ESR-31 Сервисный маршрутизатор Eltex
Видео и фото от пользователей
8 x 10/100/1000BASE-T (LAN/WAN)
6 x 1000BASE-X SFP (LAN/WAN)
2 x 10GBASE-R SFP+/1000BASE-X SFP (LAN/WAN)
3 x Serial (RS-232)
Console RS-232 (RJ-45)
USB 2.0
USB 3.0
Слот для microSD-карт
Порты 1G
Производительность FW/маршрутизации (IMIX), Гбит/с
Алексеев Никита (Москва)
Бринева Анна (Москва)
Бурдюгова Татьяна (Москва)
Бурмистров Игорь (Москва)
Васильева Татьяна (Москва)
Дудоров Дмитрий (Москва)
Жданов Алексей (Москва)
Жигульская Екатерина (Москва)
Каночкин Виталий (Москва)
Клюй Вячеслав (Москва)
Кожемяко Руслан (Москва)
Кузьмин Максим (Москва)
Ларин Алексей (Москва)
Лысенко Алексей (Москва)
Муртазин Камиль (Казань)
Наполов Илья (Москва)
Поддубный Владислав (Москва)
Пчелинская Светлана (Москва)
Рекун Антон (Москва)
Степанов Артем (Москва)
Сутоцких Илья (Москва)
Сытый Александр (Москва)
Фадин Дмитрий (Москва)
Файзрахманов Марат (Москва)
Чердынцев Артём (Москва)
Шатуха Егор (Москва)
Щербаков Максим (Москва)
Доступен к заказу
Артикул:
ESR-31
Скопировать артикул
Скопировано
Firewall/маршрутизация фреймы 1518B Гбит/с:
7.97
Firewall/маршрутизация IMIX Гбит/с:
3.68
IPsec VPN фреймы 1456B Мбит/с:
862
FIB:
1.4M
Питание, ток:
2 смен.БП
ТСОТБ:
Да
Общие параметры ESR-31 Eltex
| ФСТЭК | Нет |
| FXO | Нет |
| FXS | Нет |
| Кол-во портов ESR | 16 |
| Количество портов 1G | 14 |
| Количество портов 10G | 2 |
| Downlink порты RJ-45 | 8 |
| Макс. скорость портов | 10 G |
| Downlink порты SFP | 6 |
| Uplink порты SFP+ | 2 |
| Статус Минпромторг | Да |
| РРПП (ПП 719) | 10818608 |
| Сертификат транспортной безопасности (ТСОТБ) | Да |
Производительность
| Производительность FW/маршрутизации (фреймы 1518B), Гбит/с | 7.97 |
| Производительность FW/маршрутизации (фреймы 1518B), пкт/с | 656K |
| Производительность FW/маршрутизации (IMIX), Гбит/с | 3.68 |
| Производительность FW/маршрутизации (IMIX), пкт/с | 668K |
| Производительность L2-коммутации (фреймы 1518B), Гбит/с | 18.2 |
| Производительность L2-коммутации (фреймы 1518B), пкт/с | 1.49M |
| Производительность IPsec VPN (фреймы 1456B), Мбит/с | 862 |
| Производительность IPsec VPN (фреймы 1456B), пкт/с | 74.0K |
| Производительность IPsec (IMIX), Мбит/с | 500 |
| Производительность IPsec (IMIX), пкт/с | 98.8K |
| Производительность одного IPsec-туннеля (фреймы 1456В), Мбит/с | 461 |
| Производительность одного IPsec-туннеля (фреймы 1456В), пкт/с | 39.6K |
| Производительность одного IPsec-туннеля (IMIX), Мбит/с | 265 |
| Производительность одного IPsec-туннеля (IMIX), пкт/с | 49.8K |
| Производительность коммутации MPLS L2VPN (IMIX), Гбит/с | 2.50 |
| Производительность коммутации MPLS L2VPN (IMIX), пкт/с | 458K |
| Производительность коммутации MPLS L3VPN (IMIX), Гбит/с | 0.983 |
| Производительность коммутации MPLS L3VPN (IMIX), пкт/с | 180K |
| Максимальное количество конкурентных сессий | 3.26M |
| Размер базы FIB | 1.4M |
| Статические маршруты | 11K |
| Количество маршрутов RIP | 10K |
| Количество маршрутов ISIS | 300K |
| Количество маршрутов OSPF | 300K |
| Количество маршрутов BGP | 2.5M |
Функции
| Набор функций соответствует версии ПО | 1.37 |
| BRAS | Да |
| Интерфейсы bridge | 250 |
| Интерфейсы sub | 1024 |
| Интерфейсы QinQ | 1024 |
| PBR. Количество профилей | 50 |
| PBR. Максимальное количество правил во всех профилях | 512 |
| Количество конфигурируемых VPN-туннелей IPIP | 250 |
| Количество конфигурируемых VPN-туннелей GRE | 250 |
| Количество конфигурируемых VPN-туннелей Ethernet over GRE | 250 |
| Количество конфигурируемых VPN-туннелей GRE SUB | 250 |
| Количество конфигурируемых VPN-туннелей SoftGRE | 500 |
| Количество конфигурируемых VPN-туннелей L2TPv3 | 250 |
| Количество конфигурируемых VPN-туннелей LT | 128 |
| Количество конфигурируемых VPN-туннелей IPsec VTI | 256 |
| Количество конфигурируемых IPsec VPN-туннелей | 256 |
| Удалённый доступ L2TP. Туннелей | 10 |
| Удалённый доступ PPTP. Туннелей | 10 |
| Удалённый доступ OpenVPN. Туннелей | 10 |
| Удалённый доступ OpenVPN. Адресов на туннель | 8 |
| Удалённый доступ OpenVPN. Количество одновременных пользователей | 64 |
| DHCP. Количество пулов | 100 |
| DHCP. Размер пула | 10K |
| DHCP. Статических адресов в пуле | 1024 |
| Файрволл. Количество зон безопасности | 128 |
| Файрволл. Количество пар зоны безопасности | 512 |
| Файрволл. Количество правил | 10K |
| IPS. Количество пользовательских серверов обновлений | 32 |
| IPS. Количество категорий | 20 |
| IPS. Количество правил | 500 |
Физические характеристики
| Питание, В | 100-240 В AC, 36-72 В DC |
| Питание, ток | 2 смен.БП |
| Максимальная потребляемая мощность, Вт | 44 |
| Установка в стойку esr | 1U |
Габариты и вес
| Размер коробки ШхВхГ, мм | 550 x 85 x 450 |
| Вес брутто, кг | 4.5 |
- Маршрутизация данных
- Аппаратное ускорение обработки данных
- Многопротокольная коммутация по меткам (MPLS)
- Построение защищенного периметра сети (NAT, Firewall)
- Мониторинг и предотвращение сетевых атак (IPS/IDS)
- Мониторинг качества обслуживания (SLA)
- Фильтрация сетевых данных по различным критериям (включая фильтрацию по приложениям)
- Организация защищенных сетевых туннелей между филиалами компаний
- Удаленное подключение сотрудников к офису
- Управление и распределение ширины Интернет-канала в офисе посредством QoS
- Организация резервного соединения (проводное или посредством 3G/LTE-модема)
- Терминирование клиентов и ограничений по полосе пропускания BRAS (IPoE)
ESR-31 является сервисным маршрутизатором среднего уровня, имеет 8 портов 1G (RJ-45), 6 портов 1G (SFP), 2 порта 10G (SFP+) и консольный порт RS-232 (RJ-45).
Данный маршрутизатор дополнительно обладает 3 интерфейсами Serial (RS-232), они позволяют в режиме AUX обеспечить удалённый консольный доступ к рядом стоящему оборудованию.
Маршрутизатор входит в состав серии ESR, ключевыми элементами которой являются средства для программной и аппаратной обработки данных. За счет оптимального распределения функций обработки данных между частями устройства достигается максимальная производительность.
