8 x 10/100/1000BASE-T (LAN/WAN) 6 x 1000BASE-X SFP (LAN/WAN) 2 x 10GBASE-R SFP+/1000BASE-X SFP (LAN/WAN) 3 x Serial (RS-232) Console RS-232 (RJ-45) USB 2.0 USB 3.0 Слот для microSD-карт

Наличие:

Скидка с первого заказа!

Гарантия до 5 лет

Мы дилер №1 Eltex

Дежурный сегодня

Бекетов Максим

bmv@eltexcm.ru

+7 (963) 716 56 19

Общие параметры ESR-31 Eltex

Кол-во портов ESR	14
Установка в стойку esr	1U
BRAS esr	Да
Количество портов 1G	14
Количество портов 10G	2
Питание	2 смен.БП
Количество маршрутов OSPF	300k
Количество маршрутов ISIS	30k
Количество маршрутов RIP	10k
Макс. скорость портов	10 G
В реестре Минпромторга (ТОРП)	Да
Размер базы FIB	1.4M
Количество маршрутов BGP	2.5M
Производительность (фреймы 1518B) Гбит/с	7.9
Производительность (фреймы 1518B) k пкт/с	651.4
Производительность (фреймы 74B) Гбит/с	0.4
Производительность (фреймы 74B) k пкт/с	671.7
Производительность IMIX, Гбит/с	3.6
Производительность IMIX, k пкт/с	650.7
IPsec Гбит/с	0.87
Downlink порты RJ-45	8
Downlink порты SFP	6
Downlink порты SFP+	2
Размер коробки ШхВхГ, мм	430 x 43 x 275
Вес брутто, кг	4.44

Маршрутизация данных
Аппаратное ускорение обработки данных
Многопротокольная коммутация по меткам (MPLS)
Построение защищенного периметра сети (NAT, Firewall)
Мониторинг и предотвращение сетевых атак (IPS/IDS)
Мониторинг качества обслуживания (SLA)
Фильтрация сетевых данных по различным критериям (включая фильтрацию по приложениям)
Организация защищенных сетевых туннелей между филиалами компаний
Удаленное подключение сотрудников к офису
Управление и распределение ширины Интернет-канала в офисе посредством QoS
Организация резервного соединения (проводное или посредством 3G/LTE-модема)
Терминирование клиентов и ограничений по полосе пропускания BRAS (IPoE)

ESR-31 является сервисным маршрутизатором среднего уровня, имеет 8 портов 1G (RJ-45), 6 портов 1G (SFP), 2 порта 10G (SFP+) и консольный порт RS-232 (RJ-45).
Данный маршрутизатор дополнительно обладает 3 интерфейсами Serial (RS-232), они позволяют в режиме AUX обеспечить удалённый консольный доступ к рядом стоящему оборудованию.

Маршрутизатор входит в состав серии ESR, ключевыми элементами которой являются средства для программной и аппаратной обработки данных. За счет оптимального распределения функций обработки данных между частями устройства достигается максимальная производительность.
Отличительной особенностью модели ESR-31 является её оснащенность дополнительными портами стандарта RS-232, которые могут использоваться для реализации дополнительных функций — удаленного консольного доступа к рядом стоящему оборудованию (режим AUX) и подключения к сервисному маршрутизатору через Dialup.

Указанные в технической документации значения являются приблизительными, поскольку разработка устройства еще не завершена. Точные показатели будут опубликованы после финального тестирования и выхода модели в предсерийное производство

Интерфейсы

Ethernet 10/100/1000BASE-T (LAN/WAN) - 8
Ethernet 1000BASE-X SFP (LAN/WAN) - 6
10GBASE-R SFP+/1000BASE-X SFP (LAN/WAN) - 2
Serial (RS-232) - 3
Console RS-232 (RJ-45) - 1
USB 2.0 - 1
USB 3.0 - 1
Слот для microSD-карт - 1

