps

Параметры

Отсутствуют.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server enable traps

snmp-server enable traps config

Данная команда разрешает отправку SNMP-уведомлений об операциях с конфигурацией.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps config [ <ACT> ]

Параметры

<ACT> – трапы фактов изменения конфигурации:

• commit – применение изменения конфигурации;
• confirm – подтверждение изменения конфигурации.

Без указания ключа <ACT> – активируется отправка всех трапов данной группы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server enable traps config commit

snmp-server enable traps entity

Данная команда разрешает отправку SNMP-уведомлений об операциях с running-config.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps entity [ <ENT> ]

Параметры

<ENT> – типы фильтров параметров окружения:

• config-change – информация о операциях с running-config.

Без указания ключа <ENT> – активируется отправка всех трапов данной группы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server enable traps entity

snmp-server enable traps entity-sensor

Данная команда разрешает отправку SNMP-уведомлений об изменении параметров окружения.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps entity-sensor [ <ENT> ]

Параметры

<ENT> – типы фильтров параметров окружения:

• threshold – информация о срабатывании пересечения пороговых значений.

Без указания ключа <ENT> – активируется отправка всех трапов данной группы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server enable traps entity-sensor

snmp-server enable traps environment

Данная команда разрешает отправку SNMP-уведомлений об изменении параметров окружения.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps environment [ <ENV> ]

Параметры

<ENV> – типы фильтров параметров окружения:

• pwrin – отказ БП;
• pwrin-insert – БП установлен;
• fan – отказ вентилятора;
• fan-speed-changed – изменение скорости вентиляторов;
• fan-speed-high – скорость вращения вентиляторов превысила максимальный порог;
• memory-flash-low – свободный объем NAND меньше заданного порога;
• memory-flash-critical-low – свободный объем NAND меньше заданного критического порога;
• memory-ram-low – свободный объем RAM меньше заданного порога;
• memory-ram-critical-low– свободный объем RAM меньше заданного критического порога;
• cpu-load – высокая нагрузка ЦПУ;
• cpu-overheat-temp – температура CPU превысила заданный максимальный порог;
• cpu-critical-temp – температура CPU превысила заданный критический порог;
• cpu-supercooling-temp – температура CPU упала ниже заданного минимального порога;
• switch-overheat-temp – температура коммутатора превысила заданный максимальный порог;
• switch-supercooling-temp – температура коммутатора упала ниже заданного минимального порога;
• board-overheat-temp – перегрев платы;
• board-supercooling-temp – переохлаждение платы;
• sfp-overheat-temp – перегрев sfp-модуля;
• sfp-supercooling-temp – переохлаждение sfp-модуля.

Без указания ключа <ENV> – активируется отправка всех трапов данной группы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server enable traps enviroment pwrin

snmp-server enable traps envmоn

Данная команда разрешает отправку SNMP-уведомлений об изменении параметров окружения.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps envmon [ <ENV> ]

Параметры

<ENV> – типы фильтров параметров окружения:

• fan – информация о работе блоков вентиляторов;
• shutdown – информация о отключении маршрутизатора;
• supply – информация о работе блоков питания;
• temperature информация о работе температурных датчиков.

Без указания ключа <ENV> – активируется отправка всех трапов данной группы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# snmp-server enable traps envmon fun

snmp-server enable traps files-operations

Данная команда разрешает отправку SNMP-уведомлений об операциях с файлами.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps files-operations [ <ACT> ]

Параметры

<ACT> – типы фильтров параметров операций с файлами:

• successful – успешно;
• failed – неудачно;
• canceled – отменено;

canceled – отменено.

Без указания ключа <ACT> – активируется отправка всех трапов данной группы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server enable traps files-operations canceled

snmp-server enable traps flash

Данная команда разрешает отправку SNMP-уведомлений об операциях с внешними flash-накопителями.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps flash [ <ACT> ]

Параметры

<ACT> – типы фильтров параметров операций с файлами:

• insertion – подключение flash-накопителя;
• removal – удаление flash-накопителя.

Без указания ключа <ACT> – активируется отправка всех трапов данной группы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server enable traps flash removal

snmp-server enable traps interfaces

Данная команда разрешает отправку SNMP-уведомлений о изменении состояния интерфейсов.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps interfaces [ <ACT> ]

Параметры

<ACT> – типы фильтров параметров окружения:

• rx-utilization-high – поток входящих данных превышает порог;
• tx-utilization-high – поток исходящих данный превышает порог;
• number-high – превышение количества IP-интерфейсов;

Без указания ключа <ACT> – активируется отправка всех трапов данной группы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server enable traps interfaces rx-utilization-high

snmp-server enable traps ports

Данная команда разрешает отправку SNMP-уведомлений о появлении ошибок на интерфейсах чипа коммутации.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps ports [ <TYPE> ]

Параметры

<TYPE> – типы фильтров состояние порта:

• port-counters-errors – ошибки на интерфейсах чипа коммутации.

Без указания ключа <TYPE> – активируется отправка всех трапов данной группы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# snmp-server enable traps ports

snmp-server enable traps screens

Данная команда разрешает отправку SNMP-уведомлений о cрабатывании защиты от определенного вида DoS атак.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps screens [ <SCREEN> ]

Параметры

<SCREEN> – типы фильтров защиты от DoS атак:

• dest-limit – ограничение количества одновременных сессий на основании адреса назначения;
• source-limit – ограничение количества одновременных сессий на основании адреса источника;
• icmp-threshold – защита от ICMP flood атак;
• udp-threshold – защита от UDP flood атак;
• syn-flood – защита от SYN flood атак;
• land – защита от land атак;
• winnuke – защита от winnuke атак;
• icmp-frag – блокировка фрагментированных ICMP-пакетов;
• syn-flag – блокировка фрагментированных TCP-пакетов, с флагом SYN;
• unknown-proto – блокировка пакетов, с ID протокола в заголовке IP равном 137 и более;
• ip-frag – блокировка фрагментированных пакетов;
• port-scan – защита от port scan атак;
• ip-sweep – защиту от IP-sweep атак;
• syn-fin – блокировка TCP-пакетов, с установленными флагами SYN и FIN;
• fin-no-ack – блокировка TCP-пакетов с установленным флагом FIN и не установленным флагом ACK;
• no-flag – блокировка TCP-пакетов, с нулевым полем flags;
• spoofing – защита от IP spoofing атак;
• reserved – блокировка всех ICMP-пакетов 2 и 7 типов (reserved);
• quench – блокировка всех ICMP-пакетов 4 типа (source quench);
• echo-request – блокировка всех ICMP пакетов 8 типа (echo-request);
• time-exceeded – блокировка всех ICMP-пакетов 11 типа (time exceeded);
• unreachable – блокировка всех ICMP-пакетов 3 типа (destination-unreachable);
• icmp-large – блокировка ICMP-пакетов большого объема;
• tcp-all-flags – блокировка tcp-пакетов с флагами;
• udp-frag – блокировка udp-пакетов с флагами.

Без указания ключа <LINK> – активируется отправка всех трапов данной группы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# snmp-server enable traps screens reserved

snmp-server enable traps snmp

Данная команда разрешает отправку SNMP-уведомлений об изменении параметров окружения.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps snmp [ <ACT> ]

Параметры

<ACT> – типы фильтров параметров окружения:

• authentication – уведомления о snmp-запросах на маршрутизатор с неверными community или snmpv3-паролем;
• coldstart – уведомления о перезапуске snmp-сервера на маршрутизаторе;
• linkdown – информация о изменении состояния link в down;
• linkup – информация о изменении состояния link в up.

Без указания ключа <ACT> – активируется отправка всех трапов данной группы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server enable traps snmp linkup

snmp-server enable traps syslog

Данная команда разрешает отправку SNMP-уведомлений с syslog-сообщениями.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps syslog

Параметры

Отсутствуют.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server enable traps syslog

snmp-server enable traps wifi

Данная команда разрешает отправку SNMP-уведомлений с сообщениями о работе wifi-контроллера.

Использование отрицательной формы команды (no) отменяет разрешение отправки указанных типов уведомлений.

Синтаксис

[no] snmp-server enable traps wifi [ <NAME> ]

Параметры

<NAME> – типы трапа о туннелях softgre:

• wifi-tunnels-number-in-bridge-high – включение трапов о превышении количества sub-gre-тунелей включенных в bridge
• wifi-tunnels-operation– включение трапов о результате snmp операций с туннелями softgre.

Без указания ключа <NAME> – активируется отправка всех трапов данной группы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# snmp-server enable traps syslog

snmp-server host

Данной командой включается передача SNMP-уведомлений на указанный IP-адрес и осуществляется переход в режим настройки SNMP-уведомлений.

Использование отрицательной формы команды (no) отключает передачу уведомлений на указанный коллектор SNMP-уведомлений.

Синтаксис

[no] snmp-server host { <ADDR> | <IPV6-ADDR> } [vrf <VRF>]

Параметры

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<VRF> – имя экземпляра VRF, в котором находится коллектор SNMP-уведомлений, задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

1     esr(config)# snmp host 192.168.2.2

snmp-server location

Данной командой устанавливается значение переменной SNMP, содержащей информацию о расположении оборудования (по умолчанию не определено). Для удобства в параметрах можно указать город, улицу, район, номер комнаты и т.п.

Использование отрицательной формы команды (no) удаляет значение переменной, содержащей информацию о расположении оборудования.

Синтаксис

[no] snmp-server location <LOCATION>

Параметры

<LOCATION> – информацию о расположении оборудования, задаётся строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server location duglasa_adamsa_42

snmp-server system-shutdown

Данной командой разрешается перезагрузка маршрутизатора при помощи snmp-сообщений.

Использование отрицательной формы команды (no) запрещает перезагрузку маршрутизатора при помощи SNMP-сообщений.

Синтаксис

[no] snmp-server system-shutdown

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server system-shutdown

snmp-server trap link

Данной командой устанавливается режим отправки SNMP-trap.