Отличительной особенностью модели ESR-31 является её оснащенность дополнительными портами стандарта RS-232, которые могут использоваться для реализации дополнительных функций — удаленного консольного доступа к рядом стоящему оборудованию (режим AUX) и подключения к сервисному маршрутизатору через Dialup.
Документация
Предыдущие версии
Описание
Предыдущие версии
Программное обеспечение
Сертификаты
Предыдущие версии
Сервисный маршрутизатор ESR-31, 8xEthernet 10/100/1000BASE-T; 6xEthernet 1000BASE-X SFP, 2xEthernet 10GBASE-R SFP+, 1xRS-232 (RJ-45), 3xSerial (RS-232), 1xUSB 2.0, 1xUSB 3.0, 1 слот для SD-карт, 4 ГБ RAM, 8 ГБ Flash, 2 слота для модулей питания
Модуль питания PM165-220/12, 220V AC, 165W
Модуль питания PM160-220/12, 220V AC, 160W
Модуль питания PM100-48/12, 48V DC, 100W
SFP 1,25 GE модуль, 3 км, SM, 1 волокно, комплект TX/RX 1310/1550 SC, DDM
SFP 1,25 GE модуль, 3 км, SM, 1 волокно, комплект TX/RX 1310/1550 SC, DDM
SFP 1,25 GE модуль, 3 км, SM, 1 волокно, комплект TX/RX 1310/1550 LC, DDM
SFP 1,25 GE модуль, 3 км, SM, 1 волокно, комплект TX/RX 1310/1550 LC, DDM
SFP 1,25 GE модуль, 20 км, SM, 1 волокно, комплект TX/RX 1310/1550 SC, DDM
SFP 1,25 GE модуль, 20 км, SM, 1 волокно, комплект TX/RX 1310/1550 SC, DDM
SFP 1,25 GE модуль, 20 км, SM, 1 волокно, комплект TX/RX 1310/1550 LC, DDM
SFP 1,25 GE модуль, 20 км, SM, 1 волокно, комплект TX/RX 1310/1550 LC, DDM
SFP 1,25 GE модуль, 20 км, SM, 1 волокно, комплект TX/RX 1310/1550 SC, DDM, INDUSTRIAL
SFP 1,25 GE модуль, 20 км, SM, 1 волокно, комплект TX/RX 1310/1550 SC, DDM, INDUSTRIAL
SFP 1,25 GE модуль 40 км, SM, 1 волокно, комплект TX/RX 1310/1550 LC, DDM
SFP 1,25 GE модуль 40 км, SM, 1 волокно, комплект TX/RX 1310/1550 LC, DDM
SFP 1,25 GE модуль 40 км, SM, 1 волокно, комплект TX/RX 1310/1550 SC, DDM
SFP 1,25 GE модуль 40 км, SM, 1 волокно, комплект TX/RX 1310/1550 SC, DDM
SFP 1,25 GE модуль 80 км, SM, 1 волокно, комплект TX/RX 1490/1550 LC, DDM
SFP 1,25 GE модуль 80 км, SM, 1 волокно, комплект TX/RX 1490/1550 LC, DDM
SFP 1,25 GE модуль 80 км, SM, 1 волокно, комплект TX/RX 1490/1550 SC, DDM
SFP 1,25 GE модуль 80 км, SM, 1 волокно, комплект TX/RX 1490/1550 SC, DDM
SFP 1,25 GE модуль 120 км, SM, 1 волокно, комплект TX/RX 1490/1550 LC, DDM
SFP 1,25 GE модуль 120 км, SM, 1 волокно, комплект TX/RX 1490/1550 LC, DDM
SFP 1,25 GE модуль 120 км, SM, 1 волокно, комплект TX/RX 1490/1550 SC, DDM
SFP 1,25 GE модуль 120 км, SM, 1 волокно, комплект TX/RX 1490/1550 SC, DDM
SFP 1,25 GE модуль 160 км, SM, 1 волокно, комплект TX/RX 1490/1550 LC DDM
SFP 1,25 GE модуль 160 км, SM, 1 волокно, комплект TX/RX 1490/1550 LC DDM
Модуль SFP 1,25 GE, 550м, MM, 2 волокна, 850 nm, LC, DDM
Модуль SFP 1,25 GE, 2 км, ММ, 2 волокна, 1310 nm, LC, DDM
Модуль SFP 1,25 GE, 2 км, SM, 2 волокна, 1310 nm, LC, DDM
Модуль SFP 1.25 GE, 20 км, SM, 2 волокна, 1310 nm, LC, DDM
Модуль SFP 1.25 GE, 20 км, SM, 2 волокна, 1310 nm, LC, DDM, INDUSTRIAL
.webp)
Модуль SFP 1,25 GE, 40 км, SM, 2 волокна, 1310 nm, LC, DDM
Модуль SFP 1.25 GE, 80 км, SM, 2 волокна, 1550 nm, LC, DDM
Модуль SFP 1.25 GE, 120 км, SM, 2 волокна, 1550 nm, LC, DDM
Модуль SFP 1.25 GE, 160 км, SM, 2 волокна, 1550 nm, LC, DDM
Модуль SFP 1.25 GE, 200 км, SM, 2 волокна, 1550 nm, LC, DDM
Модуль SFP+ 10GE, 3 км, SM, 1 волокно, комплект TX/RX 1310/1310 LC, DDM
SFP+ 10GE модуль 20 км, SM, 1 волокно, комплект TX/RX 1330/1270 LC, DDM
SFP+ 10GE модуль 20 км, SM, 1 волокно, комплект TX/RX 1330/1270 LC, DDM
SFP+ 10GE модуль 40 км, SM, 1 волокно, комплект TX/RX 1330/1270 LC, DDM
SFP+ 10GE модуль 40 км, SM, 1 волокно, комплект TX/RX 1330/1270 LC, DDM
SFP+ 10GE модуль 60 км, SM, 1 волокно, комплект TX/RX 1330/1270 LC, DDM
SFP+ 10GE модуль 60 км, SM, 1 волокно, комплект TX/RX 1330/1270 LC, DDM
SFP+ 10GE модуль 80 км, SM, 1 волокно, комплект TX/RX 1490/1550 LC, DDM
SFP+ 10GE модуль 80 км, SM, 1 волокно, комплект TX/RX 1490/1550 LC, DDM
SFP+ 10GE модуль 100 км, SM, 1 волокно, комплект TX/RX 1490/1550 LC, DDM
SFP+ 10GE модуль 100 км, SM, 1 волокно, комплект TX/RX 1490/1550 LC, DDM
Модуль SFP+ 10GE, 0.3 км, MM, 2 волокна, 850 nm, LC, DDM
Модуль SFP+ 10GE, 20 км, SM, 2 волокна, 1310 nm, LC, DDM
Модуль SFP+ 10GE, 40 км, SM, 2 волокна, 1550 nm, LC, DDM
Модуль SFP+ 10GE, 80 км, SM, 2 волокна, 1550 nm, LC, DDM
Модуль SFP+ 10GE, 100 км, SM, 2 волокна, 1550 nm, LC, DDM
Шнур медный SFP+ Direct attach cable, 10G, 1m
Шнур медный SFP+ Direct attach cable, 10G, 2m
Шнур медный SFP+ Direct attach cable, 10G, 3m
Шнур медный SFP+ Direct attach cable, 10G, 5m
Модуль SFP для 10/100/1000 BASE-T
Модуль SFP+ для 10GBASE-Т RJ-45 (30м)
Опция ESR-BRAS на ПО для маршрутизаторов серии ESR
Опция IPS/IDS для сервисного маршрутизатора ESR-31, межсетевого экрана ESR-31 FSTEC
Шнур питания 220В
Комплект крепления в 19"стойку
Паспорт
Сертификат
Сертификаты на гарантию, замену, техподдержку
Скачать регламенты
Продление гарантийного обслуживания
Продление гарантийного обслуживания
Услуги, входящие в сертификат:
- Диагностика оборудования
- Бесплатный ремонт, если диагностирован гарантийный случай
- Платный ремонт, если диагностирован не гарантийный случай
Тарифные пакеты
8х5
по МСК и НСК
по МСК и НСК
Интервал обслуживания
Безлимитное
Количество обращений
На 1 год / до 2 лет / до 3 лет / до 5 лет
Срок обслуживания
- Сертификат привязан к серийному номеру оборудования
- Гарантийное обслуживание является непрерывным
- Максимальный срок гарантийного обслуживания - 5 лет
Техническая поддержка 8x5
Техническая поддержка 8х5
Консультационные услуги по вопросам эксплуатации оборудования Eltex.