Системные характеристики

Количество VPN-туннелей - 250
Статические маршруты - 11k
Количество конкурентных сессий - 256k
Поддержка VLAN - 4094
Количество маршрутов BGP - 2,5M
Количество BGP-соседей - 1k
Количество маршрутов OSPF - 300k
Количество маршрутов RIP - 10k
Количество маршрутов ISIS - 30k
Таблица MAC-адресов - 2k записей на бридж
Размер базы FIB - 1,4M
VRF - 32

Подключаемые интерфейсы

USB 3G/4G/LTE модем
E1 TopGate SFP

Клиенты Remote Access VPN

PPTP/PPPoE/L2TP/OpenVPN/IPsec XAUTH

Сервер Remote Access VPN

L2TP/PPTP/OpenVPN/IPsec XAUTH

Site-to-site VPN

IPsec: режимы «policy-based» и «route-based»
DMVPN
Алгоритмы шифрования DES, 3DES, AES, Blowfish, Camellia
Аутентификация сообщений IKE MD5, SHA-1, SHA-2

Туннелирование

IPoGRE, EoGRE
IPIP
L2TPv3
LT (inter VRF routing)

Функции L2

Коммутация пакетов (bridging)
Агрегация интерфейсов LAG/LACP (802.3ad)
Поддержка VLAN (802.1Q)
Логические интерфейсы
LLDP, LLDP MED
VLAN на основе MAC

Функции L3 (IPv4/IPv6)

Трансляция адресов NAT, Static NAT, ALG
Статические маршруты
Протоколы динамической маршрутизации RIPv2, OSPFv2/v3, IS-IS, BGP
Фильтрация маршрутов (prefix list)
VRF
Policy Based Routing (PBR)
BFD для BGP, OSPF, статических маршрутов

BRAS (IPoE)¹

Терминация пользователей
Белые/черные списки URL
Квотирование по объёму трафика, по времени сессии,по сетевым приложениям
HTTP/HTTPS Proxy
HTTP/HTTPS Redirect
Аккаунтинг сессий по протоколу Netflow
Взаимодействие с серверами ААА, PCRF
Управление полосой пропускания по офисам и SSID, сессиям пользователей
Аутентификация пользователей по MAC- или IP-адресам

Функции сетевой защиты

Взаимодействие с Eltex Distribution Manager для получения лицензируемого контента — наборы правил, предоставляемые KasperskySafeStream II¹
Система обнаружения и предотвращения вторжений (IPS/IDS)¹
Web-фильтрация по URL, по содержимому (cookies, ActiveX, JavaScript)
Zone-based Firewall
Фильтрация фаерволом на базе L2/L3/L4-полей и по приложениям
Поддержка списков контроля доступа (ACL) на базе L2/L3/L4-полей
Защита от DoS/DDoS-атак и оповещение об атаках
Логирование событий атак, событий срабатывания правил

Управление IP-адресацией (IPv4/IPv6)

Статические IP-адреса
DHCP-клиент
DHCP Relay Option 82
Встроенный сервер DHCP, поддержка опций 43, 60, 61, 150
DNS resolver
IP unnumbered

Качество обслуживания (QoS)

До 8 приоритетных или взвешенных очередей на порт
L2- и L3-приоритизация трафика (802.1p (CoS), DSCP, IP Precedence (ToS))
Предотвращение перегрузки очередей RED, GRED
Средства перемаркирования приоритетов
Применение политик (policy-map)
Управление полосой пропускания (shaping)
Иерархический QоS
Маркировка сессий

Средства обеспечения надежности сети

VRRP v2, v3
Tracking на основании VRRP- или SLA-теста
- Управление параметрами VRRP
- Управление параметрами PBR
- Управление административным статусом интерфейса
- Активация и деактивация статического маршрута
- Управление атрибутом AS-PATH и preference в route-map
Балансировка нагрузки на WAN-интерфейсах, перенаправление потоков данных, переключение при оценке качества канала
Резервирование сессий firewall