Использование отрицательной формы команды (no) устанавливает режим по умолчанию.

Синтаксис

snmp-server trap link <MODE>

no snmp-server host

Параметры

<MODE> – режим отправки SNMP-trap. Принимает значения:

• ietf;
• cisco.

Значение по умолчанию

ietf

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

1      esr(config)# snmp-server trap link cisco

snmp-server user

Данной командой создается SNMPv3-пользователь.

Использование отрицательной формы команды (no) удаляет SNMPv3-пользователя.

Синтаксис

[no] snmp-server user <NAME>

Параметры

<NAME> – имя пользователя, задаётся строкой от 1 до 128 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

1     esr(config)# snmp-server user admin
1     esr(config-snmp-user)#

snmp-server view

Данной командой создается профиль snmp view, позволяющий разрешать или запрещать доступ к тем или иным OID для community (SNMPv2) и user (SNMPv3).

Использование отрицательной формы команды (no) удаляет профиль snmp view.

Синтаксис

[no] snmp-server view <VIEW-NAME>

Параметры

<VIEW-NAME> – имя профиля SNMP view, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# snmp-server view user_access
esr(config-snmp-view)#

source-address

Данной командой определяется IP-адрес для отправки уведомлений на удаленный сервер.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

source-address { <ADDR> | <IPV6-ADDR> }

no source-address

Параметры

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Значение по умолчанию

IPv4/IPv6 – адрес интерфейса ближайшего к удаленному SNMP-серверу.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-HOST

Пример

1     esr(config-snmp-host)# source-address 192.168.22.17

source-interface

Данной командой определяется интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться для отправки уведомлений на удаленный сервер.

Использование отрицательной формы команды (no) удаляет указанный интерфейс или туннель.

Синтаксис

source-interface { <IF> | <TUN> }

no source-interface

Параметры

<IF> – имя интерфейса устройства.

<TUN> – имя туннеля устройства.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-HOST

Пример

1     esr(config-snmp-host)# source-interface gigabitethernet 1/0/1

view

Данной командой устанавливается профиль snmp view, позволяющий разрешать или запрещать доступ к тем или иным OID для SNMPv3 user.

Использование отрицательной формы команды (no) удаляет профиль snmp view.

Синтаксис

[no] view <VIEW-NAME>

Параметры

<VIEW-NAME> – имя SNMP view профиля, на основании которого обеспечивается доступ к OID, задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-SNMP-USER

Пример

1     esr(config-snmp-user)# view user_view

Настройка L2TP сервера (приемной стороны)

 Для начала нужно создать объекты стандартных портов для L2TP и IKE.

object-group service L2TP

  port-range 1701

exit

object-group service IKE

  port-range 500

exit

Создать правила в файрволле, разрешающие обращения из внешней сети к маршрутизатору по стандартным портам L2TP и IKE и запретить все остальные

security zone-pair untrusted self

  rule 1

    action permit

    match protocol udp

    match destination-port L2TP

    enable

  exit

  rule 2

    action permit

    match protocol udp

    match destination-port IKE

    enable

  exit

  rule 3

    action deny

    enable

  exit

exit

Настроить аплинк маршрутизатора:

bridge 2

  ip address X.X.X.X/N   , где X.X.X.X/N - статический белый IP и подсеть, полученная от провайдера

  ip tcp adjust-mss 1400   - при создании туннеля, желательно уменьшить mtu на порту

exit

###___Альтернативный способ

interface gigabitethernet 1/0/1

switchport access vlan 1

mode routerport

  security-zone untrusted

  ip address X.X.X.X/N   , где X.X.X.X/N - статический белый IP и подсеть, полученная от провайдера

  ip tcp adjust-mss 1400   - при создании туннеля, желательно уменьшить mtu на порту

exit

###___

Создать IPsec профиль

security ipsec proposal test

exit

Создать IPsec политику

security ipsec policy test

  proposal test

exit

Теперь нужно настроить сервер для подключений L2TP-клиентов

* Remote Access IPsec VPN – сценарий организации временных VPN-подключений, в котором

сервер IPsec VPN находится в режиме ожидания входящих подключений, а клиенты осуществляют

временные подключения к серверу для получения доступа к сетевым ресурсам.

remote-access l2tp L2TP

  mtu 1400

  authentication mode local    <способ работы сервера по локальной базе, т.е. без использования radius-сервера>

  local-address ip-address 10.0.0.1    <серый IP адрес, который будет принадлежать этому ESR>

  remote-address address-range 10.0.0.2-10.0.0.10      <диапазон адресов, которые будут присваиваться маршрутизаторам, на другом конце туннелей>

  outside-address ip-address   X.X.X.X  <IP-адрес, по которому будет доступен маршрутизатор>

  security-zone trusted

  ipsec authentication method pre-shared-key  <метод аутентификации для ipsec, в данном примере по паролю>

  ipsec authentication pre-shared-key ascii-text test    <пароль>

  Не выходя из настроек, создадим локальную базу пользователей

    username test1    <логин для локального пользователя>

    password ascii-text test1    <пароль для одного из туннелей>

    enable

    remote network 192.168.1.0/24    <подсеть, которая будет находиться за туннелем на удаленной стороне>

  exit

enable

exit

*дальше можно создать еще нескольких пользователей по аналогии

  *Все пароли при выгрузке конфигурации будут в зашифрованном виде. Восстановить их в первоначальный крайне затруднительно, но строки конфигурации можно копировать в другие маршрутизаторы ESR и там они будут корректно интерпретироваться.

  * Можно добавлять несколько локальных пользователей аналогичным способом

exit

Настройка L2TP-клиента (удаленной стороны)

Для начала нужно настроить соединение с вышестоящим оборудованием. Если вы включаете

Настроить аплинк маршрутизатора

interface gigabitethernet 1/0/1

  description "UPLINLK"

  security-zone untrusted

  ip address X.X.X.X/N   , где X.X.X.X/N - статический IP и подсеть к вышестоящему устройству

  ip tcp adjust-mss 1400   - при создании туннеля, желательно уменьшить mtu на порту

exit

Настроить клиентскую часть l2tp клиента

tunnel l2tp 1

  security-zone trusted

  mtu 1400

  username test1 password ascii-text test1   - где test1 – это логин и пароль (необязательно одинаковые) для l2tp подключения. Они должны совпадать в теми, которые настраиваете на серверной части

  remote address X.X.X.X    - где <X.X.X.X – IP-адрес сервера, к которому будет происходить подключение

  ipsec authentication method pre-shared-key

  ipsec authentication pre-shared-key ascii-text test   <пароль>   - пароль для IPsec подключения

  enable

exit

###   Если в ходе настройки возникли проблемы проверьте наличие команд enable во всех местах как в примере, разрешен ли порт 1701 в фаерволе и совпадают ли логины/пароли для подключения.

Можно пользоваться мониторингом портов, через которые проходит подключение для анализа проблем при помощи команды:

monitor interface gi1/0/1

esr# monitor gigabitethernet 1/0/1

Для удобства использования организована возможность фильтрации вывода, например:

esr# monitor gigabitethernet 1/0/1 ?
destination-address Filter by destination IP address
detailed Detailed output
packets Count packets
protocol Choose protocol type
source-address Filter by source IP address
<cr>

esr# monitor gigabitethernet 1/0/1 protocol ?
0-255 Filter by IP protocol number
RDP Filter by RDP protocol
ah Filter by AH protocol
arp Filter by ARP protocol
eigrp Filter by EIGRP protocol
esp Filter by ESP protocol
gre Filter by GRE protocol
icmp Filter by ICMP protocol
icmp6 Filter by ICMP6 protocol
igmp Filter by IGMP protocol
igrp Filter by IGRP protocol
ipip Filter by IPIP protocol
l2tp Filter by L2TP protocol
ospf Filter by OSPF protocol
pim Filter by PIM protocol
tcp Filter by TCP protocol
udp Filter by UDP protocol
vrrp Filter by VRRP protocol

Запись дампов трафика в файл в текущих версиях ПО невозможна.

1. Задать пароль и активировать пользователя techsupport на маршрутизаторе

Configure
     username techsupport
          password <Пароль пользователя techsupport>
     exit
     tech-support login enable
     end
commit
confirm

2. Подключиться к маршрутизатору esr по ssh с использованием логина techsupport и ранее заданного пароля.
   
   
3. При помощи команды "ip a" оределить системное наименование интерфейсов, на которых необходимо захватывать пакеты