Способы обращения в техническую поддержку:
- Интернет портал. Удобно для сложных вопросов. Все ответы будут зафиксированы, и они никогда не потеряются
- Email. Удобно для простых вопросов. Вопрос и Вам ответят сразу
- «Душевный» чат в Telegram. Для интересных и нестандартных вопросов. Можно получить ответ и воспользоваться опытом коллег.
Тарифные пакеты
8х5
по МСК и НСК
по МСК и НСК
Интервал обслуживания
Безлимитное
Количество обращений
1 год / 2 года / 3 года / 5 лет
Срок обслуживания
- Сертификат привязан к серийному номеру оборудования
Техническая поддержка 24x7
Техническая поддержка 24х7
Консультационные услуги по вопросам эксплуатации оборудования Eltex.
Способы обращения в техническую поддержку:
- Интернет портал. Удобно для сложных вопросов. Все ответы будут зафиксированы, и они никогда не потеряются
- Email. Удобно для простых вопросов. Вопрос и Вам ответят сразу
- «Душевный» чат в Telegram. Для интересных и нестандартных вопросов. Можно получить ответ и воспользоваться опытом коллег.
Тарифные пакеты
24x7
Интервал обслуживания
Безлимитное
Количество обращений
1 год / 2 года / 3 года / 5 лет
Срок обслуживания
- Сертификат привязан к серийному номеру оборудования
Отправка на подмену NBS*
*Next Business Shipping - на следующий день
*Next Business Shipping - на следующий день
Отправка на подмену NBS
Услуга по отправке оборудования на подмену на следующий рабочий день (next business day shipping) в случае выхода из строя оборудования
Услуги, входящие в сертификат:
- Отправка оборудования на подмену на время ремонта на следующий рабочий день
- Диагностика неисправного оборудования
- Бесплатный ремонт, если диагностирован гарантийный случай
- Платный ремонт, если диагностирован не гарантийный случай
Тарифные пакеты
8х5
по МСК и НСК
по МСК и НСК
Интервал обслуживания
Безлимитное
Количество обращений
1 год / 2 года / 3 года / 5 лет
Срок обслуживания
- Сертификат привязан к серийному номеру оборудования
- Сертификат приобретается только при наличии действующей стандартной/расширенной гарантии
Обучение в Академии Eltex
[ESR] Настройка Route-based IPsec VPN
IPsec – это набор протоколов, которые обеспечивают защиту передаваемых с помощью IP-протокола данных.
Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
Рисунок 1 – Схема сети
Задача: Настроить IPsec-туннель между R1 и R2.
- R1 IP адрес - 120.11.5.1;
- R2 IP адрес - 180.100.0.1;
- IKE:
группа Диффи-Хэллмана: 2;
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5. - IPSec:
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5.
Решение:
1. Конфигурирование R1
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
esr# configureesr(config)# interface gi 1/0/1esr(config-if-gi)# ip address 120.11.5.1/24esr(config-if-gi)# security-zone untrustedesr(config-if-gi)# exit
Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:
esr(config)# tunnel vti 1esr(config-vti)# local address 120.11.5.1esr(config-vti)# remote address 180.100.0.1esr(config-vti)# enableesr(config-vti)# exit
Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:
esr(config)# object-group service ISAKMPesr(config-object-group-service)# port-range 500esr(config-object-group-service)# exit
Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:
esr(config)# ip route 10.0.0.0/16 tunnel vti 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
esr(config)# security ike proposal ike_prop1esr(config-ike-proposal)# dh-group 2esr(config-ike-proposal)# authentication algorithm md5esr(config-ike-proposal)# encryption algorithm aes128esr(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
esr(config)# security ike policy ike_pol1esr(config-ike-policy)# pre-shared-key hexadecimal 123FFFesr(config-ike-policy)# proposal ike_prop1esr(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
esr(config)# security ike gateway ike_gw1esr(config-ike-gw)# ike-policy ike_pol1esr(config-ike-gw)# mode route-basedesr(config-ike-gw)# bind-interface vti 1esr(config-ike-gw)# version v2-onlyesr(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
esr(config)# security ipsec proposal ipsec_prop1esr(config-ipsec-proposal)# authentication algorithm md5esr(config-ipsec-proposal)# encryption algorithm aes128esr(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
esr(config)# security ipsec policy ipsec_pol1esr(config-ipsec-policy)# proposal ipsec_prop1esr(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
esr(config)# security ipsec vpn ipsec1esr(config-ipsec-vpn)# mode ikeesr(config-ipsec-vpn)# ike establish-tunnel immediateesr(config-ipsec-vpn)# ike gateway ike_gw1esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1esr(config-ipsec-vpn)# enableesr(config-ipsec-vpn)# exitesr(config)# exit
2. Конфигурирование R2
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
esr# configureesr(config)# interface gi 1/0/1esr(config-if)# ip address 180.100.0.1/24esr(config-if)# security-zone untrustedesr(config-if)# exit
Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:
esr(config)# tunnel vti 1esr(config-vti)# remote address 120.11.5.1esr(config-vti)# local address 180.100.0.1esr(config-vti)# enableesr(config-vti)# exit
Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:
esr(config)# object-group service ISAKMPesr(config-addr-set)# port-range 500esr(config-addr-set)# exit
Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:
esr(config)# ip route 10.0.0.0/16 tunnel vti 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
esr(config)# security ike proposal ike_prop1esr(config-ike-proposal)# dh-group 2esr(config-ike-proposal)# authentication algorithm md5esr(config-ike-proposal)# encryption algorithm aes128esr(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
esr(config)# security ike policy ike_pol1esr(config-ike-policy)# pre-shared-key hexadecimal 123FFFesr(config-ike-policy)# proposal ike_prop1esr(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
esr(config)# security ike gateway ike_gw1esr(config-ike-gw)# ike-policy ike_pol1esr(config-ike-gw)# mode route-basedesr(config-ike-gw)# bind-interface vti 1esr(config-ike-gw)# version v2-onlyesr(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec туннеля:
esr(config)# security ipsec proposal ipsec_prop1esr(config-ipsec-proposal)# authentication algorithm md5esr(config-ipsec-proposal)# encryption algorithm aes128esr(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