Мониторинг и управление

Поддержка стандартных и расширенных SNMP MIB, RMONv1
Встроенный Zabbix agent
Аутентификация пользователей по локальной базе средствами протоколов RADIUS, TACACS+, LDAP
Защита от ошибок конфигурирования, автоматическое восстановление конфигурации. Возможность сброса конфигурации к заводским настройкам
Интерфейсы управления CLI
Поддержка Syslog
Монитор использования системных ресурсов
Ping, traceroute (IPv4/IPv6), вывод информации о пакетах в консоли
Обновление ПО, загрузка и выгрузка конфигурации по TFTP, SCP, FTP, SFTP, HTTP(S)
Поддержка NTP
Netflow v5/v9/v10 (экспорт статистики URL для HTTP, host для HTTPS)
Локальное управление через консольный порт RS-232 (RJ-45)
Удаленное управление, протоколы Telnet, SSH (IPv4/IPv6)
Вывод информации по сервисам/процессам
Локальное/удаленное сохранение конфигураций маршрутизатора

Функции контроля SLA

Eltex SLA
Оценка параметров каналов связи:
- Delay (one-way/two-way)
- Jitter (one-way/two-way)
- Packet loss (one-way/two-way)
- Коэффициент ошибок в пакетах
- Нарушение последовательности доставки пакетов

MPLS

Поддержка протокола LDP
Поддержка L2VPN VPWS
Поддержка L2VPN VPLS Martini Mode
Поддержка L2VPN VPLS Kompella Mode
Поддержка L3VPN MP-BGP

Физические характеристики и условия окружающей среды

Максимальная потребляемая мощность - 40 Вт
Питание:
- 100–240 В AC, 50–60 Гц;
- 36–72 В DC
- до двух источников питания с возможностью горячей замены
Интервал рабочих температур - от 0 до +40 °С
Интервал температуры хранения - от -40 до +70 °С
Относительная влажность при эксплуатации - не более 80 %
Относительная влажность при хранении - от 10 до 95 %
Масса - 4,44 кг
Габариты (Ш × В × Г) - 430 × 43,6 × 275 мм
Срок службы не менее 15 лет

Набор функций соответствует версии ПО 1.23.0
¹Активируется лицензией

Документация

Руководство по эксплуатации

PDF / 16 Mb

Описание

Краткое техническое описание

PDF / 2 Mb

Сертификаты

Сертификат связи ОС-6-СПД-3179

PDF / 6 Mb

Приказ Минпромторга России от 05.03.2024 №881 о присвоении и подтверждении ТКО статуса ТОРП

PDF / 325 Kb

ESR-31

PM160-220/12

Модуль питания PM160-220/12, 220V AC, 160W

PM100-48/12

Модуль питания PM100-48/12, 48V DC, 100W

Блок питания

Документация

Сертификат

Провод заземления

Сертификаты на гарантию, замену, техподдержку

Скачать регламенты

Продление гарантийного обслуживания, ESR-31 (используется при покупке с новым оборудованием. Включена в т.ч. стандартная гарантия производителя - 1 год)

[ для нового оборудования ]

до 2 лет +15% от цены оборудования
EW-ESR-31-2Y

до 3 лет +25% от цены оборудования
EW-ESR-31-3Y

до 5 лет +40% от цены оборудования
EW-ESR-31-5Y

Продление гарантийного обслуживания, ESR-31 (используется при покупке для ранее приобретенного оборудования)

[ для уже купленного оборудования ]

на 1 год +12% от цены оборудования
EW-ESR-31-1Y

Сертификат на консультационные услуги по вопросам эксплуатации оборудования Eltex - ESR-31 - безлимитное количество обращений 8х5 (услуга оказывается по московскому времени)

1 год +6% от цены оборудования
SC-ESR-31-B-1Y

3 года +15% от цены оборудования
SC-ESR-31-B-3Y

5 лет +32% от цены оборудования
SC-ESR-31-B-5Y

Сертификат на услугу по отправке оборудования на подмену на следующий рабочий день (next business shipping) в случае выхода из строя оборудования, ESR-31 (услуга оказывается при наличии действующей гарантии)

1 год +30% от цены оборудования
NBS-ESR-31-1Y

3 годa +75% от цены оборудования
NBS-ESR-31-3Y

5 лет +93,75% от цены оборудования
NBS-ESR-31-5Y

Обучение в Академии Eltex

[ESR] Настройка Route-based IPsec VPN

IPsec – это набор протоколов, которые обеспечивают защиту передаваемых с помощью IP-протокола данных.

Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

Рисунок 1 - Схема сети.
Рисунок 1 – Схема сети

Задача: Настроить IPsec-туннель между R1 и R2.

R1 IP адрес - 120.11.5.1;
R2 IP адрес - 180.100.0.1;
IKE:
группа Диффи-Хэллмана: 2;
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5.
IPSec:
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5.

Решение:

1. Конфигурирование R1

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

esr# configure
esr(config)# interface gi 1/0/1
esr(config-if-gi)# ip address 120.11.5.1/24
esr(config-if-gi)# security-zone untrusted
esr(config-if-gi)# exit

Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

esr(config)# tunnel vti 1
esr(config-vti)# local address 120.11.5.1
esr(config-vti)# remote address 180.100.0.1
esr(config-vti)# enable
esr(config-vti)# exit

Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

esr(config)# object-group service ISAKMP
esr(config-object-group-service)# port-range 500
esr(config-object-group-service)# exit

Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

esr(config)# ip route 10.0.0.0/16 tunnel vti 1

Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit

Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# exit

Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# mode route-based
esr(config-ike-gw)# bind-interface vti 1
esr(config-ike-gw)# version v2-only
esr(config-ike-gw)# exit

Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit

Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit

Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel immediate
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit

2. Конфигурирование R2

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

esr# configure
esr(config)# interface gi 1/0/1
esr(config-if)# ip address 180.100.0.1/24
esr(config-if)# security-zone untrusted
esr(config-if)# exit

esr(config)# tunnel vti 1
esr(config-vti)# remote address 120.11.5.1
esr(config-vti)# local address 180.100.0.1
esr(config-vti)# enable
esr(config-vti)# exit

Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

esr(config)# object-group service ISAKMP
esr(config-addr-set)# port-range 500
esr(config-addr-set)# exit

esr(config)# ip route 10.0.0.0/16 tunnel vti 1

esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit

esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# exit

esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# mode route-based
esr(config-ike-gw)# bind-interface vti 1
esr(config-ike-gw)# version v2-only
esr(config-ike-gw)# exit

esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit

esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit

esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel immediate
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit

Состояние туннеля можно посмотреть командой:

esr# show security ipsec vpn status ipsec1

Конфигурацию туннеля можно посмотреть командой:

esr# show security ipsec vpn configuration ipsec1

Источник:
docs.eltex-co.ru

[ESR] BGP + Route-map

Задача: Настроить BGP c AS 2500 на маршрутизаторе ESR и установить соседство с AS20;

AS2500

Задача:

Настроить BGP c AS 2500 на маршрутизаторе ESR и установить соседство с AS20;
Отфильтровать на R2 из принмаемого маршрута 198.51.100.0/24 сеть, префикс которой соответствует 28
Отфильтровать на R2 из принмаемого маршрута 203.0.113.0/24 сеть, префикс которой меньше или соответствует 30
Отфильтровать на R2 из принмаемого маршрута 203.0.100.0/20 сеть, префикс которой больше или соответствует 24
Задать каждой сети приоритет со значение local-preference 200

!!! Важно: при использовании eBGP для анонса маршрутной информации необходимо дать разрешающее правило с помощью route-map либо prefix-list, пример:

route-map BGP_OUT
rule 1
    action permit
exit
exit
router bgp 1
address-family ipv4
    neighbor 192.168.1.1
      remote-as 2
      route-map BGP_OUT out
      enable
    exit
    enable
exit
exit

Решение:

Настроим BGP на ESR:

    esr-200# configure
    esr-200(config)# router bgp 2500
    esr-200(config-bgp)# address-family ipv4
    esr-200(config-bgp-af)# neighbor 185.0.0.2
    esr-200(config-bgp-neighbor)# remote-as 20
    esr-200(config-bgp-neighbor)# update-source 185.0.0.1
    esr-200(config-bgp-neighbor)# enable
    esr-200(config-bgp-neighbor)# exit
    esr-200(config-bgp-af)# enable
    esr-200(config-bgp-af)# exit
    esr-200(config-bgp)# exit

Далее создадим необходимые правила для фильтрации маршрутов:

    esr-200(config)# route-map in
    esr-200(config-route-map)# rule 10
    esr-200(config-route-map-rule)# match ip address 198.51.100.0/24 eq 28
    esr-200(config-route-map-rule)# action set local-preference 200
    esr-200(config-route-map-rule)# action permit
    esr-200(config-route-map-rule)# exit
    esr-200(config-route-map)#rule 20
    esr-200(config-route-map-rule)# match ip address 203.0.113.0/24 ge 30
    esr-200(config-route-map-rule)# action set local-preference 200
    esr-200(config-route-map-rule)# action permit
    esr-200(config-route-map-rule)# exit
    esr-200(config-route-map)#rule 30
    esr-200(config-route-map-rule)# match ip address 203.0.100.0/20 le 24
    esr-200(config-route-map-rule)# action set local-preference 200
    esr-200(config-route-map-rule)# action permit
    esr-200(config-route-map-rule)# exit
    esr-200(config-route-map-rule)# exit
    esr-200(config-route-map)# exit

Теперь осталось прикрепить route-map к BGP:

    esr-200(config)# router bgp 2500
    esr-200(config-bgp)# address-family ipv4
    esr-200(config-bgp-af)# neighbor 185.0.0.2
    esr-200(config-bgp-neighbor)# route-map in in
    esr-200(config-bgp-neighbor)# end
    esr-200# commit
    esr-200# confirm

Источник:
docs.eltex-co.ru

[ESR] Bidirectional Forwarding Detection (BFD) для OSFP и BGP

Bidirectional Forwarding Detection protocol (BFD) — протокол, созданный для быстрого обнаружения неисправностей линков.

Два устройства согласовывают и устанавливают BFD сессию, отправляют друг другу hello-сообщения, Если hello-сообщения перестают поступать от соседа, BFD-сессия разрывается и система оповещается о неполадках в коммуникациях.

BFD может определить неисправность линка менее чем за 1 секунду (для маршрутизаторов Eltex ESR этот параметр можно регулировать в диапазоне от 200 до 65535 миллисекунд).

В реализации ПО начиная с версии 1.4.0 включительно, поддержаны протоколы BGP и OSPF и статических маршрутов.

В разработке находится реализация использования BFD для статических маршрутов.

Настройка механизма BFD сводится к двум шагам:

ШАГ 1. Настройка параметров BFD производится как в глобальном режиме, так и в режимах конфигурирования интерфейсов и туннелей (если параметры различаются по направлениям):

# configure
# configure-if-view
# configure-tunnel-view
[no] ip bfd min-rx-interval <TIME> - Минимальный интервал приёма для обнаружения ошибки
[no] ip bfd min-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки
[no] ip bfd idle-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки, когда сессия неактивна
[no] ip bfd multiplier <MULTIPLIER> - Число пропущенных пакетов, после которого сессия будет объявлена неактивной
[no] ip bfd passive - Не отправлять BFD-пакеты, пока не будет получен пакет от соседнего устройства

MULTIPLIER := 5 .. 100
TIME := время в миллисекундах 200 .. 65535

Если пропустить этот шаг, то будут использоваться параметры по умолчанию:

Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No

ШАГ 2. Активация протокола BFD.