techsupport@esr:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: dummy0: <BROADCAST,NOARP> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether b6:c0:48:6f:0e:6d brd ff:ff:ff:ff:ff:ff
3: eth0: <BROADCAST,MULTICAST> mtu 1518 qdisc noop state DOWN group default qlen 1000
link/ether a8:f9:4b:ab:62:68 brd ff:ff:ff:ff:ff:ff
4: eth1: <BROADCAST,MULTICAST> mtu 1514 qdisc noop state DOWN group default qlen 1000
link/ether a8:f9:4b:ab:62:68 brd ff:ff:ff:ff:ff:ff
5: eth2: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1514 qdisc pfifo_fast state UP group default q0
link/ether a8:f9:4b:ab:62:68 brd ff:ff:ff:ff:ff:ff
6: eth3: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1514 qdisc pfifo_fast state UP group default q0
link/ether a8:f9:4b:ab:62:68 brd ff:ff:ff:ff:ff:ff
7: gi1_1@eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue switchid 00000000 state LOW0
link/ether a8:f9:4b:ab:62:69 brd ff:ff:ff:ff:ff:ff
inet 192.168.115.8/20 brd 192.168.127.255 scope global gi1_1
valid_lft forever preferred_lft forever
8: gi1_2@eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue switchid 00000000 state LOW0
link/ether a8:f9:4b:ab:62:6a brd ff:ff:ff:ff:ff:ff
9: gi1_3@eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue switchid 00000000 state LOW0
link/ether a8:f9:4b:ab:62:6b brd ff:ff:ff:ff:ff:ff
10: gi1_4@eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue switchid 00000000 state LO0
link/ether a8:f9:4b:ab:62:6c brd ff:ff:ff:ff:ff:ff
11: gi1_5@eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue switchid 00000000 state LO0
link/ether a8:f9:4b:ab:62:6d brd ff:ff:ff:ff:ff:ff
12: gi1_6@eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue switchid 00000000 state LO0
link/ether a8:f9:4b:ab:62:6e brd ff:ff:ff:ff:ff:ff
13: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1
link/ipip 0.0.0.0 brd 0.0.0.0
14: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN group default qlen 1
link/gre 0.0.0.0 brd 0.0.0.0
15: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN group default qlen 1000
link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
16: ip_vti0@NONE: <NOARP> mtu 1364 qdisc noop state DOWN group default qlen 1
link/ipip 0.0.0.0 brd 0.0.0.0
17: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1
link/sit 0.0.0.0 brd 0.0.0.0
18: ip6tnl0@NONE: <NOARP> mtu 1452 qdisc noop state DOWN group default qlen 1
link/tunnel6 :: brd ::
19: ip6gre0@NONE: <NOARP> mtu 1448 qdisc noop state DOWN group default qlen 1
link/gre6 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 brd 00:00:00:00:00:00:00:00:00:00:00:000
20: gi1_2.64@gi1_2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state LOWERLAYERDOWN g0
link/ether a8:f9:4b:ab:62:6a brd ff:ff:ff:ff:ff:ff
inet 172.16.16.1/30 brd 172.16.16.3 scope global gi1_2.64
valid_lft forever preferred_lft forever
21: vlan: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 100
link/ether 5e:2c:79:05:e5:a4 brd ff:ff:ff:ff:ff:ff
22: dvlan: <BROADCAST,NOARP> mtu 1500 qdisc noop master vlan state DOWN group default qlen 1000
link/ether 5e:2c:79:05:e5:a4 brd ff:ff:ff:ff:ff:ff
23: vlan.1@vlan: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state LOWERLAYERDOWN grou0
link/ether 5e:2c:79:05:e5:a4 brd ff:ff:ff:ff:ff:ff
techsupport@esr:~$

• Для физических интерфейсов, системное имя интерфейса выглядит как gi1_<номер интерфейса>
• Для саб-интерфейсов, системное имя интерфейса выглядит как gi1_<номер интерфейса>.<номер vlan в 16-тиричной форме>
• Для bridge-интерфейсов, системное имя интерфейса выглядит как br<номер bridge в CLI>

4. Запустить захват пакетов на необходимых интерфейсах в файл:

techsupport@esr:~$ sudo tcpdump -i <системное имя интерфейса1> <ключи для фильтрации пакетов1> -w /tmp/<имя файла для дампа1> -C 1M &
techsupport@esr:~$ sudo tcpdump -i <системное имя интерфейса2> <ключи для фильтрации пакетов2> -w /tmp/<имя файла для дампа2> -C 1M &

Если/когда система потребует ввода пароля - необходимо ввести пароль пользователя techsupport

Дамп можно записывать как на одном так и на нескольких интерфейсах. Всё зависит от текущей проблемы и необходимости.

Нельзя пренебрегать ключами для фильтрации пакетов т.к. размер файла может оказаться слишком большим и он займет всю память маршрутизатора.

Ключ -C 1M ограничивает размер файла дампа в 1 Мегабайт. Можно использовать другое ограничение или не использовать его вовсе, но следить, чтобы файлы не заняли много места в памяти маршрутизатора

5. Сгенерировать необходимые пакеты или дождаться проявления той или иной проблемы

Это может быть попытка регистрации телефона на SBC или SoftSwitch, совершение телефонного звонка, или пакеты любого другого протокола маршрутизируемые или обрабатываемые маршрутизатором ESR.

6. Остановить захват пакетов в techsupport-ssh-сессии

techsupport@esr:~$ sudo pkill tcpdump

7. Скопировать с маршрутизатора собранные дампы.

     7.ver1. по протоколу scp

Для ли linux можно использовать команды:

scp techsupport@<ip-маршрутизатора>:/tmp/<имя файла> /home/<путь для копирования>

Для windows - можно использовать scp-клиент отдельный или интегрированный в другие приложения.

7. ver2. по протоколу tftp

При наличии в сети tftp-сервера, можно с маршрутизатора загрузить на него полученные дампы при помощи команды:

techsupport@esr:~$ tftp <ip-адрес tftp-сервера> -pl /tmp/<имя файла>

8. Удалить файлы дампов с маршрутизатора

techsupport@esr:~$ sudo rm /tmp/<имя файла для дампа1>
techsupport@esr:~$ sudo rm /tmp/<имя файла для дампа2>

Скопировав в п. 7 файлы можно более удобно обрабатывать на ПК при помощи утилиты wireshark.

ESR# debug
ESR(debug)# debug ipsec network 2
ESR(debug)# debug ipsec encoding 1
ESR(debug)# debug ipsec ike 2
ESR(debug)# debug ipsec ikemanager 2
ESR(debug)# debug ipsec configuration 1

2. Задать пароль и активировать пользователя techsupport на маршрутизаторе

Configure
     username techsupport
          password <Пароль пользователя techsupport>
     exit
     tech-support login enable
     end
commit
confirm

3. Подключиться к маршрутизатору ESR по ssh/console(RS-232) с использованием логина techsupport и ранее заданного пароля.

4. Сбор информации(лога) для анализа.

- лог процесса IPSec:

techsupport@esr:~$ sudo cat /var/log/syslog/techsupport/ipsec

- конфигурационный файл IPSec:

techsupport@esr:~$ sudo cat /etc/ipsec.conf

- статус IPSec:

techsupport@esr:~$ sudo ipsec statusall

5. если собранный лог достаточно велик и копирование с экрана подключения построчно неудобно, то собранный лог cat /var/log/syslog/techsupport/ipsec возможно скопировать следующим образом:
6. a) по протоколу scp

techsupport@esr:~$ sudo cp /var/log/syslog/techsupport/ipsec /tmp/ipsec - копирование файла ipsec из раздела /var в раздел /tmp на маршрутизаторе ESR

копирование на ПК(Linux) файла по протоколу scp:

scp techsupport@<ip-маршрутизатора>:/tmp/<имя файла> /home/<путь для копирования>

Для windows - можно использовать scp-клиент отдельный или интегрированный в другие приложения.

techsupport@esr:~$ sudo rm /tmp/ipsec - удаление файла ipsec на маршрутизаторе ESR

б) через CLI маршрутизатора:

techsupport@esr:~$ sudo cp /var/log/syslog/techsupport/ipsec /mnt/data/data/ipsec_log - копирование файла ipsec из раздела /var в раздел /mnt с именем ipsec_log
techsupport@esr:~$ logout - переход в CLI маршрутизатора

esr# dir flash:data/

Name                                                       Type         Size          
--------------------------------------------------------   ----------   --------   -- 
ipsec_log                                                  File         184.22     KB

далее копирование файла ipsec_log доступными средствами, например usb://usb_name:/FILE или tftp://HOST[%interface(for ipv6 link-local only)][PORT*]:/FILE:

esr# show storage-devices usb
Name                             Filesystem   Total, MB    Used, MB     Free, MB   
------------------------------   ----------   ----------   ----------   ----------
<name>                             vfat         13791.52     1827.40      11964.12   
esr# copy flash:data/ipsec_log usb://<name>:/ipsec_log
|******************************************| 100% (230kB) Success!    
esr# copy flash:data/ipsec_log tftp://<ipaddr>:/ipsec_log
|******************************************| 100% (184kB) Success!

удаление файла:

esr# delete flash:data/
esr# delete flash:data/ipsec_log
|******************************************| 100% (0B) File deleted successfully.

interface gigabitethernet 1/0/20
  ip firewall disable
  ip address 192.0.2.1/24
  ip address 192.0.2.254/24
  ip address 192.0.2.10/30
exit

Все IPv4 адреса, принадлежащие разным подсетям, будут являться primary. В нашем примере это 192.0.2.1 и 192.0.2.10.

Второй и все последующие IPv4 адреса из подсети /24 - это secondary адреса, в примере - 192.0.2.254.

Если на интерфейсе включить VRRP, без указания source ip, например:

interface gigabitethernet 1/0/20
  ip firewall disable
  ip address 192.0.2.1/24
  ip address 192.0.2.254/24
  ip address 192.0.2.10/30
  vrrp id 100
  vrrp ip 192.0.2.2
  vrrp
exit

То в качестве адреса источника vrrp ip будет использоваться первый IPv4 адрес с интерфейса, проверим это, используя команду monitor (будем фильтровать по IP адресу назначения,т.к. для VRRP выделен адрес 224.0.0.18):

esr-1000# monitor gigabitethernet 1/0/20 destination-address 224.0.0.18
17:19:13.591043 00:00:5e:00:01:64 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 54: (tos 0xc0, ttl 255, id 18, offset 0, flags [none], proto VRRP (112), length 40)
192.0.2.1 > 224.0.0.18: vrrp 192.0.2.1 > 224.0.0.18: VRRPv2, Advertisement, vrid 100, prio 100, authtype none, intvl 1s, length 20, addrs: 192.0.2.2
17:19:14.592882 00:00:5e:00:01:64 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 54: (tos 0xc0, ttl 255, id 19, offset 0, flags [none], proto VRRP (112), length 40)
192.0.2.1 > 224.0.0.18: vrrp 192.0.2.1 > 224.0.0.18: VRRPv2, Advertisement, vrid 100, prio 100, authtype none, intvl 1s, length 20, addrs: 192.0.2.2
17:19:15.593250 00:00:5e:00:01:64 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 54: (tos 0xc0, ttl 255, id 20, offset 0, flags [none], proto VRRP (112), length 40)
192.0.2.1 > 224.0.0.18: vrrp 192.0.2.1 > 224.0.0.18: VRRPv2, Advertisement, vrid 100, prio 100, authtype none, intvl 1s, length 20, addrs: 192.0.2.2

