Академия
0 Корзина
Перейти в корзину
Получить цены в WhatsApp
2024_02_25_KП_EltexCM.xlsx

ESR-31 Сервисный маршрутизатор Eltex

В разработке
Артикул:

ESR-31

8 x 10/100/1000BASE-T (LAN/WAN) 6 x 1000BASE-X SFP (LAN/WAN) 2 x 10GBASE-R SFP+/1000BASE-X SFP (LAN/WAN) 3 x Serial (RS-232) Console RS-232 (RJ-45) USB 2.0 USB 3.0 Слот для microSD-карт

Eltex
Наличие:
Скидка с первого заказа!
Гарантия до 5 лет
Мы дилер №1 Eltex
Возраст: 28 лет
Офис: Москва
Опыт работы с Eltex: 2 года
Бринева Анна
Дежурный сегодня
Бринева Анна

Общие параметры ESR-31 Eltex

Установка в стойку esr 1U
BRAS esr Да
Количество портов 1G 14
Количество портов 10G 2
Питание 2 смен.БП
Количество маршрутов OSPF 300k
Количество маршрутов ISIS 30k
Количество маршрутов RIP 10k
Макс. скорость портов 10 G
В реестре Минпромторга (ТОРП) Получение
Размер базы FIB 1.4M
Количество маршрутов BGP 2.5M
Производительность (фреймы 1518B) Гбит/с 7.9
Производительность (фреймы 1518B) k пкт/с 651.4
Производительность (фреймы 74B) Гбит/с 0.4
Производительность (фреймы 74B) k пкт/с 671.7
Производительность IMIX, Гбит/с 3.6
Производительность IMIX, k пкт/с 650.7
IPsec Гбит/с 0.87
Downlink порты RJ-45 8
Downlink порты SFP 6
Downlink порты SFP+ 2
Размер коробки ШхВхГ, мм 430 x 43 x 275
Вес брутто, кг 4.44
  • Маршрутизация данных
  • Аппаратное ускорение обработки данных
  • Многопротокольная коммутация по меткам (MPLS)
  • Построение защищенного периметра сети (NAT, Firewall)
  • Мониторинг и предотвращение сетевых атак (IPS/IDS)
  • Мониторинг качества обслуживания (SLA)
  • Фильтрация сетевых данных по различным критериям (включая фильтрацию по приложениям)
  • Организация защищенных сетевых туннелей между филиалами компаний
  • Удаленное подключение сотрудников к офису
  • Управление и распределение ширины Интернет-канала в офисе посредством QoS
  • Организация резервного соединения (проводное или посредством 3G/LTE-модема)
  • Терминирование клиентов и ограничений по полосе пропускания BRAS (IPoE)

ESR-31 является сервисным маршрутизатором среднего уровня, имеет 8 портов 1G (RJ-45), 6 портов 1G (SFP), 2 порта 10G (SFP+) и консольный порт RS-232 (RJ-45). 
Данный маршрутизатор дополнительно обладает 3 интерфейсами Serial (RS-232), они позволяют в режиме AUX обеспечить удалённый консольный доступ к рядом стоящему оборудованию.

Маршрутизатор входит в состав серии ESR, ключевыми элементами которой являются средства для программной и аппаратной обработки данных. За счет оптимального распределения функций обработки данных между частями устройства достигается максимальная производительность.
Отличительной особенностью модели ESR-31 является её оснащенность дополнительными портами стандарта RS-232, которые могут использоваться для реализации дополнительных функций — удаленного консольного доступа к рядом стоящему оборудованию (режим AUX) и подключения к сервисному маршрутизатору через Dialup.

Указанные в технической документации значения являются приблизительными, поскольку разработка устройства еще не завершена. Точные показатели будут опубликованы после финального тестирования и выхода модели в предсерийное производство

Интерфейсы
  • Ethernet 10/100/1000BASE-T (LAN/WAN) - 8
  • Ethernet 1000BASE-X SFP (LAN/WAN) - 6
  • 10GBASE-R SFP+/1000BASE-X SFP (LAN/WAN) - 2
  • Serial (RS-232) - 3
  • Console RS-232 (RJ-45) - 1
  • USB 2.0 - 1
  • USB 3.0 - 1
  • Слот для microSD-карт - 1
Системные характеристики
  • Количество VPN-туннелей - 250
  • Статические маршруты - 11k
  • Количество конкурентных сессий - 256k
  • Поддержка VLAN - 4094
  • Количество маршрутов BGP - 2,5M
  • Количество BGP-соседей - 1k
  • Количество маршрутов OSPF - 300k
  • Количество маршрутов RIP - 10k
  • Количество маршрутов ISIS - 30k
  • Таблица MAC-адресов - 2k записей на бридж
  • Размер базы FIB - 1,4M
  • VRF - 32
Подключаемые интерфейсы
  • USB 3G/4G/LTE модем
  • E1 TopGate SFP
Клиенты Remote Access VPN
  • PPTP/PPPoE/L2TP/OpenVPN/IPsec XAUTH
Сервер Remote Access VPN
  • L2TP/PPTP/OpenVPN/IPsec XAUTH
Site-to-site VPN
  • IPsec: режимы «policy-based» и «route-based»
  • DMVPN
  • Алгоритмы шифрования DES, 3DES, AES, Blowfish, Camellia
  • Аутентификация сообщений IKE MD5, SHA-1, SHA-2
Туннелирование
  • IPoGRE, EoGRE
  • IPIP
  • L2TPv3
  • LT (inter VRF routing)
Функции L2
  • Коммутация пакетов (bridging)
  • Агрегация интерфейсов LAG/LACP (802.3ad)
  • Поддержка VLAN (802.1Q)
  • Логические интерфейсы
  • LLDP, LLDP MED
  • VLAN на основе MAC
Функции L3 (IPv4/IPv6)
  • Трансляция адресов NAT, Static NAT, ALG
  • Статические маршруты
  • Протоколы динамической маршрутизации RIPv2, OSPFv2/v3, IS-IS, BGP
  • Фильтрация маршрутов (prefix list)
  • VRF
  • Policy Based Routing (PBR)
  • BFD для BGP, OSPF, статических маршрутов
BRAS (IPoE)1
  • Терминация пользователей
  • Белые/черные списки URL
  • Квотирование по объёму трафика, по времени сессии,по сетевым приложениям
  • HTTP/HTTPS Proxy
  • HTTP/HTTPS Redirect
  • Аккаунтинг сессий по протоколу Netflow
  • Взаимодействие с серверами ААА, PCRF
  • Управление полосой пропускания по офисам и SSID, сессиям пользователей
  • Аутентификация пользователей по MAC- или IP-адресам
Функции сетевой защиты
  • Взаимодействие с Eltex Distribution Manager для получения лицензируемого контента — наборы правил, предоставляемые KasperskySafeStream II1
  • Система обнаружения и предотвращения вторжений (IPS/IDS)1
  • Web-фильтрация по URL, по содержимому (cookies, ActiveX, JavaScript)
  • Zone-based Firewall
  • Фильтрация фаерволом на базе L2/L3/L4-полей и по приложениям
  • Поддержка списков контроля доступа (ACL) на базе L2/L3/L4-полей
  • Защита от DoS/DDoS-атак и оповещение об атаках
  • Логирование событий атак, событий срабатывания правил
Управление IP-адресацией (IPv4/IPv6)
  • Статические IP-адреса
  • DHCP-клиент
  • DHCP Relay Option 82
  • Встроенный сервер DHCP, поддержка опций 43, 60, 61, 150
  • DNS resolver
  • IP unnumbered
Качество обслуживания (QoS)
  • До 8 приоритетных или взвешенных очередей на порт
  • L2- и L3-приоритизация трафика (802.1p (CoS), DSCP, IP Precedence (ToS))
  • Предотвращение перегрузки очередей RED, GRED
  • Средства перемаркирования приоритетов
  • Применение политик (policy-map)
  • Управление полосой пропускания (shaping)
  • Иерархический QоS
  • Маркировка сессий
Средства обеспечения надежности сети
  • VRRP v2, v3
  • Tracking на основании VRRP- или SLA-теста
    • Управление параметрами VRRP
    • Управление параметрами PBR
    • Управление административным статусом интерфейса
    • Активация и деактивация статического маршрута
    • Управление атрибутом AS-PATH и preference в route-map
  • Балансировка нагрузки на WAN-интерфейсах, перенаправление потоков данных, переключение при оценке качества канала
  • Резервирование сессий firewall
Мониторинг и управление
  • Поддержка стандартных и расширенных SNMP MIB, RMONv1
  • Встроенный Zabbix agent
  • Аутентификация пользователей по локальной базе средствами протоколов RADIUS, TACACS+, LDAP
  • Защита от ошибок конфигурирования, автоматическое восстановление конфигурации. Возможность сброса конфигурации к заводским настройкам
  • Интерфейсы управления CLI
  • Поддержка Syslog
  • Монитор использования системных ресурсов
  • Ping, traceroute (IPv4/IPv6), вывод информации о пакетах в консоли
  • Обновление ПО, загрузка и выгрузка конфигурации по TFTP, SCP, FTP, SFTP, HTTP(S)
  • Поддержка NTP
  • Netflow v5/v9/v10 (экспорт статистики URL для HTTP, host для HTTPS)
  • Локальное управление через консольный порт RS-232 (RJ-45)
  • Удаленное управление, протоколы Telnet, SSH (IPv4/IPv6)
  • Вывод информации по сервисам/процессам
  • Локальное/удаленное сохранение конфигураций маршрутизатора
Функции контроля SLA
  • Eltex SLA
    Оценка параметров каналов связи:
    • Delay (one-way/two-way)
    • Jitter (one-way/two-way)
    • Packet loss (one-way/two-way)
    • Коэффициент ошибок в пакетах
    • Нарушение последовательности доставки пакетов
MPLS
  • Поддержка протокола LDP
  • Поддержка L2VPN VPWS
  • Поддержка L2VPN VPLS Martini Mode
  • Поддержка L2VPN VPLS Kompella Mode
  • Поддержка L3VPN MP-BGP
Физические характеристики и условия окружающей среды
  • Максимальная потребляемая мощность - 40 Вт
  • Питание:
    • 100–240 В AC, 50–60 Гц;
    • 36–72 В DC
    • до двух источников питания с возможностью горячей замены
  • Интервал рабочих температур - от 0 до +40 °С
  • Интервал температуры хранения - от -40 до +70 °С
  • Относительная влажность при эксплуатации - не более 80 %
  • Относительная влажность при хранении - от 10 до 95 %
  • Масса - 4,44 кг
  • Габариты (Ш × В × Г) - 430 × 43,6 × 275 мм
  • Срок службы не менее 15 лет