esr(config)# security ipsec policy ipsec_pol1esr(config-ipsec-policy)# proposal ipsec_prop1esr(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
esr(config)# security ipsec vpn ipsec1esr(config-ipsec-vpn)# mode ikeesr(config-ipsec-vpn)# ike establish-tunnel immediateesr(config-ipsec-vpn)# ike gateway ike_gw1esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1esr(config-ipsec-vpn)# enableesr(config-ipsec-vpn)# exitesr(config)# exit
Состояние туннеля можно посмотреть командой:
esr# show security ipsec vpn status ipsec1
Конфигурацию туннеля можно посмотреть командой:
esr# show security ipsec vpn configuration ipsec1
[ESR] BGP + Route-map
Задача:
Настроить BGP c AS 2500 на маршрутизаторе ESR и установить соседство с AS20;
Задача:
- Настроить BGP c AS 2500 на маршрутизаторе ESR и установить соседство с AS20;
- Отфильтровать на R2 из принимаемого маршрута 198.51.100.0/24 сеть, префикс которой соответствует 28
- Отфильтровать на R2 из принимаемого маршрута 203.0.113.0/24 сеть, префикс которой меньше или соответствует 30
- Отфильтровать на R2 из принимаемого маршрута 203.0.100.0/20 сеть, префикс которой больше или соответствует 24
- Задать каждой сети приоритет со значение local-preference 200
!!! Важно: при использовании eBGP для анонса маршрутной информации необходимо дать разрешающее правило с помощью route-map либо prefix-list, пример:
route-map BGP_OUT
rule 1
action permit
exit
exit
router bgp 1
address-family ipv4
neighbor 192.168.1.1
remote-as 2
route-map BGP_OUT out
enable
exit
enable
exit
exit
Решение:
Настроим BGP на ESR:
esr-200# configure
esr-200(config)# router bgp 2500
esr-200(config-bgp)# address-family ipv4
esr-200(config-bgp-af)# neighbor 185.0.0.2
esr-200(config-bgp-neighbor)# remote-as 20
esr-200(config-bgp-neighbor)# update-source 185.0.0.1
esr-200(config-bgp-neighbor)# enable
esr-200(config-bgp-neighbor)# exit
esr-200(config-bgp-af)# enable
esr-200(config-bgp-af)# exit
esr-200(config-bgp)# exit
Далее создадим необходимые правила для фильтрации маршрутов:
esr-200(config)# route-map in
esr-200(config-route-map)# rule 10
esr-200(config-route-map-rule)# match ip address 198.51.100.0/24 eq 28
esr-200(config-route-map-rule)# action set local-preference 200
esr-200(config-route-map-rule)# action permit
esr-200(config-route-map-rule)# exit
esr-200(config-route-map)#rule 20
esr-200(config-route-map-rule)# match ip address 203.0.113.0/24 ge 30
esr-200(config-route-map-rule)# action set local-preference 200
esr-200(config-route-map-rule)# action permit
esr-200(config-route-map-rule)# exit
esr-200(config-route-map)#rule 30
esr-200(config-route-map-rule)# match ip address 203.0.100.0/20 le 24
esr-200(config-route-map-rule)# action set local-preference 200
esr-200(config-route-map-rule)# action permit
esr-200(config-route-map-rule)# exit
esr-200(config-route-map-rule)# exit
esr-200(config-route-map)# exit
Теперь осталось прикрепить route-map к BGP:
esr-200(config)# router bgp 2500
esr-200(config-bgp)# address-family ipv4
esr-200(config-bgp-af)# neighbor 185.0.0.2
esr-200(config-bgp-neighbor)# route-map in in
esr-200(config-bgp-neighbor)# end
esr-200# commit
esr-200# confirm
[ESR] Bidirectional Forwarding Detection (BFD) для OSFP и BGP
Bidirectional Forwarding Detection protocol (BFD) — протокол, созданный для быстрого обнаружения неисправностей линков.
Два устройства согласовывают и устанавливают BFD сессию, отправляют друг другу hello-сообщения, Если hello-сообщения перестают поступать от соседа, BFD-сессия разрывается и система оповещается о неполадках в коммуникациях.
BFD может определить неисправность линка менее чем за 1 секунду (для маршрутизаторов Eltex ESR этот параметр можно регулировать в диапазоне от 200 до 65535 миллисекунд).
В реализации ПО начиная с версии 1.4.0 включительно, поддержаны протоколы BGP и OSPF и статических маршрутов.
В разработке находится реализация использования BFD для статических маршрутов.
Настройка механизма BFD сводится к двум шагам:
ШАГ 1. Настройка параметров BFD производится как в глобальном режиме, так и в режимах конфигурирования интерфейсов и туннелей (если параметры различаются по направлениям):
# configure
# configure-if-view
# configure-tunnel-view
[no] ip bfd min-rx-interval <TIME> - Минимальный интервал приёма для обнаружения ошибки
[no] ip bfd min-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки
[no] ip bfd idle-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки, когда сессия неактивна
[no] ip bfd multiplier <MULTIPLIER> - Число пропущенных пакетов, после которого сессия будет объявлена неактивной
[no] ip bfd passive - Не отправлять BFD-пакеты, пока не будет получен пакет от соседнего устройства
MULTIPLIER := 5 .. 100
TIME := время в миллисекундах 200 .. 65535
Если пропустить этот шаг, то будут использоваться параметры по умолчанию:
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No
ШАГ 2. Активация протокола BFD.
Для протокола BGP производится в режиме конфигурирования BGP соседа:
# bgp-neighbor-view
[no] bfd enable - Включение/Выключение BFD для данного соседа BGP
Обязательно при использовании BFD указываем upadate-source для указания source IP процессу BFD:
# update-source <A.B.C.D>
[no] update-source - указать/убрать адрес источника для BFD процесса
Для протокола OSPF BFD активировать необходимо в режиме конфигурирования интерфеса, на котором запущен протокол OSPF:
# configure-if-view
[no] ip ospf bfd-enable
Для статических маршрутов активация BFD происходит указанием после указания шлюза:
# configure-view
[no] ip route <A.B.C.D/N> <IP_GATEWAY> bfd
После применения и подверждения конфигурации протокол BFD запустится в работу:
esr #commit
esr #confirm
Текущие значение параметров BFD для глобального режима:
esr# show ip bfd
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No
Текущие значение параметров BFD для конкретного интерфеса и туннеля:
esr# sh ip bfd interface gigabitethernet 1/0/1
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No
esr# sh ip bfd interface gre 1
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No
[ESR] BRAS без SoftWLC
Задача: настроить BRAS без поддержки SoftWLC.
Решение:
Шаг 1. Настройка FreeRADIUS - сервера.