3 packets captured
3 packets received by filter
0 packets dropped by kernel

В качестве адреса источника используется первый primary адрес - 192.0.2.1, что справедливо и для всех остальных случаев: например выполнение команды ping, traceroute и т.д.

esr-boot-usb# sh running-config extended

#!/usr/bin/clash
#19
#1.12.0
#05/11/2020
#18:20:08
hostname esr-boot-usb
interface gigabitethernet 1/0/1
  ip address 192.168.0.1/24
exit

Полный вывод конфигурации (включая строки, начинающиеся с символа "#"), необходимо записать в файл с именем "running-config.conf" и скопировать в корень usb-носителя

Раздел с данными usb-носителя должен иметь структуру файловой системы  fat32

Восстановление конфигурации с USB

Подключите USB-носитель к устройству

Включите устройство

Во время загрузки устройства перейдите в меню uboot набором слова "stop" по приглашению:

Autobooting in 5 seconds, enter to command line available now
stop
u-boot>

Очистите конфигурации и продолжите загрузку:

Рабочая конфигурация на устройстве будет безвозвратно утеряна

u-boot> clear_mtd_config
Start clear... Done!
u-boot> run bootcmd

После загрузки устройство начнет работу с конфигурацией записанной на USB-носителе

esr-boot-usb login: admin
Password:
Warning: you have uncommitted configuration changes.
********************************************
*            Welcome to ESR-21             *
********************************************
esr-boot-usb# sh running-config extended
#!/usr/bin/clash
#19
#1.12.0
#05/11/2020
#18:20:08
hostname esr-boot-usb

interface gigabitethernet 1/0/1
  ip address 192.168.0.1/24
exit

1. Текущая конфигурация (running-config).​

В соответствии с данной конфигурацией маршрутизатор функционирует в текущий момент времени.​

running-config всегда сохраняется в энергонезависимую память.​

• Для отображения текущей конфигурации используется команда:​

esr# show running-config​

​2. Конфигурация кандидат (candidate-config).​

В процессе конфигурирования маршрутизатора все вводимые настройки сначала попадают в candidate-config но не попадают в running-config.

candidate-config сохраняется в энергонезависимую память после команды save.​

• Для отображения конфигурации кандидата используется команда:​

esr# show candidate-config​

• Для отображения различий между running-config​ и candidate-config​ можно воспользоваться командой

esr# show configuration changes

Для активации изменений внесенных в candidate-config используется команда commit в привилегированном режиме.

esr# commit

После применения данной команды, содержимое candidate-config копируется в running-config и изменения конфигурации активируются.​

Также, после применения изменений конфигурации (commit) запускается таймер подтверждения изменений (по умолчанию – 600 секунд).

По истечении данного таймера running-config будет возвращен к предыдущему состоянию, т.е. подтвержденные изменения будут удалены из running-config но не будут удалены из candidate-config.​

Для подтверждения примененных изменений используется команда confirm в привеллигированном режиме.

esr# confirm

После применения данной команды таймер подтверждения изменений останавливается и возврат к предыдущему состоянию running-config - невозможен.

Для изменения таймера подтверждения относительно значения по умолчанию используется команда в режиме глобальной конфигурации:

esr(config)# system config-confirm timeout 300

В данном примере, 300 - это время в секундах после которого в отсутствии команды confirm, running-config будет возвращен к предыдущему состоянию.

Неподтвержденные изменения (со ввода команды confirm) можно отменить не дожидаясь истечения таймера подтверждения выполнив команду restore в привилегированном режиме.

esr# restore

Для удаления изменений внесенных в candidate-config но не примененных в running-config используется команда rollback.

esr# rollback

После применения данной команды содержимое running-config копируется в candidate-config и все внесенные но не активные изменения конфигурации удаляются.​

Решение:

Все изменения, внесенные в конфигурацию Firewall,  применимы только для новых сессий. На активные сессии новые параметры не повлияют.

Рекомендуется очистить активные сессии, после применения изменений параметров Firewall, командой:

esr# clear ip firewall session

Например, если была нарушена очередность пакетов  установления TCP сессии: SYN → SYN/ACK → ACK. Первый TCP SYN будет пропущен, т.к. это сигнал к началу открытия TCP сессии.

Если Firewall обнаруживает сразу TCP ACK пакеты - они будут удалены, т.к. ранее не было открыто TCP сессии TCP SYN пакетом.

Разрешающее правило в Firewall, не решит поставленную задачу для подобных схем.

Решить задачу можно, отключив Firewall на входном интерфейсе:

esr(config-if-gi)# ip firewall disable

Либо отключением механизма контроля порядка установления сессий:

esr(config)# ip firewall sessions allow-unknown

Изменения конфигурации вступают в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Режим access

Данный режим поддерживается на сервисных маршрутизаторах следующих моделей ESR-10/12v/12vf/14vf/20/21/100/200/3100

При переводе интерфейса в L2-режим работы данный режим является режимом по умолчанию.

В режиме access L2-интерфейс принимает только ethernet-кадры без VLAN-тега. L2-интерфейс в режиме access отбрасывает любые ethernet-кадры с установленным VLAN-тегом.

По умолчанию, эти кадры обрабатываются на основе таблицы коммутации VLAN'а по умолчанию (vlan 1). Исходящие Ethernet-кадры отправляются через L2-интерфейc в режиме access без VLAN-тега.

При необходимости, на L2-интерфейсе в режиме access можно настроить обработку Ethernet-кадров на основе таблицы коммутации VLAN отличного от VLAN'а по умолчанию.

Режим trunk

Данный режим поддерживается на сервисных маршрутизаторах следующих моделей ESR-10/12v/12vf/14vf/20/21/100/200/3100

После переводе интерфейса в L2-режим работы, для перевода из режима access в режим trunk необходимо применить соответствующую команду:

В режиме trunk, L2-интерфейс может принимать и отправлять как тегированные так и нетегированные ethernet-кадры.

Для приёма  ethernet-кадров с определенными VLAN-тегами используется следующая команда:

После применения вышеуказанной команды L2-интерфейс будет принимать ethernet-кадры с указанными VLAN-тегами и обрабатывать их на основе таблиц коммутации соответствующего VLAN. Отправляться Ethernet-кадры соответствующих VLAN'ов будут с VLAN-тегом.

Нетегированные ethernet-кадры поступающие на L2-интерфейс в режиме trunk настроенный как указано в примере выше, будут обрабатываться на основе таблицы коммутации VLAN'а по умолчанию (vlan 1). Исходящие Ethernet-кадры VLAN'а по умолчанию (vlan 1) будут отправляться через L2-интерфейс в режиме trunk без VLAN-тега.

При необходимости, на L2-интерфейсе в режиме trunk можно настроить обработку нетегированных Ethernet-кадров на основе таблицы коммутации VLAN отличного от VLAN'а по умолчанию.

При необходимости, на L2-интерфейсе в режиме trunk можно запретить приём (а следовательно и отправку) нетегированных ethernet-кадров:

Команда "switchport forbidden default-vlan" актуальна только при отсутствии в конфигурации команды "switchport trunk native-vlan"

Таким образом, L2-интерфейс в режиме trunk может работать как l2-интерфейс в режиме access если настроен только "switchport trunk native-vlan" и не настроена обработка тегированных кадров при помощи команды "switchport trunk allowed vlan"

• принципы импорта маршрутной информации.
• принципы фильтрации импортируемой маршрутной информации.
• принципы экспорта маршрутной информации в IGP и EGP
• принципы фильтрации экспортируемой маршрутной информации в IGP и EGP

RIB (Routing Information Base) маршрутизатора – таблица, содержащая все маршруты, полученные из различных источников: настроены статически, полученные по протоколам динамической маршрутизации (OSPF, BGP, RIP) и directly connected. Из данной таблицы выбираются лучшие маршруты и импортируются в таблицу маршрутизации (FIB – forwarding information base).

RIB ПМ (процесса маршрутизации) – виртуальная RIB, состоящая из маршрутов, принадлежащих данному процессу и маршрутов, импортированных различными механизмами (network, redistribute) из других виртуальных RIB (другого протокола или процесса маршрутизации) и из общей RIB (static route, directly connected).

Протоколы маршрутизации делятся на две большие группы:

• внешние (EGP), в которых маршрутная информация распространяется между автономными системами.
• внутренние (IGP), в которых маршрутная информация распространяется внутри одной автономной системы.