    Набор функций соответствует версии ПО 1.23.0
    1Активируется лицензией
    ESR-31
    PM160-220/12
    Модуль питания PM160-220/12, 220V AC, 160W
    PM100-48/12
    Модуль питания PM100-48/12, 48V DC, 100W
    Блок питания
    Блок питания
    Документация
    Документация
    Сертификат
    Сертификат
    Провод заземления
    Провод заземления
    Сертификаты на гарантию, замену, техподдержку
    Скачать регламенты
    Продление гарантийного обслуживания, ESR-31 (используется при покупке с новым оборудованием. Включена в т.ч. стандартная гарантия производителя - 1 год)
    [ для нового оборудования ]
    до 2 лет +15% от цены оборудования
    EW-ESR-31-2Y
    до 3 лет +25% от цены оборудования
    EW-ESR-31-3Y
    до 5 лет +40% от цены оборудования
    EW-ESR-31-5Y
    Продление гарантийного обслуживания, ESR-31 (используется при покупке для ранее приобретенного оборудования)
    [ для уже купленного оборудования ]
    на 1 год +12% от цены оборудования
    EW-ESR-31-1Y
    Сертификат на консультационные услуги по вопросам эксплуатации оборудования Eltex - ESR-31 - безлимитное количество обращений 8х5 (услуга оказывается по московскому времени)
    1 год +6% от цены оборудования
    SC-ESR-31-B-1Y
    3 года +15% от цены оборудования
    SC-ESR-31-B-3Y
    5 лет +32% от цены оборудования
    SC-ESR-31-B-5Y
    Сертификат на услугу по отправке оборудования на подмену на следующий рабочий день (next business shipping) в случае выхода из строя оборудования, ESR-31 (услуга оказывается при наличии действующей гарантии)
    1 год +30% от цены оборудования
    NBS-ESR-31-1Y
    3 годa +75% от цены оборудования
    NBS-ESR-31-3Y
    5 лет +93,75% от цены оборудования
    NBS-ESR-31-5Y
    Обучение в Академии Eltex
    Базовый курс Академии Eltex: Использование коммутаторов Eltex
    Базовый курс Академии Eltex: Использование маршрутизаторов Eltex
    Базовый курс Академии Eltex: Точки доступа Enterprise и Контроллер беспроводной сети Eltex
    [ESR] Настройка Route-based IPsec VPN
    IPsec – это набор протоколов, которые обеспечивают защиту передаваемых с помощью IP-протокола данных.

    Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

    Рисунок 1 - Схема сети.
    Рисунок 1 – Схема сети

    Задача: Настроить IPsec-туннель между R1 и R2.

    • R1 IP адрес - 120.11.5.1;
    • R2 IP адрес - 180.100.0.1;
    • IKE:
      группа Диффи-Хэллмана: 2;
      алгоритм шифрования: AES 128 bit;
      алгоритм аутентификации: MD5.
    • IPSec:
      алгоритм шифрования: AES 128 bit;
      алгоритм аутентификации: MD5.

    Решение:

    1. Конфигурирование R1

    Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

    esr# configure
    esr(config)# interface gi 1/0/1
    esr(config-if-gi)# ip address 120.11.5.1/24
    esr(config-if-gi)# security-zone untrusted
    esr(config-if-gi)# exit

    Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

    esr(config)# tunnel vti 1
    esr(config-vti)# local address 120.11.5.1
    esr(config-vti)# remote address 180.100.0.1
    esr(config-vti)# enable
    esr(config-vti)# exit

    Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

    esr(config)# object-group service ISAKMP
    esr(config-object-group-service)# port-range 500
    esr(config-object-group-service)# exit

    Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

    esr(config)# ip route 10.0.0.0/16 tunnel vti 1

    Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

    esr(config)# security ike proposal ike_prop1
    esr(config-ike-proposal)# dh-group 2
    esr(config-ike-proposal)# authentication algorithm md5
    esr(config-ike-proposal)# encryption algorithm aes128
    esr(config-ike-proposal)# exit

    Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

    esr(config)# security ike policy ike_pol1
    esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
    esr(config-ike-policy)# proposal ike_prop1
    esr(config-ike-policy)# exit

    Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

    esr(config)# security ike gateway ike_gw1
    esr(config-ike-gw)# ike-policy ike_pol1
    esr(config-ike-gw)# mode route-based
    esr(config-ike-gw)# bind-interface vti 1
    esr(config-ike-gw)# version v2-only
    esr(config-ike-gw)# exit

    Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

    esr(config)# security ipsec proposal ipsec_prop1
    esr(config-ipsec-proposal)# authentication algorithm md5
    esr(config-ipsec-proposal)# encryption algorithm aes128
    esr(config-ipsec-proposal)# exit

    Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

    esr(config)# security ipsec policy ipsec_pol1
    esr(config-ipsec-policy)# proposal ipsec_prop1
    esr(config-ipsec-policy)# exit

    Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

    esr(config)# security ipsec vpn ipsec1
    esr(config-ipsec-vpn)# mode ike
    esr(config-ipsec-vpn)# ike establish-tunnel immediate
    esr(config-ipsec-vpn)# ike gateway ike_gw1
    esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
    esr(config-ipsec-vpn)# enable
    esr(config-ipsec-vpn)# exit
    esr(config)# exit