Для протокола BGP производится в режиме конфигурирования BGP соседа:

# bgp-neighbor-view
[no] bfd enable - Включение/Выключение BFD для данного соседа BGP

Обязательно при использовании BFD указываем upadate-source для указания source IP процессу BFD:

# update-source <A.B.C.D>
[no] update-source - указать/убрать адрес источника для BFD процесса

Для протокола OSPF BFD активировать необходимо в режиме конфигурирования интерфеса, на котором запущен протокол OSPF:

# configure-if-view
[no] ip ospf bfd-enable

Для статических маршрутов активация BFD происходит указанием после указания шлюза:

# configure-view
[no] ip route <A.B.C.D/N> <IP_GATEWAY> bfd

После применения и подверждения конфигурации протокол BFD запустится в работу:

esr #commit

esr #confirm

Текущие значение параметров BFD для глобального режима:

esr# show ip bfd
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No

Текущие значение параметров BFD для конкретного интерфеса и туннеля:

esr# sh ip bfd interface gigabitethernet 1/0/1
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No

esr# sh ip bfd interface gre 1
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No

Источник:
docs.eltex-co.ru

[ESR] BRAS без SoftWLC

Задача: настроить BRAS без поддержки SoftWLC.

Решение:

Шаг 1. Настройка FreeRADIUS - сервера.

Для FreeRADIUS сервера нужно задать подсеть, из которой могут приходить запросы и добавить список пользователей. Для этого в файл users в директории с файлами конфигурации FreeRADIUS сервера нужно добавить:

Профиль пользователя:

<MACADDR> Cleartext-Password := <MACADDR>

# Имя пользователя

User-Name = <USER_NAME>,

# Максимальное время жизни сессии

Session-Timeout = <SECONDS>,

# Максимальное время жизни сесиии при бездействии пользователя

Idle-Timeout = <SECONDS>,

# Время на обновление статистики по сессии

Acct-Interim-Interval = <SECONDS>,

# Имя сервиса для сессии (A - сервис включен, N - сервис выключен)

Cisco-Account-Info = "{A|N}<SERVICE_NAME>"

Профиль сервиса:

<SERVICE_NAME> Cleartext-Password := <MACADDR>

# Соответствует имени class-map в настройках ESR

Cisco-AVPair = "subscriber:traffic-class=<CLASS_MAP>",

# Действие, которое применяет ESR к трафику (permit, deny, redirect)

Cisco-AVPair = "subscriber:filter-default-action=<ACTION>",

# Возможность прохождения IP потоков (enabled-uplink, enabled-downlink, enabled, disabled)

Cisco-AVPair = "subscriber:flow-status=<STATUS>"

В файл clients.conf нужно добавить подсеть, в которой находится ESR:

client ESR {

ipaddr = <SUBNET>

secret = <RADIUS_KEY>

}

Шаг 2. Настройка ESR - нужно сконфигурировать:

radius-server host <IP_ADDRESS>
key ascii-text <RADIUS_KEY>
exit

aaa radius-profile bras_radius
radius-server host <IP_ADDRESS>
exit

das-server das
key ascii-text <RADIUS_KEY>
exit

aaa das-profile bras_das
das-server das
exit

ip access-list extended user_acl
rule 1
action permit
enable
exit
exit

subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
nas-ip-address <IP_ADDRESS>
session mac-authentication
default-service default-action redirect <URL>
exit
enable
exit

На интерфейсах, для которых требуется работа BRAS настроить (для успешного запуска требуется как минимум один интерфейс):

service-subscriber-control {object-group <NAME> | any}
location <L2LOCATION>

!!! Настройка действие фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:

Создаем локальный список URL (можно указать свои URL, на которые неавторизованные пользователи смогут проходить без авторизации и без редиректа, например локальные сервисы вашей сети и ваш сайт):

object-group url defaultserv
url http://eltex.nsk.ru
url http://ya.ru
url https://ya.ru
exit

Добавим действие фильтрации для локального списка URL в BRAS:

subscriber-control
default-service
filter-name local defaultserv
filter-action permit
end

Теперь неавторизированные пользователи будут иметь доступ к URL defaultserv без редирект, а при попытке пройти на другие сайты для них отработает редирект:

default-service
default-action redirect http://192.168.16.54:8080/eltex_portal/

Пример настройки:

Дано:

Шаг 1. Настройка FreeRADIUS - сервера:

подсеть с клиентами 10.10.0.0/16, подсеть для работы с FreeRADIUS сервером 192.168.16.140/23. Настраиваем FreeRADIUS сервер. В файл «clients.conf» добавляем строки:

client BRAS {

ipaddr = 192.168.16.140

secret = password

}

В файл «users» добавляем строки (вместо <MAC> нужно указать MAC адрес клиента):

"00-00-00-33-96-3D" Cleartext-Password := "00-00-00-33-96-3D"
User-Name = "Bras_user",
Session-Timeout = 259200,
Idle-Timeout = 259200,
Cisco-AVPair += "subscriber:policer-rate-in=1000",
Cisco-AVPair += "subscriber:policer-rate-out=1000",
Cisco-AVPair += "subscriber:policer-burst-in=188",
Cisco-AVPair += "subscriber:policer-burst-out=188",
Cisco-Account-Info = "AINTERNET"

INTERNET Cleartext-Password := "INTERNET"
User-Name = "INTERNET",
Cisco-AVPair = "subscriber:traffic-class=INTERNET",
Cisco-AVPair += "subscriber:filter-default-action=permit"

Для traffic-class в настройках сервиса нужно указать access-list из настроек ESR. Он нужен для определения какой трафик пользователя считать за трафик этого сервиса.

Шаг 2. Конфигурация ESR:

configure

object-group url defaultserv
url http://eltex.nsk.ru
url http://ya.ru
url https://ya.ru
exit

radius-server host 192.168.16.54
key ascii-text encrypted 8CB5107EA7005AFF
source-address 192.168.16.140
exit
aaa radius-profile bras_radius
radius-server host 192.168.16.54
exit
aaa radius-profile bras_radius_servers
radius-server host 192.168.16.54
exit
das-server das
key ascii-text encrypted 8CB5107EA7005AFF
exit
aaa das-profile bras_das
das-server das
exit

vlan 10
exit

ip access-list extended BYPASS
rule 1
action permit
match protocol udp
match source-port 68
match destination-port 67
enable
exit
rule 2
action permit
match protocol udp
match destination-port 53
enable
exit
rule 3
exit
exit

ip access-list extended INTERNET
rule 1
action permit
enable
exit
exit

ip access-list extended WELCOME
rule 10
action permit
match protocol tcp
match destination-port 443
enable
exit
rule 20
action permit
match protocol tcp
match destination-port 8443
enable
exit
rule 30
action permit
match protocol tcp
match destination-port 80
enable
exit
rule 40
action permit
match protocol tcp
match destination-port 8080
enable
exit
exit

subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
aaa services-radius-profile bras_radius_servers
nas-ip-address 192.168.16.140
session mac-authentication
bypass-traffic-acl BYPASS
default-service
class-map BYPASS
filter-name local defaultserv
filter-action permit
default-action redirect http://192.168.16.54/eltex_portal
session-timeout 121
exit
enable
exit

bridge 10
vlan 10
ip firewall disable
ip address 10.10.0.1/16
ip helper-address 192.168.16.54
service-subscriber-control any
location USER
protected-ports
protected-ports exclude vlan
enable
exit
interface gigabitethernet 1/0/2
ip firewall disable
ip address 192.168.16.140/23
exit
interface gigabitethernet 1/0/3.10
bridge-group 10
ip firewall disable
exit
interface gigabitethernet 1/0/4
ip firewall disable
ip address 30.30.30.2/24
exit
interface tengigabitethernet 1/0/1
ip firewall disable
exit
interface tengigabitethernet 1/0/1.10
bridge-group 10
exit
interface tengigabitethernet 1/0/1.20
ip firewall disable
ip address 20.20.20.1/24
exit
interface tengigabitethernet 1/0/1.30
bridge-group 10
exit
interface tengigabitethernet 1/0/1.40
bridge-group 10
exit

nat source
ruleset factory
to interface gigabitethernet 1/0/2
rule 10
description "replace 'source ip' by outgoing interface ip address"
match source-address any
action source-nat interface
enable
exit
exit

ip route 0.0.0.0/0 192.168.16.145

ip telnet server

Источник:
docs.eltex-co.ru

[ESR] Destanation NAT + NAT Hairpinning

В сети R1 имеется web-сервер. Необходимо что бы любой пользователь интернета имели доступ к этому ресурсу. Для этого необходимо перенаправить запросы с IP 185.185.11.54 на 192.168.0.5. На R1 уже описаны зоны безопасности trusted (192.168.0.1) и untrusted (185.185.11.54).