Задача:

• Настроить BGP c AS 2500 на маршрутизаторе ESR и установить соседство с AS20;
• Отфильтровать на R2 из принмаемого маршрута 198.51.100.0/24 сеть, префикс которой соответствует 28
• Отфильтровать на R2 из принмаемого маршрута 203.0.113.0/24 сеть, префикс которой меньше или соответствует 30
• Отфильтровать на R2 из принмаемого маршрута 203.0.100.0/20 сеть, префикс которой больше или соответствует 24
• Задать каждой сети приоритет со значение local-preference 200

!!! Важно: при использовании eBGP для анонса маршрутной информации  необходимо дать разрешающее правило с помощью route-map либо prefix-list, пример:

route-map BGP_OUT
  rule 1
    action permit
  exit
exit
router bgp 1
  address-family ipv4
    neighbor 192.168.1.1
      remote-as 2
      route-map BGP_OUT out
      enable
    exit
    enable
  exit
exit

Решение:

Настроим BGP на ESR:

    esr-200# configure
    esr-200(config)# router bgp 2500
    esr-200(config-bgp)# address-family ipv4
    esr-200(config-bgp-af)# neighbor 185.0.0.2
    esr-200(config-bgp-neighbor)# remote-as 20
    esr-200(config-bgp-neighbor)# update-source 185.0.0.1
    esr-200(config-bgp-neighbor)# enable
    esr-200(config-bgp-neighbor)# exit
    esr-200(config-bgp-af)# enable
    esr-200(config-bgp-af)# exit
    esr-200(config-bgp)# exit

 Далее создадим необходимые правила для фильтрации маршрутов:

    esr-200(config)# route-map in
    esr-200(config-route-map)# rule 10
    esr-200(config-route-map-rule)# match ip address 198.51.100.0/24 eq 28
    esr-200(config-route-map-rule)# action set local-preference 200
    esr-200(config-route-map-rule)# action permit
    esr-200(config-route-map-rule)# exit
    esr-200(config-route-map)#rule 20
    esr-200(config-route-map-rule)# match ip address 203.0.113.0/24 ge 30
    esr-200(config-route-map-rule)# action set local-preference 200
    esr-200(config-route-map-rule)# action permit
    esr-200(config-route-map-rule)# exit
    esr-200(config-route-map)#rule 30
    esr-200(config-route-map-rule)# match ip address 203.0.100.0/20 le 24
    esr-200(config-route-map-rule)# action set local-preference 200
    esr-200(config-route-map-rule)# action permit
    esr-200(config-route-map-rule)# exit
    esr-200(config-route-map-rule)# exit
    esr-200(config-route-map)# exit

Теперь осталось прикрепить route-map к BGP:

    esr-200(config)# router bgp 2500
    esr-200(config-bgp)# address-family ipv4
    esr-200(config-bgp-af)# neighbor 185.0.0.2
    esr-200(config-bgp-neighbor)# route-map in in
    esr-200(config-bgp-neighbor)# end
    esr-200# commit
    esr-200# confirm

Два устройства согласовывают и устанавливают BFD сессию, отправляют друг другу hello-сообщения, Если hello-сообщения перестают поступать от соседа, BFD-сессия разрывается и система оповещается о неполадках в коммуникациях.

BFD может определить неисправность линка менее чем за 1 секунду (для маршрутизаторов Eltex ESR этот параметр можно регулировать в диапазоне от 200 до 65535 миллисекунд).

В реализации ПО начиная с версии 1.4.0 включительно, поддержаны протоколы BGP и OSPF и статических маршрутов.

В разработке находится реализация использования BFD для статических маршрутов.

Настройка механизма BFD сводится к двум шагам:

ШАГ 1. Настройка параметров BFD производится как в глобальном режиме, так и в режимах конфигурирования интерфейсов и туннелей (если параметры различаются по направлениям):

# configure
# configure-if-view
# configure-tunnel-view
[no] ip bfd min-rx-interval <TIME> - Минимальный интервал приёма для обнаружения ошибки
[no] ip bfd min-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки
[no] ip bfd idle-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки, когда сессия неактивна
[no] ip bfd multiplier <MULTIPLIER> - Число пропущенных пакетов, после которого сессия будет объявлена неактивной
[no] ip bfd passive - Не отправлять BFD-пакеты, пока не будет получен пакет от соседнего устройства

MULTIPLIER := 5 .. 100
TIME := время в миллисекундах 200 .. 65535

Если пропустить этот шаг, то будут использоваться параметры по умолчанию:

Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No

ШАГ 2. Активация протокола BFD.

Для протокола BGP производится в режиме конфигурирования BGP соседа:

# bgp-neighbor-view
[no] bfd enable - Включение/Выключение BFD для данного соседа BGP

Обязательно при использовании BFD указываем upadate-source для указания source IP процессу BFD:

# update-source <A.B.C.D>
[no] update-source - указать/убрать адрес источника для BFD процесса

Для протокола OSPF  BFD активировать необходимо в режиме конфигурирования интерфеса, на котором запущен протокол OSPF:

# configure-if-view
[no] ip ospf bfd-enable

Для статических маршрутов активация BFD происходит указанием после указания шлюза:

# configure-view
[no] ip route <A.B.C.D/N> <IP_GATEWAY> bfd

После применения и подверждения конфигурации протокол BFD запустится в работу:

esr #commit

esr #confirm

Текущие значение параметров BFD для глобального режима:

esr# show ip bfd
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No

Текущие значение параметров BFD для конкретного интерфеса и туннеля:

esr# sh ip bfd interface gigabitethernet 1/0/1
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No

esr# sh ip bfd interface gre 1
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No

Решение:

Шаг 1.  Настройка FreeRADIUS - сервера.

Для FreeRADIUS сервера нужно задать подсеть, из которой могут приходить запросы и добавить список пользователей. Для этого в файл users в директории с файлами конфигурации FreeRADIUS сервера нужно добавить:

Профиль пользователя:

<MACADDR> Cleartext-Password := <MACADDR>

# Имя пользователя

User-Name = <USER_NAME>,

# Максимальное время жизни сессии

Session-Timeout = <SECONDS>,

# Максимальное время жизни сесиии при бездействии пользователя

Idle-Timeout = <SECONDS>,

# Время на обновление статистики по сессии

Acct-Interim-Interval = <SECONDS>,

# Имя сервиса для сессии (A - сервис включен, N - сервис выключен)

Cisco-Account-Info = "{A|N}<SERVICE_NAME>"

Профиль сервиса:

<SERVICE_NAME> Cleartext-Password := <MACADDR>

# Соответствует имени class-map в настройках ESR

Cisco-AVPair = "subscriber:traffic-class=<CLASS_MAP>",

# Действие, которое применяет ESR к трафику (permit, deny, redirect)

Cisco-AVPair = "subscriber:filter-default-action=<ACTION>",

# Возможность прохождения IP потоков (enabled-uplink, enabled-downlink, enabled, disabled)

Cisco-AVPair = "subscriber:flow-status=<STATUS>"

В файл clients.conf нужно добавить подсеть, в которой находится ESR:

client ESR {

ipaddr = <SUBNET>

secret = <RADIUS_KEY>

}

Шаг 2.  Настройка ESR - нужно сконфигурировать:

radius-server host <IP_ADDRESS>
key ascii-text <RADIUS_KEY>
exit

aaa radius-profile bras_radius
radius-server host <IP_ADDRESS>
exit

das-server das
key ascii-text <RADIUS_KEY>
exit

aaa das-profile bras_das
das-server das
exit

ip access-list extended user_acl
rule 1
action permit
enable
exit
exit

subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
nas-ip-address <IP_ADDRESS>
session mac-authentication
default-service default-action redirect <URL>
exit
enable
exit

На интерфейсах, для которых требуется работа BRAS настроить (для успешного запуска требуется как минимум один интерфейс):

service-subscriber-control {object-group <NAME> | any}
location <L2LOCATION>

!!! Настройка действие фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:

1. Создаем локальный список URL (можно указать свои URL, на которые неавторизованные пользователи смогут проходить без авторизации и без редиректа, например локальные сервисы вашей сети и ваш сайт):

object-group url defaultserv
  url http://eltex.nsk.ru
  url http://ya.ru
  url https://ya.ru
exit

2. Добавим действие фильтрации для локального списка URL в BRAS:

subscriber-control
  default-service
    filter-name local defaultserv
    filter-action permit
end

Теперь неавторизированные пользователи будут иметь доступ к URL defaultserv без редирект, а при попытке пройти на другие сайты для них отработает редирект:

default-service
    default-action redirect http://192.168.16.54:8080/eltex_portal/

Пример настройки:

Дано:

Шаг 1. Настройка FreeRADIUS - сервера:

подсеть с клиентами 10.10.0.0/16, подсеть для работы с FreeRADIUS сервером 192.168.16.140/23. Настраиваем FreeRADIUS сервер. В файл «clients.conf» добавляем строки:

client BRAS {

ipaddr = 192.168.16.140

secret = password

}

В файл «users» добавляем строки (вместо <MAC> нужно указать MAC адрес клиента):

"00-00-00-33-96-3D" Cleartext-Password := "00-00-00-33-96-3D"
User-Name = "Bras_user",
Session-Timeout = 259200,
Idle-Timeout = 259200,
Cisco-AVPair += "subscriber:policer-rate-in=1000",
Cisco-AVPair += "subscriber:policer-rate-out=1000",
Cisco-AVPair += "subscriber:policer-burst-in=188",
Cisco-AVPair += "subscriber:policer-burst-out=188",
Cisco-Account-Info = "AINTERNET"

INTERNET Cleartext-Password := "INTERNET"
User-Name = "INTERNET",
Cisco-AVPair = "subscriber:traffic-class=INTERNET",
Cisco-AVPair += "subscriber:filter-default-action=permit"

Для traffic-class в настройках сервиса нужно указать access-list из настроек ESR. Он нужен для определения какой трафик пользователя считать за трафик этого сервиса.