    2. Конфигурирование R2

    Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

    esr# configure
    esr(config)# interface gi 1/0/1
    esr(config-if)# ip address 180.100.0.1/24
    esr(config-if)# security-zone untrusted
    esr(config-if)# exit

    Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

    esr(config)# tunnel vti 1
    esr(config-vti)# remote address 120.11.5.1
    esr(config-vti)# local address 180.100.0.1
    esr(config-vti)# enable
    esr(config-vti)# exit

    Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

    esr(config)# object-group service ISAKMP
    esr(config-addr-set)# port-range 500
    esr(config-addr-set)# exit

    Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

    esr(config)# ip route 10.0.0.0/16 tunnel vti 1

    Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

    esr(config)# security ike proposal ike_prop1
    esr(config-ike-proposal)# dh-group 2
    esr(config-ike-proposal)# authentication algorithm md5
    esr(config-ike-proposal)# encryption algorithm aes128
    esr(config-ike-proposal)# exit

    Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

    esr(config)# security ike policy ike_pol1
    esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
    esr(config-ike-policy)# proposal ike_prop1
    esr(config-ike-policy)# exit

    Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

    esr(config)# security ike gateway ike_gw1
    esr(config-ike-gw)# ike-policy ike_pol1
    esr(config-ike-gw)# mode route-based
    esr(config-ike-gw)# bind-interface vti 1
    esr(config-ike-gw)# version v2-only
    esr(config-ike-gw)# exit

    Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec туннеля:

    esr(config)# security ipsec proposal ipsec_prop1
    esr(config-ipsec-proposal)# authentication algorithm md5
    esr(config-ipsec-proposal)# encryption algorithm aes128
    esr(config-ipsec-proposal)# exit

    Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

    esr(config)# security ipsec policy ipsec_pol1
    esr(config-ipsec-policy)# proposal ipsec_prop1
    esr(config-ipsec-policy)# exit

    Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

    esr(config)# security ipsec vpn ipsec1
    esr(config-ipsec-vpn)# mode ike
    esr(config-ipsec-vpn)# ike establish-tunnel immediate
    esr(config-ipsec-vpn)# ike gateway ike_gw1
    esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
    esr(config-ipsec-vpn)# enable
    esr(config-ipsec-vpn)# exit
    esr(config)# exit

    Состояние туннеля можно посмотреть командой:

    esr# show security ipsec vpn status ipsec1

    Конфигурацию туннеля можно посмотреть командой:

    esr# show security ipsec vpn configuration ipsec1

    Источник:
    docs.eltex-co.ru

    [ESR] BGP + Route-map
    Задача: Настроить BGP c AS 2500 на маршрутизаторе ESR и установить соседство с AS20;

    AS2500

    Задача:

    • Настроить BGP c AS 2500 на маршрутизаторе ESR и установить соседство с AS20;
    • Отфильтровать на R2 из принмаемого маршрута 198.51.100.0/24 сеть, префикс которой соответствует 28
    • Отфильтровать на R2 из принмаемого маршрута 203.0.113.0/24 сеть, префикс которой меньше или соответствует 30
    • Отфильтровать на R2 из принмаемого маршрута 203.0.100.0/20 сеть, префикс которой больше или соответствует 24
    • Задать каждой сети приоритет со значение local-preference 200

     

    !!! Важно: при использовании eBGP для анонса маршрутной информации  необходимо дать разрешающее правило с помощью route-map либо prefix-list, пример:

     

    route-map BGP_OUT
      rule 1
        action permit
      exit
    exit
    router bgp 1
      address-family ipv4
        neighbor 192.168.1.1
          remote-as 2
          route-map BGP_OUT out
          enable
        exit
        enable
      exit
    exit

     

    Решение:

    Настроим BGP на ESR:

     

        esr-200# configure
        esr-200(config)# router bgp 2500
        esr-200(config-bgp)# address-family ipv4
        esr-200(config-bgp-af)# neighbor 185.0.0.2
        esr-200(config-bgp-neighbor)# remote-as 20
        esr-200(config-bgp-neighbor)# update-source 185.0.0.1
        esr-200(config-bgp-neighbor)# enable
        esr-200(config-bgp-neighbor)# exit
        esr-200(config-bgp-af)# enable
        esr-200(config-bgp-af)# exit
        esr-200(config-bgp)# exit

       

     Далее создадим необходимые правила для фильтрации маршрутов:

     

        esr-200(config)# route-map in
        esr-200(config-route-map)# rule 10
        esr-200(config-route-map-rule)# match ip address 198.51.100.0/24 eq 28
        esr-200(config-route-map-rule)# action set local-preference 200
        esr-200(config-route-map-rule)# action permit
        esr-200(config-route-map-rule)# exit
        esr-200(config-route-map)#rule 20
        esr-200(config-route-map-rule)# match ip address 203.0.113.0/24 ge 30
        esr-200(config-route-map-rule)# action set local-preference 200
        esr-200(config-route-map-rule)# action permit
        esr-200(config-route-map-rule)# exit
        esr-200(config-route-map)#rule 30
        esr-200(config-route-map-rule)# match ip address 203.0.100.0/20 le 24
        esr-200(config-route-map-rule)# action set local-preference 200
        esr-200(config-route-map-rule)# action permit
        esr-200(config-route-map-rule)# exit
        esr-200(config-route-map-rule)# exit
        esr-200(config-route-map)# exit

     

    Теперь осталось прикрепить route-map к BGP:

     

        esr-200(config)# router bgp 2500
        esr-200(config-bgp)# address-family ipv4
        esr-200(config-bgp-af)# neighbor 185.0.0.2
        esr-200(config-bgp-neighbor)# route-map in in
        esr-200(config-bgp-neighbor)# end
        esr-200# commit
        esr-200# confirm

    Источник:
    docs.eltex-co.ru

    [ESR] Bidirectional Forwarding Detection (BFD) для OSFP и BGP
    Bidirectional Forwarding Detection protocol (BFD) — протокол, созданный для быстрого обнаружения неисправностей линков.

    Два устройства согласовывают и устанавливают BFD сессию, отправляют друг другу hello-сообщения, Если hello-сообщения перестают поступать от соседа, BFD-сессия разрывается и система оповещается о неполадках в коммуникациях.

    BFD может определить неисправность линка менее чем за 1 секунду (для маршрутизаторов Eltex ESR этот параметр можно регулировать в диапазоне от 200 до 65535 миллисекунд).

     

    В реализации ПО начиная с версии 1.4.0 включительно, поддержаны протоколы BGP и OSPF и статических маршрутов.

    В разработке находится реализация использования BFD для статических маршрутов.

     

    Настройка механизма BFD сводится к двум шагам:

    ШАГ 1. Настройка параметров BFD производится как в глобальном режиме, так и в режимах конфигурирования интерфейсов и туннелей (если параметры различаются по направлениям):

    # configure
    # configure-if-view
    # configure-tunnel-view
    [no] ip bfd min-rx-interval <TIME> - Минимальный интервал приёма для обнаружения ошибки
    [no] ip bfd min-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки
    [no] ip bfd idle-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки, когда сессия неактивна
    [no] ip bfd multiplier <MULTIPLIER> - Число пропущенных пакетов, после которого сессия будет объявлена неактивной
    [no] ip bfd passive - Не отправлять BFD-пакеты, пока не будет получен пакет от соседнего устройства

    MULTIPLIER := 5 .. 100
    TIME := время в миллисекундах 200 .. 65535

    Если пропустить этот шаг, то будут использоваться параметры по умолчанию:

    Minimum RX interval: 200 ms
    Minimum TX interval: 200 ms
    Idle TX interval: 1000 ms
    Multiplier: 5 packets
    Passive: No

    ШАГ 2. Активация протокола BFD.