Для FreeRADIUS сервера нужно задать подсеть, из которой могут приходить запросы и добавить список пользователей. Для этого в файл users в директории с файлами конфигурации FreeRADIUS сервера нужно добавить:
Профиль пользователя:
<MACADDR> Cleartext-Password := <MACADDR>
# Имя пользователя
User-Name = <USER_NAME>,
# Максимальное время жизни сессии
Session-Timeout = <SECONDS>,
# Максимальное время жизни сесиии при бездействии пользователя
Idle-Timeout = <SECONDS>,
# Время на обновление статистики по сессии
Acct-Interim-Interval = <SECONDS>,
# Имя сервиса для сессии (A - сервис включен, N - сервис выключен)
Cisco-Account-Info = "{A|N}<SERVICE_NAME>"
Профиль сервиса:
<SERVICE_NAME> Cleartext-Password := <MACADDR>
# Соответствует имени class-map в настройках ESR
Cisco-AVPair = "subscriber:traffic-class=<CLASS_MAP>",
# Действие, которое применяет ESR к трафику (permit, deny, redirect)
Cisco-AVPair = "subscriber:filter-default-action=<ACTION>",
# Возможность прохождения IP потоков (enabled-uplink, enabled-downlink, enabled, disabled)
Cisco-AVPair = "subscriber:flow-status=<STATUS>"
В файл clients.conf нужно добавить подсеть, в которой находится ESR:
client ESR {
ipaddr = <SUBNET>
secret = <RADIUS_KEY>
}
Шаг 2. Настройка ESR - нужно сконфигурировать:
radius-server host <IP_ADDRESS>
key ascii-text <RADIUS_KEY>
exit
aaa radius-profile bras_radius
radius-server host <IP_ADDRESS>
exit
das-server das
key ascii-text <RADIUS_KEY>
exit
aaa das-profile bras_das
das-server das
exit
ip access-list extended user_acl
rule 1
action permit
enable
exit
exit
subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
nas-ip-address <IP_ADDRESS>
session mac-authentication
default-service default-action redirect <URL>
exit
enable
exit
На интерфейсах, для которых требуется работа BRAS настроить (для успешного запуска требуется как минимум один интерфейс):
service-subscriber-control {object-group <NAME> | any}
location <L2LOCATION>
!!! Настройка действие фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:
- Создаем локальный список URL (можно указать свои URL, на которые неавторизованные пользователи смогут проходить без авторизации и без редиректа, например локальные сервисы вашей сети и ваш сайт):
object-group url defaultserv
url http://eltex.nsk.ru
url http://ya.ru
url https://ya.ru
exit
- Добавим действие фильтрации для локального списка URL в BRAS:
subscriber-control
default-service
filter-name local defaultserv
filter-action permit
end
Теперь неавторизированные пользователи будут иметь доступ к URL defaultserv без редирект, а при попытке пройти на другие сайты для них отработает редирект:
default-service
default-action redirect http://192.168.16.54:8080/eltex_portal/
Пример настройки:
Дано:
Шаг 1. Настройка FreeRADIUS - сервера:
подсеть с клиентами 10.10.0.0/16, подсеть для работы с FreeRADIUS сервером 192.168.16.140/23. Настраиваем FreeRADIUS сервер. В файл «clients.conf» добавляем строки:
client BRAS {
ipaddr = 192.168.16.140
secret = password
}
В файл «users» добавляем строки (вместо <MAC> нужно указать MAC адрес клиента):
"00-00-00-33-96-3D" Cleartext-Password := "00-00-00-33-96-3D"
User-Name = "Bras_user",
Session-Timeout = 259200,
Idle-Timeout = 259200,
Cisco-AVPair += "subscriber:policer-rate-in=1000",
Cisco-AVPair += "subscriber:policer-rate-out=1000",
Cisco-AVPair += "subscriber:policer-burst-in=188",
Cisco-AVPair += "subscriber:policer-burst-out=188",
Cisco-Account-Info = "AINTERNET"
INTERNET Cleartext-Password := "INTERNET"
User-Name = "INTERNET",
Cisco-AVPair = "subscriber:traffic-class=INTERNET",
Cisco-AVPair += "subscriber:filter-default-action=permit"
Для traffic-class в настройках сервиса нужно указать access-list из настроек ESR. Он нужен для определения какой трафик пользователя считать за трафик этого сервиса.
Шаг 2. Конфигурация ESR:
configure
object-group url defaultserv
url http://eltex.nsk.ru
url http://ya.ru
url https://ya.ru
exit
radius-server host 192.168.16.54
key ascii-text encrypted 8CB5107EA7005AFF
source-address 192.168.16.140
exit
aaa radius-profile bras_radius
radius-server host 192.168.16.54
exit
aaa radius-profile bras_radius_servers
radius-server host 192.168.16.54
exit
das-server das
key ascii-text encrypted 8CB5107EA7005AFF
exit
aaa das-profile bras_das
das-server das
exit
vlan 10
exit
ip access-list extended BYPASS
rule 1
action permit
match protocol udp
match source-port 68
match destination-port 67
enable
exit
rule 2
action permit
match protocol udp
match destination-port 53
enable
exit
rule 3
exit
exit
ip access-list extended INTERNET
rule 1
action permit
enable
exit
exit
ip access-list extended WELCOME
rule 10
action permit
match protocol tcp
match destination-port 443
enable
exit
rule 20
action permit
match protocol tcp
match destination-port 8443
enable
exit
rule 30
action permit
match protocol tcp
match destination-port 80
enable
exit
rule 40
action permit
match protocol tcp
match destination-port 8080
enable
exit
exit
subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
aaa services-radius-profile bras_radius_servers
nas-ip-address 192.168.16.140
session mac-authentication
bypass-traffic-acl BYPASS
default-service
class-map BYPASS
filter-name local defaultserv
filter-action permit
default-action redirect http://192.168.16.54/eltex_portal
session-timeout 121
exit
enable
exit
bridge 10
vlan 10
ip firewall disable
ip address 10.10.0.1/16
ip helper-address 192.168.16.54
service-subscriber-control any
location USER
protected-ports
protected-ports exclude vlan
enable
exit
interface gigabitethernet 1/0/2
ip firewall disable
ip address 192.168.16.140/23
exit
interface gigabitethernet 1/0/3.10
bridge-group 10
ip firewall disable
exit
interface gigabitethernet 1/0/4
ip firewall disable
ip address 30.30.30.2/24
exit
interface tengigabitethernet 1/0/1
ip firewall disable
exit
interface tengigabitethernet 1/0/1.10
bridge-group 10
exit
interface tengigabitethernet 1/0/1.20
ip firewall disable
ip address 20.20.20.1/24
exit
interface tengigabitethernet 1/0/1.30
bridge-group 10
exit
interface tengigabitethernet 1/0/1.40
bridge-group 10
exit
nat source
ruleset factory
to interface gigabitethernet 1/0/2
rule 10
description "replace 'source ip' by outgoing interface ip address"
match source-address any
action source-nat interface
enable
exit
exit
ip route 0.0.0.0/0 192.168.16.145
ip telnet server
[ESR] Destanation NAT + NAT Hairpinning
В сети R1 имеется web-сервер. Необходимо что бы любой пользователь интернета имели доступ к этому ресурсу. Для этого необходимо перенаправить запросы с IP 185.185.11.54 на 192.168.0.5. На R1 уже описаны зоны безопасности trusted (192.168.0.1) и untrusted (185.185.11.54).
Destanation NAT
Для начала создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.
- Net_pub – профиль адресов публичной сети;
- Srv_http – профиль портов;
- Server_ip – профиль адресов локальной сети.
esr-100(config)# object-group network Net_pub
esr-100(config-object-group-network)# ip address 185.185.11.54
esr-100(config-object-group-network)# exit
esr-100(config)# object-group service Srv_http
esr-100(config-object-group-service)# port-range 80
esr-100(config-object-group-service)# exit
esr-100(config)# object-group network Server_ip
esr-100(config-object-group-network)# ip address 192.168.0.5
esr-100(config-object-group-network)# exit
Далее приступим к настройке самого NAT. Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 185.185.11.54 из внешней сети.
esr-100(config)# nat destination
esr-100(config-dnat)# pool Server_ip
esr-100(config-dnat-pool)# ip address 192.168.0.5
esr-100(config-dnat-pool)# ip port 80
esr-100(config-dnat-pool)# exit
Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «untrusted». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».
esr-100(config-dnat)# ruleset DNAT
esr-100(config-dnat-ruleset)# from zone untrusted
esr-100(config-dnat-ruleset)# rule 1
esr-100(config-dnat-rule)# match destination-address Net_pub
esr-100(config-dnat-rule)# match protocol tcp
esr-100(config-dnat-rule)# match destination-port Srv_http
esr-100(config-dnat-rule)# action destination-nat pool Server_ip
esr-100(config-dnat-rule)# enable
esr-100(config-dnat-rule)# exit
esr-100(config-dnat-ruleset)# exit
esr-100(config-dnat)# exit
Для пропуска трафика, идущего из зоны «untrusted» в «trusted», создадим соответствующее правило. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP» и прошедший преобразование DNAT.
esr-100(config)# security zone-pair untrusted trusted
esr-100(config-zone-pair)# rule 1
esr-100(config-zone-pair-rule)# match source-address any
esr-100(config-zone-pair-rule)# match destination-address Server_ip
esr-100(config-zone-pair-rule)# match protocol any
esr-100(config-zone-pair-rule)# match destination-nat
esr-100(config-zone-pair-rule)# action permit
esr-100(config-zone-pair-rule)# enable
esr-100(config-zone-pair-rule)# exit
esr-100(config-zone-pair)# exit
esr-100# commit
esr-100# confirm
Теперь R1 будет перенаправлять обращегия как требуется. Команды для просмотра состояния и настройки NAT:
esr-100# show ip nat destination pools
esr-100# show ip nat destination rulesets
esr-100# show ip nat proxy-arp
esr-100# show ip nat translations
NAT Hairpinning
На рисунке в начале статьи видно, что в локальной сети R1 имеются свои клиенты(client), которые тоже пользуются web-сервером. Однако когда client введет в браузере доменное имя сервера, DNS перенаправит его на адрес 185.185.11.54. Для этого настроим NAT Hairpinning.