Шаг 2. Конфигурация ESR:

configure

object-group url defaultserv
url http://eltex.nsk.ru
url http://ya.ru
url https://ya.ru
exit

radius-server host 192.168.16.54
key ascii-text encrypted 8CB5107EA7005AFF
source-address 192.168.16.140
exit
 aaa radius-profile bras_radius
radius-server host 192.168.16.54
 exit
 aaa radius-profile bras_radius_servers
 radius-server host 192.168.16.54
 exit
das-server das
key ascii-text encrypted 8CB5107EA7005AFF
 exit
 aaa das-profile bras_das
 das-server das
exit

 vlan 10
 exit

 ip access-list extended BYPASS
rule 1
 action permit
match protocol udp
 match source-port 68
 match destination-port 67
enable
 exit
 rule 2
 action permit
 match protocol udp
 match destination-port 53
enable
exit
 rule 3
 exit
 exit

ip access-list extended INTERNET
rule 1
 action permit
enable
 exit
 exit

ip access-list extended WELCOME
rule 10
action permit
match protocol tcp
match destination-port 443
enable
exit
rule 20
action permit
match protocol tcp
match destination-port 8443
enable
exit
rule 30
action permit
match protocol tcp
match destination-port 80
enable
exit
rule 40
action permit
match protocol tcp
match destination-port 8080
enable
exit
exit

 subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
aaa services-radius-profile bras_radius_servers
nas-ip-address 192.168.16.140
session mac-authentication
bypass-traffic-acl BYPASS
default-service
class-map BYPASS
filter-name local defaultserv
filter-action permit
default-action redirect http://192.168.16.54/eltex_portal
session-timeout 121
exit
enable
exit

 bridge 10
vlan 10
ip firewall disable
 ip address 10.10.0.1/16
 ip helper-address 192.168.16.54
service-subscriber-control any
location USER
 protected-ports
 protected-ports exclude vlan
enable
 exit
 interface gigabitethernet 1/0/2
ip firewall disable
ip address 192.168.16.140/23
 exit
 interface gigabitethernet 1/0/3.10
 bridge-group 10
ip firewall disable
 exit
 interface gigabitethernet 1/0/4
ip firewall disable
 ip address 30.30.30.2/24
 exit
 interface tengigabitethernet 1/0/1
ip firewall disable
 exit
 interface tengigabitethernet 1/0/1.10
 bridge-group 10
exit
 interface tengigabitethernet 1/0/1.20
 ip firewall disable
ip address 20.20.20.1/24
 exit
interface tengigabitethernet 1/0/1.30
bridge-group 10
 exit
 interface tengigabitethernet 1/0/1.40
 bridge-group 10
exit

nat source
ruleset factory
to interface gigabitethernet 1/0/2
rule 10
description "replace 'source ip' by outgoing interface ip address"
match source-address any
action source-nat interface
enable
exit
exit

 ip route 0.0.0.0/0 192.168.16.145

 ip telnet server

Destanation NAT

Для начала создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.

• Net_pub – профиль адресов публичной сети;
• Srv_http – профиль портов;
• Server_ip – профиль адресов локальной сети.

    esr-100(config)# object-group network Net_pub
    esr-100(config-object-group-network)# ip address 185.185.11.54
    esr-100(config-object-group-network)# exit
    esr-100(config)# object-group service Srv_http
    esr-100(config-object-group-service)# port-range 80
    esr-100(config-object-group-service)# exit
    esr-100(config)# object-group network Server_ip
   esr-100(config-object-group-network)# ip address 192.168.0.5
    esr-100(config-object-group-network)# exit

Далее приступим к настройке самого NAT. Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 185.185.11.54 из внешней сети.

    esr-100(config)# nat destination
    esr-100(config-dnat)# pool Server_ip
    esr-100(config-dnat-pool)# ip address 192.168.0.5
    esr-100(config-dnat-pool)# ip port 80
    esr-100(config-dnat-pool)# exit

Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «untrusted». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».

    esr-100(config-dnat)# ruleset DNAT
    esr-100(config-dnat-ruleset)# from zone untrusted
    esr-100(config-dnat-ruleset)# rule 1
    esr-100(config-dnat-rule)# match destination-address Net_pub
    esr-100(config-dnat-rule)# match protocol tcp
    esr-100(config-dnat-rule)# match destination-port Srv_http
    esr-100(config-dnat-rule)# action destination-nat pool Server_ip
    esr-100(config-dnat-rule)# enable
    esr-100(config-dnat-rule)# exit
    esr-100(config-dnat-ruleset)# exit
    esr-100(config-dnat)# exit

Для пропуска трафика, идущего из зоны «untrusted» в «trusted», создадим соответствующее правило. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP» и прошедший преобразование DNAT.

    esr-100(config)# security zone-pair untrusted trusted
    esr-100(config-zone-pair)# rule 1
    esr-100(config-zone-pair-rule)# match source-address any
    esr-100(config-zone-pair-rule)# match destination-address Server_ip
    esr-100(config-zone-pair-rule)# match protocol any
    esr-100(config-zone-pair-rule)# match destination-nat
    esr-100(config-zone-pair-rule)# action permit
    esr-100(config-zone-pair-rule)# enable
    esr-100(config-zone-pair-rule)# exit
    esr-100(config-zone-pair)# exit
    esr-100# commit
    esr-100# confirm

Теперь R1 будет перенаправлять обращегия как требуется. Команды для просмотра состояния и настройки NAT:

    esr-100# show ip nat destination pools
    esr-100# show ip nat destination rulesets
    esr-100# show ip nat proxy-arp
    esr-100# show ip nat translations

NAT Hairpinning

На рисунке в начале статьи видно, что в локальной сети R1 имеются свои клиенты(client), которые тоже пользуются web-сервером. Однако когда client введет в браузере доменное имя сервера, DNS перенаправит его на адрес 185.185.11.54. Для этого настроим NAT Hairpinning.

Добавим еще один профиль для внутренней сети.

    esr-100(config)# object-group network LAN
    esr-100(config-object-group-network)# ip prefix 192.168.0.0/24
    esr-100(config-object-group-network)# exit

Добавим еще один ruleset в конфигурацию DNAT.

    esr-100(config)# nat destination
    esr-100(config-dnat)# ruleset loopback
    esr-100(config-dnat-ruleset)# from zone trusted
    esr-100(config-dnat-ruleset)# rule 10
    esr-100(config-dnat-rule)# match protocol tcp
    esr-100(config-dnat-rule)# match destination-address Net_pub
    esr-100(config-dnat-rule)# match destination-port Srv_http
    esr-100(config-dnat-rule)# action destination-nat pool Server_ip
    esr-100(config-dnat-rule)# enable
    esr-100(config-dnat-rule)# exit
    esr-100(config-dnat-ruleset)# exit
    esr-100(config-dnat)# exit

Сконфигурируем Source NAT.

    esr-100(config)# nat source
    esr-100(config-snat)# ruleset loopback
    esr-100(config-snat-ruleset)# to zone trusted
    esr-100(config-snat-ruleset)# rule 10
    esr-100(config-snat-rule)# match source-address LAN
    esr-100(config-snat-rule)# action source-nat interface
    esr-100(config-snat-rule)# enable
    esr-100(config-snat-rule)# exit
    esr-100(config-snat-ruleset)# exit
    esr-100(config-snat)# exit
    esr-100(config)# exit
    esr-100# commit
    esr-100# confirm

Теперь пользователи локальной сети R1 будут попадать на web-сервер по внутреннему адресу.

Основная функция SLA - выполнение тестов, нацеленных на вычисление параметров канала связи:

• односторонние задержки;
• круговые задержки;
• джиттер;
• потери пакетов;
• изменение порядка следования пакетов.

Протокол IP SLA состоит из 2х фаз:

• фазы контроля;
• фазы измерений.

Предполагает наличие 2х ролей:

• sender (инициирует запуск теста с установленными параметрами);
• responder (ожидает входящих соедиений).

Пример конфигурации

Конфигурация ESR-SENDER

interface gigabitethernet 1/0/1
   ip firewall disable
   ip address 12.0.0.1/24
exit

ip route 0.0.0.0/0 12.0.0.2

clock timezone gmt +7
ntp enable
ntp server 192.168.1.1
  minpoll 4
exit

ip sla logging
ip sla logging level error
ip sla
ip sla test 1
  udp-jitter 24.0.0.3 20001 source-ip 12.0.0.1 control enable num-packets 100 interval 20
  frequency 25
  packet-size 64
  dscp 30
  cos 3
  timeout 4000
  thresholds losses high 15
  thresholds losses forward high 5
  thresholds losses reverse high 10
  thresholds jitter forward high 7
  thresholds jitter reverse high 15
  thresholds delay high 150
  thresholds delay forward high 100
  thresholds delay reverse high 50
  enable
exit
ip sla schedule 1 life forever start-time now

Конфигурация ESR-RESPONDER

interface gigabitethernet 1/0/1
  ip firewall disable
  ip address 24.0.0.3/24
  ip sla responder eltex
exit

ip route 0.0.0.0/0 24.0.0.2

clock timezone gmt +7
ntp enable
ntp server 192.168.1.1
  minpoll 4
exit

Просмотр статистики

ESR# show ip sla test statistics 1
Test number: 1
Transmitted packets: 100
Lost packets: 8 (8%)
Lost packets in forward direction: 4 (4%)
Lost packets in reverse direction: 4 (4%)
One-way delay forward min/avg/max: 29/52/72 milliseconds
One-way delay reverse min/avg/max: 29/52/72 milliseconds
One-way jitter forward min/avg/max: 6/11/12 milliseconds
One-way jitter reverse min/avg/max: 6/11/12 milliseconds
Two-way delay min/avg/max: 58/104/145 milliseconds
Two-way jitter min/avg/max: 13/22/25 milliseconds
Duplicate packets: 0
Out of sequence packets in forward direction: 0
Out of sequence packets in reverse direction: 0

Мониторинг

Все сообщения о превышении порог для тестовых потоков либо снижении уровня ниже допустимого занчения журналируются.

1) SYSLOG-сообщения можно перенаправлять на SYSLOG-сервер.

Конфигурация:
syslog host test 192.168.1.1 debug udp 514

Пример сообщений SYSLOG:

YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses high for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse high for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses OK for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse OK for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter forward high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter OK for ip sla 1: 0 < 10
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse OK for ip sla 1: 0 < 15

2) Опрос по SNMP.