    Для протокола BGP производится в режиме конфигурирования BGP соседа:

    # bgp-neighbor-view
    [no] bfd enable - Включение/Выключение BFD для данного соседа BGP

    Обязательно при использовании BFD указываем upadate-source для указания source IP процессу BFD:

    # update-source <A.B.C.D>
    [no] update-source - указать/убрать адрес источника для BFD процесса

    Для протокола OSPF  BFD активировать необходимо в режиме конфигурирования интерфеса, на котором запущен протокол OSPF:

    # configure-if-view
    [no] ip ospf bfd-enable

    Для статических маршрутов активация BFD происходит указанием после указания шлюза:

    # configure-view
    [no] ip route <A.B.C.D/N> <IP_GATEWAY> bfd

     

    После применения и подверждения конфигурации протокол BFD запустится в работу:

    esr #commit

    esr #confirm

    Текущие значение параметров BFD для глобального режима:

    esr# show ip bfd
    Minimum RX interval: 200 ms
    Minimum TX interval: 200 ms
    Idle TX interval: 1000 ms
    Multiplier: 5 packets
    Passive: No

    Текущие значение параметров BFD для конкретного интерфеса и туннеля:

    esr# sh ip bfd interface gigabitethernet 1/0/1
    Minimum RX interval: 200 ms
    Minimum TX interval: 200 ms
    Idle TX interval: 1000 ms
    Multiplier: 5 packets
    Passive: No

    esr# sh ip bfd interface gre 1
    Minimum RX interval: 200 ms
    Minimum TX interval: 200 ms
    Idle TX interval: 1000 ms
    Multiplier: 5 packets
    Passive: No

    Источник:
    docs.eltex-co.ru

    [ESR] BRAS без SoftWLC
    Задача: настроить BRAS без поддержки SoftWLC.

    Решение:

    Шаг 1.  Настройка FreeRADIUS - сервера.

    Для FreeRADIUS сервера нужно задать подсеть, из которой могут приходить запросы и добавить список пользователей. Для этого в файл users в директории с файлами конфигурации FreeRADIUS сервера нужно добавить:

    Профиль пользователя:

    <MACADDR> Cleartext-Password := <MACADDR>

    # Имя пользователя

    User-Name = <USER_NAME>,

    # Максимальное время жизни сессии

    Session-Timeout = <SECONDS>,

    # Максимальное время жизни сесиии при бездействии пользователя

    Idle-Timeout = <SECONDS>,

    # Время на обновление статистики по сессии

    Acct-Interim-Interval = <SECONDS>,

    # Имя сервиса для сессии (A - сервис включен, N - сервис выключен)

    Cisco-Account-Info = "{A|N}<SERVICE_NAME>"

     

    Профиль сервиса:

    <SERVICE_NAME> Cleartext-Password := <MACADDR>

    # Соответствует имени class-map в настройках ESR

    Cisco-AVPair = "subscriber:traffic-class=<CLASS_MAP>",

    # Действие, которое применяет ESR к трафику (permit, deny, redirect)

    Cisco-AVPair = "subscriber:filter-default-action=<ACTION>",

    # Возможность прохождения IP потоков (enabled-uplink, enabled-downlink, enabled, disabled)

    Cisco-AVPair = "subscriber:flow-status=<STATUS>"

    В файл clients.conf нужно добавить подсеть, в которой находится ESR:

    client ESR {

    ipaddr = <SUBNET>

    secret = <RADIUS_KEY>

    }

     

    Шаг 2.  Настройка ESR - нужно сконфигурировать:

    radius-server host <IP_ADDRESS>
    key ascii-text <RADIUS_KEY>
    exit

    aaa radius-profile bras_radius
    radius-server host <IP_ADDRESS>
    exit

    das-server das
    key ascii-text <RADIUS_KEY>
    exit

    aaa das-profile bras_das
    das-server das
    exit

    ip access-list extended user_acl
    rule 1
    action permit
    enable
    exit
    exit

    subscriber-control
    aaa das-profile bras_das
    aaa sessions-radius-profile bras_radius
    nas-ip-address <IP_ADDRESS>
    session mac-authentication
    default-service default-action redirect <URL>
    exit
    enable
    exit

     

    На интерфейсах, для которых требуется работа BRAS настроить (для успешного запуска требуется как минимум один интерфейс):

    service-subscriber-control {object-group <NAME> | any}
    location <L2LOCATION>

     

    !!! Настройка действие фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:

    1. Создаем локальный список URL (можно указать свои URL, на которые неавторизованные пользователи смогут проходить без авторизации и без редиректа, например локальные сервисы вашей сети и ваш сайт):

    object-group url defaultserv
      url http://eltex.nsk.ru
      url http://ya.ru
      url https://ya.ru
    exit

    1. Добавим действие фильтрации для локального списка URL в BRAS:

    subscriber-control
      default-service
        filter-name local defaultserv
        filter-action permit
    end

    Теперь неавторизированные пользователи будут иметь доступ к URL defaultserv без редирект, а при попытке пройти на другие сайты для них отработает редирект:

    default-service
        default-action redirect http://192.168.16.54:8080/eltex_portal/

     

    Пример настройки:

    Дано:

    Шаг 1. Настройка FreeRADIUS - сервера:

    подсеть с клиентами 10.10.0.0/16, подсеть для работы с FreeRADIUS сервером 192.168.16.140/23. Настраиваем FreeRADIUS сервер. В файл «clients.conf» добавляем строки:

    client BRAS {

    ipaddr = 192.168.16.140

    secret = password

    }

     

    В файл «users» добавляем строки (вместо <MAC> нужно указать MAC адрес клиента):

    "00-00-00-33-96-3D" Cleartext-Password := "00-00-00-33-96-3D"
    User-Name = "Bras_user",
    Session-Timeout = 259200,
    Idle-Timeout = 259200,
    Cisco-AVPair += "subscriber:policer-rate-in=1000",
    Cisco-AVPair += "subscriber:policer-rate-out=1000",
    Cisco-AVPair += "subscriber:policer-burst-in=188",
    Cisco-AVPair += "subscriber:policer-burst-out=188",
    Cisco-Account-Info = "AINTERNET"

    INTERNET Cleartext-Password := "INTERNET"
    User-Name = "INTERNET",
    Cisco-AVPair = "subscriber:traffic-class=INTERNET",
    Cisco-AVPair += "subscriber:filter-default-action=permit"

    Для traffic-class в настройках сервиса нужно указать access-list из настроек ESR. Он нужен для определения какой трафик пользователя считать за трафик этого сервиса.

    Шаг 2. Конфигурация ESR:

     

    configure

    object-group url defaultserv
    url http://eltex.nsk.ru
    url http://ya.ru
    url https://ya.ru
    exit

     

    radius-server host 192.168.16.54
    key ascii-text encrypted 8CB5107EA7005AFF
    source-address 192.168.16.140
    exit
     aaa radius-profile bras_radius
    radius-server host 192.168.16.54
     exit
     aaa radius-profile bras_radius_servers
     radius-server host 192.168.16.54
     exit
    das-server das
    key ascii-text encrypted 8CB5107EA7005AFF
     exit
     aaa das-profile bras_das
     das-server das
    exit

     

     vlan 10
     exit

     

     ip access-list extended BYPASS
    rule 1
     action permit
    match protocol udp
     match source-port 68
     match destination-port 67
    enable
     exit
     rule 2
     action permit
     match protocol udp
     match destination-port 53
    enable
    exit
     rule 3
     exit
     exit

     

    ip access-list extended INTERNET
    rule 1
     action permit
    enable
     exit
     exit

     

    ip access-list extended WELCOME
    rule 10
    action permit
    match protocol tcp
    match destination-port 443
    enable
    exit
    rule 20
    action permit
    match protocol tcp
    match destination-port 8443
    enable
    exit
    rule 30
    action permit
    match protocol tcp
    match destination-port 80
    enable
    exit
    rule 40
    action permit
    match protocol tcp
    match destination-port 8080
    enable
    exit
    exit

     

     subscriber-control
    aaa das-profile bras_das
    aaa sessions-radius-profile bras_radius
    aaa services-radius-profile bras_radius_servers
    nas-ip-address 192.168.16.140
    session mac-authentication
    bypass-traffic-acl BYPASS
    default-service
    class-map BYPASS
    filter-name local defaultserv
    filter-action permit
    default-action redirect http://192.168.16.54/eltex_portal
    session-timeout 121
    exit
    enable
    exit