Добавим еще один профиль для внутренней сети.
esr-100(config)# object-group network LAN
esr-100(config-object-group-network)# ip prefix 192.168.0.0/24
esr-100(config-object-group-network)# exit
Добавим еще один ruleset в конфигурацию DNAT.
esr-100(config)# nat destination
esr-100(config-dnat)# ruleset loopback
esr-100(config-dnat-ruleset)# from zone trusted
esr-100(config-dnat-ruleset)# rule 10
esr-100(config-dnat-rule)# match protocol tcp
esr-100(config-dnat-rule)# match destination-address Net_pub
esr-100(config-dnat-rule)# match destination-port Srv_http
esr-100(config-dnat-rule)# action destination-nat pool Server_ip
esr-100(config-dnat-rule)# enable
esr-100(config-dnat-rule)# exit
esr-100(config-dnat-ruleset)# exit
esr-100(config-dnat)# exit
Сконфигурируем Source NAT.
esr-100(config)# nat source
esr-100(config-snat)# ruleset loopback
esr-100(config-snat-ruleset)# to zone trusted
esr-100(config-snat-ruleset)# rule 10
esr-100(config-snat-rule)# match source-address LAN
esr-100(config-snat-rule)# action source-nat interface
esr-100(config-snat-rule)# enable
esr-100(config-snat-rule)# exit
esr-100(config-snat-ruleset)# exit
esr-100(config-snat)# exit
esr-100(config)# exit
esr-100# commit
esr-100# confirm
Теперь пользователи локальной сети R1 будут попадать на web-сервер по внутреннему адресу.
[ESR] DHCP Relay
В случае, если DHCP-клиент не имеет возможности обратиться к DHCP-серверу напрямую (например, если они находятся в разных широковещательных доменах), используется так называемый DHCP-ретранслятор (relay agent), который обрабатывает клиентский широковещательный DHCP-запрос и отправляет его на DHCP-сервер в виде unicast пакета, а полученный от DHCP-сервера ответ, в свою очередь, перенаправляет DHCP-клиенту.
Рисунок 1 - Схема сети
Предварительно необходимо сконфигурировать интерфейсы:
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip address 10.0.0.1/24
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)# ip address 192.168.0.1/24
Настройки DHCP-ретранслятора на ESR сводятся к:
1. Включению DHCP relay глобально на устройстве командой
esr(config)# ip dhcp-relay
2. Указанию на интерфейсе со стороны DHCP-клинта IP адреса DHCP-сервера, на который будут перенаправляться клиентские запросы.
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)# ip helper-address 10.0.0.2
Чтобы изменения вступили в силу, необходимо ввести следующие команды:
esr# commit
Configuration has been commited
esr# confirm
Configuration has been confirmed
[ESR] Eltex SLA (Service Level Agreement)
Eltex SLA (Service Level Agreement) – двухсторонний протокол активного измерения определяет гибкий метод измерения производительности и качества работы IP между двумя сервисными маршрутизаторами Eltex ESR, поддерживающими технологию SLA.
‼️Поддержка сервиса SLA от Wellink (wiSLA) для ESR и WLC остановлена.
Основная функция SLA - выполнение тестов, нацеленных на вычисление параметров канала связи:
- односторонние задержки;
- круговые задержки;
- джиттер;
- потери пакетов;
- изменение порядка следования пакетов.
Протокол IP SLA состоит из 2х фаз:
- фазы контроля;
- фазы измерений.
Предполагает наличие 2х ролей:
- sender (инициирует запуск теста с установленными параметрами);
- responder (ожидает входящих соедиений).
Пример конфигурации
Конфигурация ESR-SENDER
interface gigabitethernet 1/0/1
ip firewall disable
ip address 12.0.0.1/24
exit
ip route 0.0.0.0/0 12.0.0.2
clock timezone gmt +7
ntp enable
ntp server 192.168.1.1
minpoll 4
exit
ip sla logging
ip sla logging level error
ip sla
ip sla test 1
udp-jitter 24.0.0.3 20001 source-ip 12.0.0.1 control enable num-packets 100 interval 20
frequency 25
packet-size 64
dscp 30
cos 3
timeout 4000
thresholds losses high 15
thresholds losses forward high 5
thresholds losses reverse high 10
thresholds jitter forward high 7
thresholds jitter reverse high 15
thresholds delay high 150
thresholds delay forward high 100
thresholds delay reverse high 50
enable
exit
ip sla schedule 1 life forever start-time now
Конфигурация ESR-RESPONDER
interface gigabitethernet 1/0/1
ip firewall disable
ip address 24.0.0.3/24
ip sla responder eltex
exit
ip route 0.0.0.0/0 24.0.0.2
clock timezone gmt +7
ntp enable
ntp server 192.168.1.1
minpoll 4
exit
Просмотр статистики
ESR# show ip sla test statistics 1
Test number: 1
Transmitted packets: 100
Lost packets: 8 (8%)
Lost packets in forward direction: 4 (4%)
Lost packets in reverse direction: 4 (4%)
One-way delay forward min/avg/max: 29/52/72 milliseconds
One-way delay reverse min/avg/max: 29/52/72 milliseconds
One-way jitter forward min/avg/max: 6/11/12 milliseconds
One-way jitter reverse min/avg/max: 6/11/12 milliseconds
Two-way delay min/avg/max: 58/104/145 milliseconds
Two-way jitter min/avg/max: 13/22/25 milliseconds
Duplicate packets: 0
Out of sequence packets in forward direction: 0
Out of sequence packets in reverse direction: 0
Мониторинг
Все сообщения о превышении порог для тестовых потоков либо снижении уровня ниже допустимого занчения журналируются.
1) SYSLOG-сообщения можно перенаправлять на SYSLOG-сервер.
Конфигурация:
syslog host test 192.168.1.1 debug udp 514
Пример сообщений SYSLOG:
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses high for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse high for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses OK for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse OK for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter forward high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter OK for ip sla 1: 0 < 10
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse OK for ip sla 1: 0 < 15
2) Опрос по SNMP.
Для IP SLA доступны MIB-OID:
ELTEX-ESR-MIB.mib
ELTEX-ESR-IPSLA-MIB.mib
Конфигурация:
snmp-server
snmp-server community "publpubl" rw
snmp-server host 192.168.1.1
exit
Пример снятия статистики по SNMP:
Name/OID: eltEsrIpSlaStatTestTransmittedPackets.1; Value (Gauge): 100
Name/OID: eltEsrIpSlaStatTestLostPackets.1; Value (Gauge): 8
Name/OID: eltEsrIpSlaStatTestLostPacketsForward.1; Value (Gauge): 4
Name/OID: eltEsrIpSlaStatTestLostPacketsReverse.1; Value (Gauge): 4
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMin.1; Value (Gauge): 29
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMax.1; Value (Gauge): 52
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardAvg.1; Value (Gauge): 72
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMin.1; Value (Gauge): 29
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMax.1; Value (Gauge): 52
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseAvg.1; Value (Gauge): 72
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMin.1; Value (Gauge): 6
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMax.1; Value (Gauge): 11
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardAvg.1; Value (Gauge): 12
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMin.1; Value (Gauge): 6
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMax.1; Value (Gauge): 11
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseAvg.1; Value (Gauge): 12
Name/OID: eltEsrIpSlaStatTestTwoWayDelayMin.1; Value (Gauge): 58
Name/OID: eltEsrIpSlaStatTestTwoWayDelayMax.1; Value (Gauge): 104
Name/OID: eltEsrIpSlaStatTestTwoWayDelayAvg.1; Value (Gauge): 145
Name/OID: eltEsrIpSlaStatTestTwoWayJitterMin.1; Value (Gauge): 13
Name/OID: eltEsrIpSlaStatTestTwoWayJitterMax.1; Value (Gauge): 22
Name/OID: eltEsrIpSlaStatTestTwoWayJitterAvg.1; Value (Gauge): 025
Name/OID: eltEsrIpSlaStatTestDuplicatePackets.1; Value (Gauge): 0
Name/OID: eltEsrIpSlaStatTestOutOfSequenceForward.1; Value (Gauge): 0
Name/OID: eltEsrIpSlaStatTestOutOfSequenceReverse.1; Value (Gauge): 0
3) SYSLOG в SNMP-Traps.