Для IP SLA доступны MIB-OID:

ELTEX-ESR-MIB.mib

ELTEX-ESR-IPSLA-MIB.mib

Конфигурация:

snmp-server
snmp-server community "publpubl" rw
snmp-server host 192.168.1.1
exit

Пример снятия статистики по SNMP:

Name/OID: eltEsrIpSlaStatTestTransmittedPackets.1; Value (Gauge): 100
Name/OID: eltEsrIpSlaStatTestLostPackets.1; Value (Gauge): 8
Name/OID: eltEsrIpSlaStatTestLostPacketsForward.1; Value (Gauge): 4
Name/OID: eltEsrIpSlaStatTestLostPacketsReverse.1; Value (Gauge): 4
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMin.1; Value (Gauge): 29
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMax.1; Value (Gauge): 52
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardAvg.1; Value (Gauge): 72
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMin.1; Value (Gauge): 29
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMax.1; Value (Gauge): 52
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseAvg.1; Value (Gauge): 72
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMin.1; Value (Gauge): 6
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMax.1; Value (Gauge): 11
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardAvg.1; Value (Gauge): 12
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMin.1; Value (Gauge): 6
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMax.1; Value (Gauge): 11
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseAvg.1; Value (Gauge): 12
Name/OID: eltEsrIpSlaStatTestTwoWayDelayMin.1; Value (Gauge): 58
Name/OID: eltEsrIpSlaStatTestTwoWayDelayMax.1; Value (Gauge): 104
Name/OID: eltEsrIpSlaStatTestTwoWayDelayAvg.1; Value (Gauge): 145
Name/OID: eltEsrIpSlaStatTestTwoWayJitterMin.1; Value (Gauge): 13
Name/OID: eltEsrIpSlaStatTestTwoWayJitterMax.1; Value (Gauge): 22
Name/OID: eltEsrIpSlaStatTestTwoWayJitterAvg.1; Value (Gauge): 025
Name/OID: eltEsrIpSlaStatTestDuplicatePackets.1; Value (Gauge): 0
Name/OID: eltEsrIpSlaStatTestOutOfSequenceForward.1; Value (Gauge): 0
Name/OID: eltEsrIpSlaStatTestOutOfSequenceReverse.1; Value (Gauge): 0

3) SYSLOG в SNMP-Traps.

Конфигурация

snmp-server host 192.168.1.1
  source-address 12.0.0.1
exit
snmp-server enable traps syslog

Данные:

IP-address интерфейса ESR1 - 180.10.0.1/30
P-address интерфейса ESR2 - 80.66.0.1/30

Локальные подсети:

LAN1: 1.1.1.0/24
LAN2: 2.2.2.0/24

Параметры IKE:

алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5;
группа Диффи-Хэллмана: 2.

Параметры IPSec:

алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5;
группа Диффи-Хэллмана: 2.

Решение:

Конфигурирование ESR1

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

ESR1(config)# interface gigabitethernet 1/0/1
ESR1(config-if-gi)# security-zone untrusted
ESR1(config-if-gi)# ip address 180.10.0.1/30
ESR1(config-if-gi)# exit

Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:

ESR1(config)# tunnel gre 1
ESR1(config-gre)# ttl 16
ESR1(config-gre)# security-zone trusted
ESR1(config-gre)# local address 180.10.0.1
ESR1(config-gre)# remote address 80.66.0.1
ESR1(config-gre)# ip address 10.10.10.1/30
ESR1(config-gre)# enable
ESR1(config-gre)# exit

Создадим статический маршрут для подсети 80.66.0.0/30:

ESR1(config)# ip route 80.66.0.0/30 180.10.0.2

Создадим статический маршрут подсети LAN2 - 2.2.2.0/24 через tunnel gre 1:

ESR1(config)# ip route 2.2.2.0/24 tunnel gre 1

Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

ESR1(config)# security ike proposal ike_prop1
ESR1(config-ike-proposal)# authentication algorithm md5
ESR1(config-ike-proposal)# encryption algorithm aes128
ESR1(config-ike-proposal)# dh-group 2
ESR1(config-ike-proposal)# exit

Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

ESR1(config)# security ike policy ike_pol1
ESR1(config-ike-policy)# pre-shared-key ascii-text password
ESR1(config-ike-policy)# proposal ike_prop1
ESR1(config-ike-policy)# exit

Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

ESR1(config)# security ike gateway ike_gw1
ESR1(config-ike-gw)# ike-policy ike_pol1
ESR1(config-ike-gw)# local address 180.10.0.1
ESR1(config-ike-gw)# local network 180.10.0.1/32 protocol gre
ESR1(config-ike-gw)# remote address 80.66.0.1
ESR1(config-ike-gw)# remote network 80.66.0.1/32 protocol gre
ESR1(config-ike-gw)# mode policy-based
ESR1(config-ike-gw)# exit

Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

ESR1(config)# security ipsec proposal ipsec_prop1
ESR1(config-ipsec-proposal)# authentication algorithm md5
ESR1(config-ipsec-proposal)# encryption algorithm aes128
ESR1(config-ipsec-proposal)# pfs dh-group 2
ESR1(config-ipsec-proposal)# exit

Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

ESR1(config)# security ipsec policy ipsec_pol1
ESR1(config-ipsec-policy)# proposal ipsec_prop1
ESR1(config-ipsec-policy)# exit

Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

ESR1(config)# security ipsec vpn ipsec1
ESR1(config-ipsec-vpn)# mode ike
ESR1(config-ipsec-vpn)# ike establish-tunnel route
ESR1(config-ipsec-vpn)# ike gateway ike_gw1
ESR1(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
ESR1(config-ipsec-vpn)# enable
ESR1(config-ipsec-vpn)# exit

Дополнительно в security zone-pair untrusted self необходимо разрешить протоколы для GRE over IPSec туннеля:

ESR1(config)# security zone-pair untrusted self
ESR1(config-zone-pair)# rule 10
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol gre
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# rule 11
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol esp
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# rule 12
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol ah
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# exit

Конфигурирование ESR2

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

ESR2(config)# interface gigabitethernet 1/0/1
ESR2(config-if-gi)# security-zone untrusted
ESR2(config-if-gi)# ip address 80.66.0.1/30
ESR2(config-if-gi)# exit

Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:

ESR2(config)# tunnel gre 1
ESR2(config-gre)# ttl 16
ESR2(config-gre)# security-zone trusted
ESR2(config-gre)# local address 80.66.0.1
ESR2(config-gre)# remote address 180.10.0.1
ESR2(config-gre)# ip address 10.10.10.2/30
ESR2(config-gre)# enable
ESR2(config-gre)# exit

Создадим статический маршрут для подсети 180.10.0.0/30:

ESR2(config)# ip route 180.10.0.0/30 80.66.0.2

Создадим статический маршрут подсети LAN1 - 1.1.1.0/24 через tunnel gre 1:

ESR2(config)# ip route 1.1.1.0/24 tunnel gre 1

Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

ESR2(config)# security ike proposal ike_prop1
ESR2(config-ike-proposal)# authentication algorithm md5
ESR2(config-ike-proposal)# encryption algorithm aes128
ESR2(config-ike-proposal)# dh-group 2
ESR2(config-ike-proposal)# exit

Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

ESR2(config)# security ike policy ike_pol1
ESR2(config-ike-policy)# pre-shared-key ascii-text password
ESR2(config-ike-policy)# proposal ike_prop1
ESR2(config-ike-policy)# exit

Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

ESR2(config)# security ike gateway ike_gw1
ESR2(config-ike-gw)# ike-policy ike_pol1
ESR2(config-ike-gw)# local address 80.66.0.1
ESR2(config-ike-gw)# local network 80.66.0.1/32 protocol gre
ESR2(config-ike-gw)# remote address 180.10.0.1
ESR2(config-ike-gw)# remote network 180.10.0.1/32 protocol gre
ESR2(config-ike-gw)# mode policy-based
ESR2(config-ike-gw)# exit

Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

ESR2(config)# security ipsec proposal ipsec_prop1
ESR2(config-ipsec-proposal)# authentication algorithm md5
ESR2(config-ipsec-proposal)# encryption algorithm aes128
ESR2(config-ipsec-proposal)# pfs dh-group 2
ESR2(config-ipsec-proposal)# exit

Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

ESR2(config)# security ipsec policy ipsec_pol1
ESR2(config-ipsec-policy)# proposal ipsec_prop1
ESR2(config-ipsec-policy)# exit

Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

ESR2(config)# security ipsec vpn ipsec1
ESR2(config-ipsec-vpn)# mode ike
ESR2(config-ipsec-vpn)# ike establish-tunnel route
ESR2(config-ipsec-vpn)# ike gateway ike_gw1
ESR2(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
ESR2(config-ipsec-vpn)# enable
ESR2(config-ipsec-vpn)# exit

При настройке IPSec на ESR включен способ установления соединения ike establish-tunnel route, при таком режиме IPSec туннель поднимется при наличии транзитного трафика. Loopback интерфейсы необходимы для проверки работоспособности IPSec туннеля (передачи транзитного трафика)  и в конфигурации не обязательны.

ESR:

1) Конфигурация:

esr# show running-config
router ospf log-adjacency-changes
router ospf 1
  router-id 10.110.0.66
  area 0.0.0.1
    enable
  exit
  enable
exit

interface gigabitethernet 1/0/1
  ip firewall disable
  ip address 100.100.0.2/24
exit
interface loopback 1
  ip address 2.2.2.2/32
exit
tunnel gre 1
  mtu 1476
  ip firewall disable
  local address 100.100.0.2
  remote address 10.10.0.13
  ip address 10.110.0.66/30
  ip ospf instance 1
  ip ospf area 0.0.0.1
  ip ospf
  enable
exit

security ike proposal IKEPROP
  encryption algorithm aes128
  dh-group 2
exit

security ike policy IKEPOL
  lifetime seconds 86400
  pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
  proposal IKEPROP
exit

security ike gateway IKEGW
  ike-policy IKEPOL
  local address 100.100.0.2
  local network 100.100.0.2/32 protocol gre
  remote address 10.10.0.13
  remote network 10.10.0.13/32 protocol gre
  mode policy-based
exit

security ipsec proposal IPPROP
  encryption algorithm aes128
exit

security ipsec policy IPPOL
  proposal IPPROP
exit

security ipsec vpn IPSEC
  mode ike
  ike establish-tunnel route
  ike gateway IKEGW
  ike ipsec-policy IPPOL
  enable
exit

ip route 0.0.0.0/0 tunnel gre 1
ip route 10.10.0.0/24 100.100.0.1

2) Информация о состоянии протокола OSPF и IPSec туннеля:

esr#  show ip ospf neighbors
Router ID   Pri State    DTime Interface         Router IP
---------   --- -----    ----- ----------------- ---------
10.110.0.65 1   Full/BDR 00:35 gre 1             10.110.0.65

 esr# show security ipsec vpn status IPSEC
Currently active IKE SA:
Name: IPSEC
State: Established
Version: v1-only
Unique ID: 3
Local host: 100.100.0.2
Remote host: 10.10.0.13
Role: Initiator
Initiator spi: 0x15dc63f5881abbb0
Responder spi: 0xd45e86e5abb121d9
Encryption algorithm: des
Authentication algorithm: sha1
Diffie-Hellman group: 2
Established: 12 minutes and 34 seconds ago
Rekey time: 12 minutes and 34 seconds
Reauthentication time: 23 hours, 32 minutes and 7 seconds
Child IPsec SAs:
Name: IPSEC
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes128
Authentication algorithm: sha1
Rekey time: 32 minutes
Life time: 47 minutes and 26 seconds
Established: 12 minutes and 34 seconds ago
Traffic statistics:
Input bytes: 540
Output bytes: 540
Input packets: 5
Output packets: 5