     

     bridge 10
    vlan 10
    ip firewall disable
     ip address 10.10.0.1/16
     ip helper-address 192.168.16.54
    service-subscriber-control any
    location USER
     protected-ports
     protected-ports exclude vlan
    enable
     exit
     interface gigabitethernet 1/0/2
    ip firewall disable
    ip address 192.168.16.140/23
     exit
     interface gigabitethernet 1/0/3.10
     bridge-group 10
    ip firewall disable
     exit
     interface gigabitethernet 1/0/4
    ip firewall disable
     ip address 30.30.30.2/24
     exit
     interface tengigabitethernet 1/0/1
    ip firewall disable
     exit
     interface tengigabitethernet 1/0/1.10
     bridge-group 10
    exit
     interface tengigabitethernet 1/0/1.20
     ip firewall disable
    ip address 20.20.20.1/24
     exit
    interface tengigabitethernet 1/0/1.30
    bridge-group 10
     exit
     interface tengigabitethernet 1/0/1.40
     bridge-group 10
    exit

     

    nat source
    ruleset factory
    to interface gigabitethernet 1/0/2
    rule 10
    description "replace 'source ip' by outgoing interface ip address"
    match source-address any
    action source-nat interface
    enable
    exit
    exit

     

     ip route 0.0.0.0/0 192.168.16.145

     

     ip telnet server

    Источник:
    docs.eltex-co.ru

    [ESR] Destanation NAT + NAT Hairpinning
    В сети R1 имеется web-сервер. Необходимо что бы любой пользователь интернета имели доступ к этому ресурсу. Для этого необходимо перенаправить запросы с IP 185.185.11.54 на 192.168.0.5. На R1 уже описаны зоны безопасности trusted (192.168.0.1) и untrusted (185.185.11.54).

    Destanation NAT

    Для начала создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.

    • Net_pub – профиль адресов публичной сети;
    • Srv_http – профиль портов;
    • Server_ip – профиль адресов локальной сети.

     

        esr-100(config)# object-group network Net_pub
        esr-100(config-object-group-network)# ip address 185.185.11.54
        esr-100(config-object-group-network)# exit
        esr-100(config)# object-group service Srv_http
        esr-100(config-object-group-service)# port-range 80
        esr-100(config-object-group-service)# exit
        esr-100(config)# object-group network Server_ip
       esr-100(config-object-group-network)# ip address 192.168.0.5
        esr-100(config-object-group-network)# exit

     

    Далее приступим к настройке самого NAT. Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 185.185.11.54 из внешней сети.

     

        esr-100(config)# nat destination
        esr-100(config-dnat)# pool Server_ip
        esr-100(config-dnat-pool)# ip address 192.168.0.5
        esr-100(config-dnat-pool)# ip port 80
        esr-100(config-dnat-pool)# exit

     

    Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «untrusted». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».

     

        esr-100(config-dnat)# ruleset DNAT
        esr-100(config-dnat-ruleset)# from zone untrusted
        esr-100(config-dnat-ruleset)# rule 1
        esr-100(config-dnat-rule)# match destination-address Net_pub
        esr-100(config-dnat-rule)# match protocol tcp
        esr-100(config-dnat-rule)# match destination-port Srv_http
        esr-100(config-dnat-rule)# action destination-nat pool Server_ip
        esr-100(config-dnat-rule)# enable
        esr-100(config-dnat-rule)# exit
        esr-100(config-dnat-ruleset)# exit
        esr-100(config-dnat)# exit

     

    Для пропуска трафика, идущего из зоны «untrusted» в «trusted», создадим соответствующее правило. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP» и прошедший преобразование DNAT.

     

        esr-100(config)# security zone-pair untrusted trusted
        esr-100(config-zone-pair)# rule 1
        esr-100(config-zone-pair-rule)# match source-address any
        esr-100(config-zone-pair-rule)# match destination-address Server_ip
        esr-100(config-zone-pair-rule)# match protocol any
        esr-100(config-zone-pair-rule)# match destination-nat
        esr-100(config-zone-pair-rule)# action permit
        esr-100(config-zone-pair-rule)# enable
        esr-100(config-zone-pair-rule)# exit
        esr-100(config-zone-pair)# exit
        esr-100# commit
        esr-100# confirm

     

    Теперь R1 будет перенаправлять обращегия как требуется. Команды для просмотра состояния и настройки NAT:

     

        esr-100# show ip nat destination pools
        esr-100# show ip nat destination rulesets
        esr-100# show ip nat proxy-arp
        esr-100# show ip nat translations

     

    NAT Hairpinning

    На рисунке в начале статьи видно, что в локальной сети R1 имеются свои клиенты(client), которые тоже пользуются web-сервером. Однако когда client введет в браузере доменное имя сервера, DNS перенаправит его на адрес 185.185.11.54. Для этого настроим NAT Hairpinning.

    Добавим еще один профиль для внутренней сети.

     

        esr-100(config)# object-group network LAN
        esr-100(config-object-group-network)# ip prefix 192.168.0.0/24
        esr-100(config-object-group-network)# exit

     

    Добавим еще один ruleset в конфигурацию DNAT.

     

        esr-100(config)# nat destination
        esr-100(config-dnat)# ruleset loopback
        esr-100(config-dnat-ruleset)# from zone trusted
        esr-100(config-dnat-ruleset)# rule 10
        esr-100(config-dnat-rule)# match protocol tcp
        esr-100(config-dnat-rule)# match destination-address Net_pub
        esr-100(config-dnat-rule)# match destination-port Srv_http
        esr-100(config-dnat-rule)# action destination-nat pool Server_ip
        esr-100(config-dnat-rule)# enable
        esr-100(config-dnat-rule)# exit
        esr-100(config-dnat-ruleset)# exit
        esr-100(config-dnat)# exit

     

    Сконфигурируем Source NAT.

     

        esr-100(config)# nat source
        esr-100(config-snat)# ruleset loopback
        esr-100(config-snat-ruleset)# to zone trusted
        esr-100(config-snat-ruleset)# rule 10
        esr-100(config-snat-rule)# match source-address LAN
        esr-100(config-snat-rule)# action source-nat interface
        esr-100(config-snat-rule)# enable
        esr-100(config-snat-rule)# exit
        esr-100(config-snat-ruleset)# exit
        esr-100(config-snat)# exit
        esr-100(config)# exit
        esr-100# commit
        esr-100# confirm

     

    Теперь пользователи локальной сети R1 будут попадать на web-сервер по внутреннему адресу.

    Источник:
    docs.eltex-co.ru

    [ESR] DHCP Relay
    В случае, если DHCP-клиент не имеет возможности обратиться к DHCP-серверу напрямую (например, если они находятся в разных широковещательных доменах), используется так называемый DHCP-ретранслятор (relay agent), который обрабатывает клиентский широковещательный DHCP-запрос и отправляет его на DHCP-сервер в виде unicast пакета, а полученный от DHCP-сервера ответ, в свою очередь, перенаправляет DHCP-клиенту.

    Рисунок 1 - Схема сети

     

    Предварительно необходимо сконфигурировать интерфейсы:

    esr(config)# interface gigabitethernet 1/0/1

    esr(config-if-gi)# ip address 10.0.0.1/24

    esr(config)# interface gigabitethernet 1/0/2

    esr(config-if-gi)# ip address 192.168.0.1/24

     

    Настройки DHCP-ретранслятора на ESR сводятся к:

     

    1. Включению DHCP relay глобально на устройстве командой

     

    esr(config)# ip dhcp-relay

     

    2. Указанию на интерфейсе со стороны DHCP-клинта IP адреса DHCP-сервера, на который будут перенаправляться клиентские запросы.