Конфигурация
snmp-server host 192.168.1.1
source-address 12.0.0.1
exit
snmp-server enable traps syslog
[ESR] ESR-1000. Порты XG (10G) уходят в down после конфигурации LACP
Проблема: Порты XG в down после конфигурирования LACP на ESR-1000
Решение: По умолчанию на port-channel установлен режим: speed 1000M, необходимо выставить: speed 10Gесли в port-channel включаем XG интерфейсы.
esr(config)# interface port-channel 1
esr(config-port-channel)# speed 10G
Изменения конфигурации вступают в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
[ESR] GRE over IPSec
Настроить GRE over IPSec туннель между ESR1 и ESR2.
Данные:
IP-address интерфейса ESR1 - 180.10.0.1/30
P-address интерфейса ESR2 - 80.66.0.1/30
Локальные подсети:
LAN1: 1.1.1.0/24
LAN2: 2.2.2.0/24
Параметры IKE:
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5;
группа Диффи-Хэллмана: 2.
Параметры IPSec:
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5;
группа Диффи-Хэллмана: 2.
Решение:
Конфигурирование ESR1
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
ESR1(config)# interface gigabitethernet 1/0/1
ESR1(config-if-gi)# security-zone untrusted
ESR1(config-if-gi)# ip address 180.10.0.1/30
ESR1(config-if-gi)# exit
Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:
ESR1(config)# tunnel gre 1
ESR1(config-gre)# ttl 16
ESR1(config-gre)# security-zone trusted
ESR1(config-gre)# local address 180.10.0.1
ESR1(config-gre)# remote address 80.66.0.1
ESR1(config-gre)# ip address 10.10.10.1/30
ESR1(config-gre)# enable
ESR1(config-gre)# exit
Создадим статический маршрут для подсети 80.66.0.0/30:
ESR1(config)# ip route 80.66.0.0/30 180.10.0.2
Создадим статический маршрут подсети LAN2 - 2.2.2.0/24 через tunnel gre 1:
ESR1(config)# ip route 2.2.2.0/24 tunnel gre 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
ESR1(config)# security ike proposal ike_prop1
ESR1(config-ike-proposal)# authentication algorithm md5
ESR1(config-ike-proposal)# encryption algorithm aes128
ESR1(config-ike-proposal)# dh-group 2
ESR1(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
ESR1(config)# security ike policy ike_pol1
ESR1(config-ike-policy)# pre-shared-key ascii-text password
ESR1(config-ike-policy)# proposal ike_prop1
ESR1(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
ESR1(config)# security ike gateway ike_gw1
ESR1(config-ike-gw)# ike-policy ike_pol1
ESR1(config-ike-gw)# local address 180.10.0.1
ESR1(config-ike-gw)# local network 180.10.0.1/32 protocol gre
ESR1(config-ike-gw)# remote address 80.66.0.1
ESR1(config-ike-gw)# remote network 80.66.0.1/32 protocol gre
ESR1(config-ike-gw)# mode policy-based
ESR1(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
ESR1(config)# security ipsec proposal ipsec_prop1
ESR1(config-ipsec-proposal)# authentication algorithm md5
ESR1(config-ipsec-proposal)# encryption algorithm aes128
ESR1(config-ipsec-proposal)# pfs dh-group 2
ESR1(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
ESR1(config)# security ipsec policy ipsec_pol1
ESR1(config-ipsec-policy)# proposal ipsec_prop1
ESR1(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
ESR1(config)# security ipsec vpn ipsec1
ESR1(config-ipsec-vpn)# mode ike
ESR1(config-ipsec-vpn)# ike establish-tunnel route
ESR1(config-ipsec-vpn)# ike gateway ike_gw1
ESR1(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
ESR1(config-ipsec-vpn)# enable
ESR1(config-ipsec-vpn)# exit
Дополнительно в security zone-pair untrusted self необходимо разрешить протоколы для GRE over IPSec туннеля:
ESR1(config)# security zone-pair untrusted self
ESR1(config-zone-pair)# rule 10
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol gre
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# rule 11
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol esp
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# rule 12
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol ah
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# exit
Конфигурирование ESR2
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
ESR2(config)# interface gigabitethernet 1/0/1
ESR2(config-if-gi)# security-zone untrusted
ESR2(config-if-gi)# ip address 80.66.0.1/30
ESR2(config-if-gi)# exit
Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:
ESR2(config)# tunnel gre 1
ESR2(config-gre)# ttl 16
ESR2(config-gre)# security-zone trusted
ESR2(config-gre)# local address 80.66.0.1
ESR2(config-gre)# remote address 180.10.0.1
ESR2(config-gre)# ip address 10.10.10.2/30
ESR2(config-gre)# enable
ESR2(config-gre)# exit
Создадим статический маршрут для подсети 180.10.0.0/30:
ESR2(config)# ip route 180.10.0.0/30 80.66.0.2
Создадим статический маршрут подсети LAN1 - 1.1.1.0/24 через tunnel gre 1:
ESR2(config)# ip route 1.1.1.0/24 tunnel gre 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
ESR2(config)# security ike proposal ike_prop1
ESR2(config-ike-proposal)# authentication algorithm md5
ESR2(config-ike-proposal)# encryption algorithm aes128
ESR2(config-ike-proposal)# dh-group 2
ESR2(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
ESR2(config)# security ike policy ike_pol1
ESR2(config-ike-policy)# pre-shared-key ascii-text password
ESR2(config-ike-policy)# proposal ike_prop1
ESR2(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
ESR2(config)# security ike gateway ike_gw1
ESR2(config-ike-gw)# ike-policy ike_pol1
ESR2(config-ike-gw)# local address 80.66.0.1
ESR2(config-ike-gw)# local network 80.66.0.1/32 protocol gre
ESR2(config-ike-gw)# remote address 180.10.0.1
ESR2(config-ike-gw)# remote network 180.10.0.1/32 protocol gre
ESR2(config-ike-gw)# mode policy-based
ESR2(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
ESR2(config)# security ipsec proposal ipsec_prop1
ESR2(config-ipsec-proposal)# authentication algorithm md5
ESR2(config-ipsec-proposal)# encryption algorithm aes128
ESR2(config-ipsec-proposal)# pfs dh-group 2
ESR2(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
ESR2(config)# security ipsec policy ipsec_pol1
ESR2(config-ipsec-policy)# proposal ipsec_prop1
ESR2(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
ESR2(config)# security ipsec vpn ipsec1
ESR2(config-ipsec-vpn)# mode ike
ESR2(config-ipsec-vpn)# ike establish-tunnel route
ESR2(config-ipsec-vpn)# ike gateway ike_gw1
ESR2(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
ESR2(config-ipsec-vpn)# enable
ESR2(config-ipsec-vpn)# exit
[ESR] GRE over IPSec между ESR и Cisco
Настроить GRE over IPSec туннель между ESR и Cisco. На туннелях дополнительно настроить протокол динамической маршрутизации OSPF.