Cisco:

1) Конфигурация:

crypto isakmp policy 2
encr aes
authentication pre-share
group 2
crypto isakmp key password address 100.100.0.2
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set strong esp-aes esp-sha-hmac
!
crypto map mymap local-address FastEthernet0/0
crypto map mymap 119 ipsec-isakmp
set peer 100.100.0.2
set transform-set strong
match address 119
!
!
interface Loopback1
ip address 1.1.1.1 255.255.255.255
!
!
interface Tunnel2
ip address 10.110.0.65 255.255.255.252
ip ospf 1 area 0.0.0.1
ip ospf network broadcast
tunnel source 10.10.0.13
tunnel destination 100.100.0.2
!
!
interface FastEthernet0/0
ip address 10.10.0.13 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
router ospf 1
router-id 10.110.0.65
log-adjacency-changes
!
ip route 100.100.0.0 255.255.255.0 10.10.0.1
ip route 0.0.0.0 0.0.0.0 Tunnel2
!
access-list 119 permit gre host 10.10.0.13 host 100.100.0.2

2) Информация о состоянии протокола OSPF и IPSec туннеля:

Router#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
10.110.0.66 0 FULL/ - 00:00:32 10.110.0.66 Tunnel2

Router#show crypto ipsec sa
interface: FastEthernet0/0
Crypto map tag: mymap, local addr 10.10.0.13
protected vrf: (none)
local ident (addr/mask/prot/port): (10.10.0.13/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (100.100.0.2/255.255.255.255/47/0)
current_peer 100.100.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.10.0.13, remote crypto endpt.: 100.100.0.2
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0xC9A1F292(3382833810)
PFS (Y/N): Y, DH group: group2
inbound esp sas:
spi: 0x7783E2D2(2005131986)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4480312/3033)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xC9A1F292(3382833810)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: FPGA:2, sibling_flags 80000046, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4480312/3033)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:

Установление защищенного IPsec VPN соединения с аутентификацией по сертификатам можно разделить на следующие шаги:

1. Предварительная настройка интерфейсов и маршрутизации на ELTEX ESR и CISCO iOS.
2. Получение/выпуск корневого сертификата - этот шаг выполняется на центрне сертификатов (Certificate Authority, CA).
3. Выпуск ключевой пары и их импорт на CISCO iOS
4. Конфигурция IPsec на CISCO iOS
5. Выпуск ключевой пары (закрытого и открытого ключа) для ELTEX ESR
6. Импорт корневого сертификата и ключевой пары на ELTEX ESR
7. Конфигурция IPsec на ELTEX ESR

Предварительная настройка интерфейсов и маршрутизации

В предварительной конфигурации маршрутизатора ELTEX ESR разрешим прохождение UDP 500,4500 и ESP трафика в зону self для установления IPsec VPN:

esr# show running-config

object-group service IPsec
port-range 500
port-range 4500
exit

object-group network MAIN
ip address-range 192.0.2.2
exit

security zone untrusted
exit
security zone trusted
exit

interface gigabitethernet 1/0/1
security-zone untrusted
ip address 192.0.2.2/30
exit
interface gigabitethernet 1/0/2
security-zone trusted
ip address 192.168.10.1/24
exit
security zone-pair untrusted self
rule 10
description "IPsec"
action permit
match protocol udp
match destination-address MAIN
match destination-port IPsec
enable
exit
rule 20
description "ESP"
action permit
match protocol esp
match destination-address MAIN
enable
exit
rule 30
description "ICMP"
action permit
match protocol icmp
match destination-address MAIN
enable
exit
exit

security zone-pair trusted untrusted
rule 10
description "PERMIT ALL"
action permit
enable
exit
exit

ip route 0.0.0.0/0 192.0.2.1

В предварительной конфигурации маршрутизатора CISCO iOS настроим сетевые интерфейсы и маршрутизацию:

!
hostname cisco
!
ip domain name cisco.eltex.org
!
interface FastEthernet0/0
ip address 203.0.113.2 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 172.16.10.1 255.255.255.0
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 203.0.113.1
!

ВАЖНО: Необходимо выставить корректную дату на оборудовании, так как сертификаты имеют дату выпуска и выпускаются на определенный срок.

Выставим дату в ручном режиме (так же можно использовать NTP):

esr# set date 12:00:00 14 November 2019

cisco# clock set 12:01:00 14 Nov 2019

Получение/выпуск корневого сертификата - этот шаг выполняется на центрне сертификатов (Certificate Authority, CA)

Для выпуска сертификатов в данном примере используются утилиты openssl.

ВАЖНО: Для использования внутри организации можно использовать self-signed сертификат, но для использования CA вне организации необходимо использовать сертификаты, выданные или подписанные сторонней организацией.

Генерируем секретный ключ:

# openssl genrsa -out ca.key 2048

Создаём self-signed сертификат:

# openssl req -new -x509 -sha1 -days 3650 -key ca.key -out ca.crt

Полученный CA сертификат (ca.crt) и секретный CA ключи (ca.key) будут использоваться для подписи запросов на сертификат VPN клиентов.

Выпуск ключевой пары и их импорт на CISCO iOS

Генерируем закрытый ключ на CISCO iOS:

cisco(config)#crypto key generate rsa general-keys

How many bits in the modulus [512]: 2048

% Generating 1024 bit RSA keys …[OK]

Настроим CA сервер с именем myca:

cisco(config)#crypto ca trustpoint myca
cisco(ca-trustpoint)#enrollment terminal
cisco(ca-trustpoint)#crl optional
cisco(ca-trustpoint)#exit

Копируем содержимое CA сертификата:

# cat ca.crt

-----BEGIN CERTIFICATE-----
MIID7TCCAtWgAwIBAgIJANdwKZKV0XNmMA0GCSqGSIb3DQEBBQUAMIGMMQswCQYD
...
yg==
-----END CERTIFICATE-----

И вставляем содержимое в консоль:
cisco(config)#crypto ca authenticate myca

Enter the base 64 encoded CA certificate.
End with a blank line or the word “quit” on a line by itself

-----BEGIN CERTIFICATE-----
MIID7TCCAtWgAwIBAgIJANdwKZKV0XNmMA0GCSqGSIb3DQEBBQUAMIGMMQswCQYD
...
yg==
-----END CERTIFICATE-----

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

Сформировать запрос на подписание (CSR, certificate signing request):

cisco(config)#crypto ca enroll myca

% Include the router serial number in the subject name? [yes/no]: yes
% The serial number in the certificate will be: 13A594C9
% Include an IP address in the subject name? [no]: no
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:

MIIBkzCB/QIBADAzMTEwDwYDVQQFEwgxM0E1OTRDOTAeBgkqhkiG9w0BCQIWEWNp
...
sdHxeJkU4jMILCs7dPzkzPPDpJID9NU=

Далее необходимо скопировать запрос из теминала и сформировать файл .csr на сервере центра сертификации для его подписания утилитой openssl:

# cat > cisco.csr

-----BEGIN CERTIFICATE REQUEST-----
MIIBkzCB/QIBADAzMTEwDwYDVQQFEwgxM0E1OTRDOTAeBgkqhkiG9w0BCQIWEWNp
...
sdHxeJkU4jMILCs7dPzkzPPDpJID9NU=
-----END CERTIFICATE REQUEST-----

Подписать запрос на сертификат (esr.csr) CA ключом (ca.key), который был выпущен ранее:

# openssl x509 -req -days 3650 -sha1 -in cisco.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out certs/cisco.crt

Копируем содержимое подписанного сертификата:

# cat cisco.crt

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

И вставляем содержимое в консоль CISCO iOS:

cisco(config)#crypto ca import myca certificate

Enter the base 64 encoded certificate.
End with a blank line or the word “quit” on a line by itself

—–BEGIN CERTIFICATE—–
...
—–END CERTIFICATE—–

% Router Certificate successfully imported

Конфигурация IPsec на CISCO iOS

Укажем DN из сертификата в качестве локального идентификатора:

cisco(config)#crypto isakmp identity dn

Настроим ISAKMP политику (фаза 1):

cisco(config)#crypto isakmp policy 10
cisco(config-isakmp)#encryption 3desc
cisco(config-isakmp)#authentication rsa-sig
cisco(config-isakmp)#group 2

Настроим IPsec политику (фаза 2):

cisco(config)#crypto ipsec transform-set TS esp-des esp-sha-hmac
cisco(cfg-crypto-trans)#exit

Настроим трафик селекторы, используя ACL, и крипто карту:

cisco(config)#crypto map CMAP 10 ipsec-isakmp
cisco(config-crypto-map)#set peer 192.0.2.2
cisco(config-crypto-map)#set transform-set TS
cisco(config-crypto-map)#match address cryptoacl
cisco(config-crypto-map)#exit
cisco(config)#ip access-list extended cryptoacl
cisco(config-ext-nacl)#permit ip 172.16.10 0.0.0.255 192.168.10.0 0.0.0.255