     

    esr(config)# interface gigabitethernet 1/0/2

    esr(config-if-gi)# ip helper-address 10.0.0.2

     

    Чтобы изменения вступили в силу, необходимо ввести следующие команды:

    esr# commit

    Configuration has been commited

    esr# confirm

     Configuration has been confirmed

    Источник:
    docs.eltex-co.ru

    [ESR] Eltex SLA (Service Level Agreement)
    Eltex SLA (Service Level Agreement) – двухсторонний протокол активного измерения определяет гибкий метод измерения производительности и качества работы IP между двумя сервисными маршрутизаторами Eltex ESR, поддерживающими технологию SLA.

    Основная функция SLA - выполнение тестов, нацеленных на вычисление параметров канала связи:

    • односторонние задержки;
    • круговые задержки;
    • джиттер;
    • потери пакетов;
    • изменение порядка следования пакетов.

     

    Протокол IP SLA состоит из 2х фаз:

    • фазы контроля;
    • фазы измерений.

     

    Предполагает наличие 2х ролей:

    • sender (инициирует запуск теста с установленными параметрами);
    • responder (ожидает входящих соедиений).

    Пример конфигурации

    Конфигурация ESR-SENDER

     

    interface gigabitethernet 1/0/1
       ip firewall disable
       ip address 12.0.0.1/24
    exit

    ip route 0.0.0.0/0 12.0.0.2

    clock timezone gmt +7
    ntp enable
    ntp server 192.168.1.1
      minpoll 4
    exit

    ip sla logging
    ip sla logging level error
    ip sla
    ip sla test 1
      udp-jitter 24.0.0.3 20001 source-ip 12.0.0.1 control enable num-packets 100 interval 20
      frequency 25
      packet-size 64
      dscp 30
      cos 3
      timeout 4000
      thresholds losses high 15
      thresholds losses forward high 5
      thresholds losses reverse high 10
      thresholds jitter forward high 7
      thresholds jitter reverse high 15
      thresholds delay high 150
      thresholds delay forward high 100
      thresholds delay reverse high 50
      enable
    exit
    ip sla schedule 1 life forever start-time now

    Конфигурация ESR-RESPONDER

    interface gigabitethernet 1/0/1
      ip firewall disable
      ip address 24.0.0.3/24
      ip sla responder eltex
    exit

    ip route 0.0.0.0/0 24.0.0.2

    clock timezone gmt +7
    ntp enable
    ntp server 192.168.1.1
      minpoll 4
    exit

    Просмотр статистики

    ESR# show ip sla test statistics 1
    Test number: 1
    Transmitted packets: 100
    Lost packets: 8 (8%)
    Lost packets in forward direction: 4 (4%)
    Lost packets in reverse direction: 4 (4%)
    One-way delay forward min/avg/max: 29/52/72 milliseconds
    One-way delay reverse min/avg/max: 29/52/72 milliseconds
    One-way jitter forward min/avg/max: 6/11/12 milliseconds
    One-way jitter reverse min/avg/max: 6/11/12 milliseconds
    Two-way delay min/avg/max: 58/104/145 milliseconds
    Two-way jitter min/avg/max: 13/22/25 milliseconds
    Duplicate packets: 0
    Out of sequence packets in forward direction: 0
    Out of sequence packets in reverse direction: 0

     

    Мониторинг

    Все сообщения о превышении порог для тестовых потоков либо снижении уровня ниже допустимого занчения журналируются.

    1) SYSLOG-сообщения можно перенаправлять на SYSLOG-сервер.

    Конфигурация:
    syslog host test 192.168.1.1 debug udp 514

    Пример сообщений SYSLOG:

    YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses high for ip sla 1: 8 > 1
    YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse high for ip sla 1: 8 > 1
    YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses OK for ip sla 1: 8 > 1
    YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse OK for ip sla 1: 8 > 1
    YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter high for ip sla 1: 12 > 1
    YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter forward high for ip sla 1: 12 > 1
    YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse high for ip sla 1: 12 > 1
    YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter OK for ip sla 1: 0 < 10
    YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse OK for ip sla 1: 0 < 15

    2) Опрос по SNMP.

    Для IP SLA доступны MIB-OID:

    ELTEX-ESR-MIB.mib

    ELTEX-ESR-IPSLA-MIB.mib

    Конфигурация:

    snmp-server
    snmp-server community "publpubl" rw
    snmp-server host 192.168.1.1
    exit

    Пример снятия статистики по SNMP:

    Name/OID: eltEsrIpSlaStatTestTransmittedPackets.1; Value (Gauge): 100
    Name/OID: eltEsrIpSlaStatTestLostPackets.1; Value (Gauge): 8
    Name/OID: eltEsrIpSlaStatTestLostPacketsForward.1; Value (Gauge): 4
    Name/OID: eltEsrIpSlaStatTestLostPacketsReverse.1; Value (Gauge): 4
    Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMin.1; Value (Gauge): 29
    Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMax.1; Value (Gauge): 52
    Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardAvg.1; Value (Gauge): 72
    Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMin.1; Value (Gauge): 29
    Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMax.1; Value (Gauge): 52
    Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseAvg.1; Value (Gauge): 72
    Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMin.1; Value (Gauge): 6
    Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMax.1; Value (Gauge): 11
    Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardAvg.1; Value (Gauge): 12
    Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMin.1; Value (Gauge): 6
    Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMax.1; Value (Gauge): 11
    Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseAvg.1; Value (Gauge): 12
    Name/OID: eltEsrIpSlaStatTestTwoWayDelayMin.1; Value (Gauge): 58
    Name/OID: eltEsrIpSlaStatTestTwoWayDelayMax.1; Value (Gauge): 104
    Name/OID: eltEsrIpSlaStatTestTwoWayDelayAvg.1; Value (Gauge): 145
    Name/OID: eltEsrIpSlaStatTestTwoWayJitterMin.1; Value (Gauge): 13
    Name/OID: eltEsrIpSlaStatTestTwoWayJitterMax.1; Value (Gauge): 22
    Name/OID: eltEsrIpSlaStatTestTwoWayJitterAvg.1; Value (Gauge): 025
    Name/OID: eltEsrIpSlaStatTestDuplicatePackets.1; Value (Gauge): 0
    Name/OID: eltEsrIpSlaStatTestOutOfSequenceForward.1; Value (Gauge): 0
    Name/OID: eltEsrIpSlaStatTestOutOfSequenceReverse.1; Value (Gauge): 0

    3) SYSLOG в SNMP-Traps.

    Конфигурация

    snmp-server host 192.168.1.1
      source-address 12.0.0.1
    exit
    snmp-server enable traps syslog

     

     

    Источник:
    docs.eltex-co.ru

    [ESR] ESR-1000. Порты XG (10G) уходят в down после конфигурации LACP
    Проблема: Порты XG в down после конфигурирования LACP на ESR-1000

    Решение: По умолчанию на port-channel установлен режим: speed 1000M, необходимо выставить: speed 10Gесли в port-channel включаем XG интерфейсы.

     

    esr(config)# interface port-channel 1
    esr(config-port-channel)# speed 10G

    Изменения конфигурации вступают в действие после применения:

    esr# commit
    Configuration has been successfully committed
    esr# confirm
    Configuration has been successfully confirmed

    Источник:
    docs.eltex-co.ru

    [ESR] GRE over IPSec
    Настроить GRE over IPSec туннель между ESR1 и ESR2.

    Данные:

    IP-address интерфейса ESR1 - 180.10.0.1/30
    P-address интерфейса ESR2 - 80.66.0.1/30

    Локальные подсети:

    LAN1: 1.1.1.0/24
    LAN2: 2.2.2.0/24

    Параметры IKE:

    алгоритм шифрования: AES 128 bit;
    алгоритм аутентификации: MD5;
    группа Диффи-Хэллмана: 2.

    Параметры IPSec:

    алгоритм шифрования: AES 128 bit;
    алгоритм аутентификации: MD5;
    группа Диффи-Хэллмана: 2.