При настройке IPSec на ESR включен способ установления соединения ike establish-tunnel route, при таком режиме IPSec туннель поднимется при наличии транзитного трафика. Loopback интерфейсы необходимы для проверки работоспособности IPSec туннеля (передачи транзитного трафика) и в конфигурации не обязательны.
ESR:
1) Конфигурация:
esr# show running-config
router ospf log-adjacency-changes
router ospf 1
router-id 10.110.0.66
area 0.0.0.1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
ip firewall disable
ip address 100.100.0.2/24
exit
interface loopback 1
ip address 2.2.2.2/32
exit
tunnel gre 1
mtu 1476
ip firewall disable
local address 100.100.0.2
remote address 10.10.0.13
ip address 10.110.0.66/30
ip ospf instance 1
ip ospf area 0.0.0.1
ip ospf
enable
exit
security ike proposal IKEPROP
encryption algorithm aes128
dh-group 2
exit
security ike policy IKEPOL
lifetime seconds 86400
pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
proposal IKEPROP
exit
security ike gateway IKEGW
ike-policy IKEPOL
local address 100.100.0.2
local network 100.100.0.2/32 protocol gre
remote address 10.10.0.13
remote network 10.10.0.13/32 protocol gre
mode policy-based
exit
security ipsec proposal IPPROP
encryption algorithm aes128
exit
security ipsec policy IPPOL
proposal IPPROP
exit
security ipsec vpn IPSEC
mode ike
ike establish-tunnel route
ike gateway IKEGW
ike ipsec-policy IPPOL
enable
exit
ip route 0.0.0.0/0 tunnel gre 1
ip route 10.10.0.0/24 100.100.0.1
2) Информация о состоянии протокола OSPF и IPSec туннеля:
esr# show ip ospf neighbors
Router ID Pri State DTime Interface Router IP
--------- --- ----- ----- ----------------- ---------
10.110.0.65 1 Full/BDR 00:35 gre 1 10.110.0.65
esr# show security ipsec vpn status IPSEC
Currently active IKE SA:
Name: IPSEC
State: Established
Version: v1-only
Unique ID: 3
Local host: 100.100.0.2
Remote host: 10.10.0.13
Role: Initiator
Initiator spi: 0x15dc63f5881abbb0
Responder spi: 0xd45e86e5abb121d9
Encryption algorithm: des
Authentication algorithm: sha1
Diffie-Hellman group: 2
Established: 12 minutes and 34 seconds ago
Rekey time: 12 minutes and 34 seconds
Reauthentication time: 23 hours, 32 minutes and 7 seconds
Child IPsec SAs:
Name: IPSEC
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes128
Authentication algorithm: sha1
Rekey time: 32 minutes
Life time: 47 minutes and 26 seconds
Established: 12 minutes and 34 seconds ago
Traffic statistics:
Input bytes: 540
Output bytes: 540
Input packets: 5
Output packets: 5
Cisco:
1) Конфигурация:
crypto isakmp policy 2
encr aes
authentication pre-share
group 2
crypto isakmp key password address 100.100.0.2
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set strong esp-aes esp-sha-hmac
!
crypto map mymap local-address FastEthernet0/0
crypto map mymap 119 ipsec-isakmp
set peer 100.100.0.2
set transform-set strong
match address 119
!
!
interface Loopback1
ip address 1.1.1.1 255.255.255.255
!
!
interface Tunnel2
ip address 10.110.0.65 255.255.255.252
ip ospf 1 area 0.0.0.1
ip ospf network broadcast
tunnel source 10.10.0.13
tunnel destination 100.100.0.2
!
!
interface FastEthernet0/0
ip address 10.10.0.13 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
router ospf 1
router-id 10.110.0.65
log-adjacency-changes
!
ip route 100.100.0.0 255.255.255.0 10.10.0.1
ip route 0.0.0.0 0.0.0.0 Tunnel2
!
access-list 119 permit gre host 10.10.0.13 host 100.100.0.2
2) Информация о состоянии протокола OSPF и IPSec туннеля:
Router#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
10.110.0.66 0 FULL/ - 00:00:32 10.110.0.66 Tunnel2
Router#show crypto ipsec sa
interface: FastEthernet0/0
Crypto map tag: mymap, local addr 10.10.0.13
protected vrf: (none)
local ident (addr/mask/prot/port): (10.10.0.13/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (100.100.0.2/255.255.255.255/47/0)
current_peer 100.100.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.10.0.13, remote crypto endpt.: 100.100.0.2
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0xC9A1F292(3382833810)
PFS (Y/N): Y, DH group: group2
inbound esp sas:
spi: 0x7783E2D2(2005131986)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4480312/3033)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xC9A1F292(3382833810)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: FPGA:2, sibling_flags 80000046, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4480312/3033)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
[ESR] IP unnumbered
Имеется маршрутизатор R1 к которому подключен 2 клиента. Клиентам необходимо выделить IP адреса из пула 10.10.10.0/24, но таким образом чтобы они не имели доступ к друг другу. Одним из решений было бы разбить 24 маску на 30, но в таком случае распределение IP адресов крайне не экономично. В данном случае отличным решением будет использование технологии IP unnumbered.
Задача:
- Выдать клиенту client1 один IP адрес.
- Выдать клиенту client2 три IP адреса.
Решение:
На маршрутизаторе R1 настроим loopback-интерфейс и повешаем наго IP адрес из пула который будем раздовать другим маршрутизаторам:
esr-200# config
esr-200(config)# interface loopback 1
esr-200(config-loopback)# ip address 10.10.10.254/24
esr-200(config-loopback)# exit
Далее настроим интерфейсы к которым подключены клиенты:
esr-200(config)# interface gigabitethernet 1/0/2
esr-200(config-if-gi)# ip unnumbered loopback 1
esr-200(config-if-gi)# ip firewall disable
esr-200(config-if-gi)# exit
esr-200(config)# interface gigabitethernet 1/0/3
esr-200(config-if-gi)# ip unnumbered loopback 1
esr-200(config-if-gi)# ip firewall disable
esr-200(config-if-gi)# exit
И последнее что осталось, это прописать маршрут до IP адресов которые отдаем клиентам:
esr-200(config)# ip route 10.10.10.1/32 interface gigabitethernet 1/0/2 name client1
esr-200(config)# ip route 10.10.10.2/32 interface gigabitethernet 1/0/3 name client2
esr-200(config)# ip route 10.10.10.3/32 interface gigabitethernet 1/0/3 name client2
esr-200(config)# ip route 10.10.10.4/32 interface gigabitethernet 1/0/3 name client2
esr-200(config)# exit
esr-200# commit
esr-200# confirm
А теперь осталось настроить у клиента IP адрес 10.10.10.1 с маской 255.255.255.0 и шлюзом 10.0.0.2 (интерфейс R1 смотрящий в интернет). Точно также делаем на всех ПК воторого клиента.
Порядок и способы оплаты оборудования
Оплата товара производится посредством банковского перевода для юр.лиц, и так же посредством наличного расчета курьеру или в офисе дилера.
После оформления заказа – вам на почту придет письмо с уведомлением и уникальным номером вашего заказа, после чего с вами свяжется наш менеджер для уточнения данных.
Доставка оборудования
После получения заявки менеджер Элтекс Коммуникации свяжется с Вами в течение 15-50 минут (в будние дни) для консультации по оборудованию и согласованию условий поставки (место, сроки и удобное время).
Доставка осуществляется по всей территории Российской Федерации. Возможно экспортное оформление для поставок в зарубежные страны.
Варианты доставки:
- Самовывоз со склада в Новосибирске: ул. Светлановская 50/2 скл. 8
- Самовывоз со склада в Москве: ул. Правды 8, к 27.
- Курьерская экспресс доставка по РФ до двери от 2 дней.
- Доставка транспортными компаниями КСЕ/Деловые линии/Major Express от 2 дней.
- Доставка по Москве и Новосибирску нашим водителем в течение нескольких часов.