     

    Решение:

    Конфигурирование ESR1

    Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

    ESR1(config)# interface gigabitethernet 1/0/1
    ESR1(config-if-gi)# security-zone untrusted
    ESR1(config-if-gi)# ip address 180.10.0.1/30
    ESR1(config-if-gi)# exit

    Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:

    ESR1(config)# tunnel gre 1
    ESR1(config-gre)# ttl 16
    ESR1(config-gre)# security-zone trusted
    ESR1(config-gre)# local address 180.10.0.1
    ESR1(config-gre)# remote address 80.66.0.1
    ESR1(config-gre)# ip address 10.10.10.1/30
    ESR1(config-gre)# enable
    ESR1(config-gre)# exit

    Создадим статический маршрут для подсети 80.66.0.0/30:

    ESR1(config)# ip route 80.66.0.0/30 180.10.0.2

    Создадим статический маршрут подсети LAN2 - 2.2.2.0/24 через tunnel gre 1:

    ESR1(config)# ip route 2.2.2.0/24 tunnel gre 1

    Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

    ESR1(config)# security ike proposal ike_prop1
    ESR1(config-ike-proposal)# authentication algorithm md5
    ESR1(config-ike-proposal)# encryption algorithm aes128
    ESR1(config-ike-proposal)# dh-group 2
    ESR1(config-ike-proposal)# exit

    Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

    ESR1(config)# security ike policy ike_pol1
    ESR1(config-ike-policy)# pre-shared-key ascii-text password
    ESR1(config-ike-policy)# proposal ike_prop1
    ESR1(config-ike-policy)# exit

    Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

    ESR1(config)# security ike gateway ike_gw1
    ESR1(config-ike-gw)# ike-policy ike_pol1
    ESR1(config-ike-gw)# local address 180.10.0.1
    ESR1(config-ike-gw)# local network 180.10.0.1/32 protocol gre
    ESR1(config-ike-gw)# remote address 80.66.0.1
    ESR1(config-ike-gw)# remote network 80.66.0.1/32 protocol gre
    ESR1(config-ike-gw)# mode policy-based
    ESR1(config-ike-gw)# exit

    Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

    ESR1(config)# security ipsec proposal ipsec_prop1
    ESR1(config-ipsec-proposal)# authentication algorithm md5
    ESR1(config-ipsec-proposal)# encryption algorithm aes128
    ESR1(config-ipsec-proposal)# pfs dh-group 2
    ESR1(config-ipsec-proposal)# exit

    Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

    ESR1(config)# security ipsec policy ipsec_pol1
    ESR1(config-ipsec-policy)# proposal ipsec_prop1
    ESR1(config-ipsec-policy)# exit

    Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

    ESR1(config)# security ipsec vpn ipsec1
    ESR1(config-ipsec-vpn)# mode ike
    ESR1(config-ipsec-vpn)# ike establish-tunnel route
    ESR1(config-ipsec-vpn)# ike gateway ike_gw1
    ESR1(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
    ESR1(config-ipsec-vpn)# enable
    ESR1(config-ipsec-vpn)# exit

    Дополнительно в security zone-pair untrusted self необходимо разрешить протоколы для GRE over IPSec туннеля:

    ESR1(config)# security zone-pair untrusted self
    ESR1(config-zone-pair)# rule 10
    ESR1(config-zone-pair-rule)# action permit
    ESR1(config-zone-pair-rule)# match protocol gre
    ESR1(config-zone-pair-rule)# enable
    ESR1(config-zone-pair-rule)# exit
    ESR1(config-zone-pair)# rule 11
    ESR1(config-zone-pair-rule)# action permit
    ESR1(config-zone-pair-rule)# match protocol esp
    ESR1(config-zone-pair-rule)# enable
    ESR1(config-zone-pair-rule)# exit
    ESR1(config-zone-pair)# rule 12
    ESR1(config-zone-pair-rule)# action permit
    ESR1(config-zone-pair-rule)# match protocol ah
    ESR1(config-zone-pair-rule)# enable
    ESR1(config-zone-pair-rule)# exit
    ESR1(config-zone-pair)# exit

     

    Конфигурирование ESR2

    Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

    ESR2(config)# interface gigabitethernet 1/0/1
    ESR2(config-if-gi)# security-zone untrusted
    ESR2(config-if-gi)# ip address 80.66.0.1/30
    ESR2(config-if-gi)# exit

    Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:

    ESR2(config)# tunnel gre 1
    ESR2(config-gre)# ttl 16
    ESR2(config-gre)# security-zone trusted
    ESR2(config-gre)# local address 80.66.0.1
    ESR2(config-gre)# remote address 180.10.0.1
    ESR2(config-gre)# ip address 10.10.10.2/30
    ESR2(config-gre)# enable
    ESR2(config-gre)# exit

    Создадим статический маршрут для подсети 180.10.0.0/30:

    ESR2(config)# ip route 180.10.0.0/30 80.66.0.2

    Создадим статический маршрут подсети LAN1 - 1.1.1.0/24 через tunnel gre 1:

    ESR2(config)# ip route 1.1.1.0/24 tunnel gre 1

    Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

    ESR2(config)# security ike proposal ike_prop1
    ESR2(config-ike-proposal)# authentication algorithm md5
    ESR2(config-ike-proposal)# encryption algorithm aes128
    ESR2(config-ike-proposal)# dh-group 2
    ESR2(config-ike-proposal)# exit

    Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

    ESR2(config)# security ike policy ike_pol1
    ESR2(config-ike-policy)# pre-shared-key ascii-text password
    ESR2(config-ike-policy)# proposal ike_prop1
    ESR2(config-ike-policy)# exit

    Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

    ESR2(config)# security ike gateway ike_gw1
    ESR2(config-ike-gw)# ike-policy ike_pol1
    ESR2(config-ike-gw)# local address 80.66.0.1
    ESR2(config-ike-gw)# local network 80.66.0.1/32 protocol gre
    ESR2(config-ike-gw)# remote address 180.10.0.1
    ESR2(config-ike-gw)# remote network 180.10.0.1/32 protocol gre
    ESR2(config-ike-gw)# mode policy-based
    ESR2(config-ike-gw)# exit

    Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

    ESR2(config)# security ipsec proposal ipsec_prop1
    ESR2(config-ipsec-proposal)# authentication algorithm md5
    ESR2(config-ipsec-proposal)# encryption algorithm aes128
    ESR2(config-ipsec-proposal)# pfs dh-group 2
    ESR2(config-ipsec-proposal)# exit

    Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

    ESR2(config)# security ipsec policy ipsec_pol1
    ESR2(config-ipsec-policy)# proposal ipsec_prop1
    ESR2(config-ipsec-policy)# exit

    Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

    ESR2(config)# security ipsec vpn ipsec1
    ESR2(config-ipsec-vpn)# mode ike
    ESR2(config-ipsec-vpn)# ike establish-tunnel route
    ESR2(config-ipsec-vpn)# ike gateway ike_gw1
    ESR2(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
    ESR2(config-ipsec-vpn)# enable
    ESR2(config-ipsec-vpn)# exit

    Источник:
    docs.eltex-co.ru

    [ESR] GRE over IPSec между ESR и Cisco
    Настроить GRE over IPSec туннель между ESR и Cisco. На туннелях дополнительно настроить протокол динамической маршрутизации OSPF.

    При настройке IPSec на ESR включен способ установления соединения ike establish-tunnel route, при таком режиме IPSec туннель поднимется при наличии транзитного трафика. Loopback интерфейсы необходимы для проверки работоспособности IPSec туннеля (передачи транзитного трафика)  и в конфигурации не обязательны.

    ESR:

    1) Конфигурация:

    esr# show running-config
    router ospf log-adjacency-changes
    router ospf 1
      router-id 10.110.0.66
      area 0.0.0.1
        enable
      exit
      enable
    exit

    interface gigabitethernet 1/0/1
      ip firewall disable
      ip address 100.100.0.2/24
    exit
    interface loopback 1
      ip address 2.2.2.2/32
    exit
    tunnel gre 1
      mtu 1476
      ip firewall disable
      local address 100.100.0.2
      remote address 10.10.0.13
      ip address 10.110.0.66/30
      ip ospf instance 1
      ip ospf area 0.0.0.1
      ip ospf
      enable
    exit

    security ike proposal IKEPROP
      encryption algorithm aes128
      dh-group 2
    exit

    security ike policy IKEPOL
      lifetime seconds 86400
      pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
      proposal IKEPROP
    exit

    security ike gateway IKEGW
      ike-policy IKEPOL
      local address 100.100.0.2
      local network 100.100.0.2/32 protocol gre
      remote address 10.10.0.13
      remote network 10.10.0.13/32 protocol gre
      mode policy-based
    exit

    security ipsec proposal IPPROP
      encryption algorithm aes128
    exit

    security ipsec policy IPPOL
      proposal IPPROP
    exit

    security ipsec vpn IPSEC
      mode ike
      ike establish-tunnel route
      ike gateway IKEGW
      ike ipsec-policy IPPOL
      enable
    exit

    ip route 0.0.0.0/0 tunnel gre 1
    ip route 10.10.0.0/24 100.100.0.1

    2) Информация о состоянии протокола OSPF и IPSec туннеля:

    esr#  show ip ospf neighbors
    Router ID   Pri State    DTime Interface         Router IP
    ---------   --- -----    ----- ----------------- ---------
    10.110.0.65 1   Full/BDR 00:35 gre 1             10.110.0.65

     esr# show security ipsec vpn status IPSEC
    Currently active IKE SA:
    Name: IPSEC
    State: Established
    Version: v1-only
    Unique ID: 3
    Local host: 100.100.0.2
    Remote host: 10.10.0.13
    Role: Initiator
    Initiator spi: 0x15dc63f5881abbb0
    Responder spi: 0xd45e86e5abb121d9
    Encryption algorithm: des
    Authentication algorithm: sha1
    Diffie-Hellman group: 2
    Established: 12 minutes and 34 seconds ago
    Rekey time: 12 minutes and 34 seconds
    Reauthentication time: 23 hours, 32 minutes and 7 seconds
    Child IPsec SAs:
    Name: IPSEC
    State: Installed
    Protocol: esp
    Mode: Tunnel
    Encryption algorithm: aes128
    Authentication algorithm: sha1
    Rekey time: 32 minutes
    Life time: 47 minutes and 26 seconds
    Established: 12 minutes and 34 seconds ago
    Traffic statistics:
    Input bytes: 540
    Output bytes: 540
    Input packets: 5
    Output packets: 5

    Cisco:

    1) Конфигурация:

    crypto isakmp policy 2
    encr aes
    authentication pre-share
    group 2
    crypto isakmp key password address 100.100.0.2
    !
    crypto ipsec security-association lifetime seconds 86400
    !
    crypto ipsec transform-set strong esp-aes esp-sha-hmac
    !
    crypto map mymap local-address FastEthernet0/0
    crypto map mymap 119 ipsec-isakmp
    set peer 100.100.0.2
    set transform-set strong
    match address 119
    !
    !
    interface Loopback1
    ip address 1.1.1.1 255.255.255.255
    !
    !
    interface Tunnel2
    ip address 10.110.0.65 255.255.255.252
    ip ospf 1 area 0.0.0.1
    ip ospf network broadcast
    tunnel source 10.10.0.13
    tunnel destination 100.100.0.2
    !
    !
    interface FastEthernet0/0
    ip address 10.10.0.13 255.255.255.0
    duplex auto
    speed auto
    crypto map mymap
    !
    router ospf 1
    router-id 10.110.0.65
    log-adjacency-changes
    !
    ip route 100.100.0.0 255.255.255.0 10.10.0.1
    ip route 0.0.0.0 0.0.0.0 Tunnel2
    !
    access-list 119 permit gre host 10.10.0.13 host 100.100.0.2

    2) Информация о состоянии протокола OSPF и IPSec туннеля:

    Router#show ip ospf neighbor
    Neighbor ID Pri State Dead Time Address Interface
    10.110.0.66 0 FULL/ - 00:00:32 10.110.0.66 Tunnel2

    Router#show crypto ipsec sa
    interface: FastEthernet0/0
    Crypto map tag: mymap, local addr 10.10.0.13
    protected vrf: (none)
    local ident (addr/mask/prot/port): (10.10.0.13/255.255.255.255/47/0)
    remote ident (addr/mask/prot/port): (100.100.0.2/255.255.255.255/47/0)
    current_peer 100.100.0.2 port 500
    PERMIT, flags={origin_is_acl,}
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
    local crypto endpt.: 10.10.0.13, remote crypto endpt.: 100.100.0.2
    path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
    current outbound spi: 0xC9A1F292(3382833810)
    PFS (Y/N): Y, DH group: group2
    inbound esp sas:
    spi: 0x7783E2D2(2005131986)
    transform: esp-aes esp-sha-hmac ,
    in use settings ={Tunnel, }
    conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: mymap
    sa timing: remaining key lifetime (k/sec): (4480312/3033)
    IV size: 16 bytes
    replay detection support: Y
    Status: ACTIVE
    inbound ah sas:
    inbound pcp sas:
    outbound esp sas:
    spi: 0xC9A1F292(3382833810)
    transform: esp-aes esp-sha-hmac ,
    in use settings ={Tunnel, }
    conn id: 2002, flow_id: FPGA:2, sibling_flags 80000046, crypto map: mymap
    sa timing: remaining key lifetime (k/sec): (4480312/3033)
    IV size: 16 bytes
    replay detection support: Y
    Status: ACTIVE
    outbound ah sas:
    outbound pcp sas:

    Источник:
    docs.eltex-co.ru

    [ESR] IP unnumbered
    Имеется маршрутизатор R1 к которому подключен 2 клиента. Клиентам необходимо выделить IP адреса из пула 10.10.10.0/24, но таким образом чтобы они не имели доступ к друг другу. Одним из решений было бы разбить 24 маску на 30, но в таком случае распределение IP адресов крайне не экономично. В данном случае отличным решением будет использование технологии IP unnumbered.

    Задача:

    • Выдать клиенту client1 один IP адрес.
    • Выдать клиенту client2 три IP адреса.

    Решение:

    На маршрутизаторе R1 настроим loopback-интерфейс и повешаем наго IP адрес из пула который будем раздовать другим маршрутизаторам:

     

        esr-200# config
        esr-200(config)# interface loopback 1
        esr-200(config-loopback)# ip address 10.10.10.254/24
        esr-200(config-loopback)# exit

     

    Далее настроим интерфейсы к которым подключены клиенты:

     

        esr-200(config)# interface gigabitethernet 1/0/2
        esr-200(config-if-gi)# ip unnumbered loopback 1
        esr-200(config-if-gi)# ip firewall disable
        esr-200(config-if-gi)# exit
        esr-200(config)# interface gigabitethernet 1/0/3
        esr-200(config-if-gi)# ip unnumbered loopback 1
        esr-200(config-if-gi)# ip firewall disable
        esr-200(config-if-gi)# exit

     

    И последнее что осталось, это прописать маршрут до IP адресов которые отдаем клиентам:

     

        esr-200(config)# ip route 10.10.10.1/32 interface gigabitethernet 1/0/2 name client1
        esr-200(config)# ip route 10.10.10.2/32 interface gigabitethernet 1/0/3 name client2
        esr-200(config)# ip route 10.10.10.3/32 interface gigabitethernet 1/0/3 name client2
        esr-200(config)# ip route 10.10.10.4/32 interface gigabitethernet 1/0/3 name client2
        esr-200(config)# exit
        esr-200# commit
        esr-200# confirm

     

    А теперь осталось настроить у клиента IP адрес 10.10.10.1 с маской 255.255.255.0 и шлюзом 10.0.0.2 (интерфейс R1 смотрящий в интернет). Точно также делаем на всех ПК воторого клиента.

    Источник:
    docs.eltex-co.ru

    Используя наш сайт, Вы даёте согласие на обработку файлов cookie и пользовательских данных.
    Оставаясь на сайте, Вы соглашаетесь с политикой их применения.
    Ваш браузер сильно устарел.
    Обновите его до последней версии или используйте другой более современный.
    Пожалуйста, завершите проверку безопасности!
    0
    Корзина
    Наименование Артикул Количество Сравнить