Destanation NAT

Для начала создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.

Net_pub – профиль адресов публичной сети;
Srv_http – профиль портов;
Server_ip – профиль адресов локальной сети.

    esr-100(config)# object-group network Net_pub
    esr-100(config-object-group-network)# ip address 185.185.11.54
    esr-100(config-object-group-network)# exit
    esr-100(config)# object-group service Srv_http
    esr-100(config-object-group-service)# port-range 80
    esr-100(config-object-group-service)# exit
    esr-100(config)# object-group network Server_ip
   esr-100(config-object-group-network)# ip address 192.168.0.5
    esr-100(config-object-group-network)# exit

Далее приступим к настройке самого NAT. Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 185.185.11.54 из внешней сети.

    esr-100(config)# nat destination
    esr-100(config-dnat)# pool Server_ip
    esr-100(config-dnat-pool)# ip address 192.168.0.5
    esr-100(config-dnat-pool)# ip port 80
    esr-100(config-dnat-pool)# exit

Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «untrusted». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».

    esr-100(config-dnat)# ruleset DNAT
    esr-100(config-dnat-ruleset)# from zone untrusted
    esr-100(config-dnat-ruleset)# rule 1
    esr-100(config-dnat-rule)# match destination-address Net_pub
    esr-100(config-dnat-rule)# match protocol tcp
    esr-100(config-dnat-rule)# match destination-port Srv_http
    esr-100(config-dnat-rule)# action destination-nat pool Server_ip
    esr-100(config-dnat-rule)# enable
    esr-100(config-dnat-rule)# exit
    esr-100(config-dnat-ruleset)# exit
    esr-100(config-dnat)# exit

Для пропуска трафика, идущего из зоны «untrusted» в «trusted», создадим соответствующее правило. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP» и прошедший преобразование DNAT.

    esr-100(config)# security zone-pair untrusted trusted
    esr-100(config-zone-pair)# rule 1
    esr-100(config-zone-pair-rule)# match source-address any
    esr-100(config-zone-pair-rule)# match destination-address Server_ip
    esr-100(config-zone-pair-rule)# match protocol any
    esr-100(config-zone-pair-rule)# match destination-nat
    esr-100(config-zone-pair-rule)# action permit
    esr-100(config-zone-pair-rule)# enable
    esr-100(config-zone-pair-rule)# exit
    esr-100(config-zone-pair)# exit
    esr-100# commit
    esr-100# confirm

Теперь R1 будет перенаправлять обращегия как требуется. Команды для просмотра состояния и настройки NAT:

    esr-100# show ip nat destination pools
    esr-100# show ip nat destination rulesets
    esr-100# show ip nat proxy-arp
    esr-100# show ip nat translations

NAT Hairpinning

На рисунке в начале статьи видно, что в локальной сети R1 имеются свои клиенты(client), которые тоже пользуются web-сервером. Однако когда client введет в браузере доменное имя сервера, DNS перенаправит его на адрес 185.185.11.54. Для этого настроим NAT Hairpinning.

Добавим еще один профиль для внутренней сети.

    esr-100(config)# object-group network LAN
    esr-100(config-object-group-network)# ip prefix 192.168.0.0/24
    esr-100(config-object-group-network)# exit

Добавим еще один ruleset в конфигурацию DNAT.

    esr-100(config)# nat destination
    esr-100(config-dnat)# ruleset loopback
    esr-100(config-dnat-ruleset)# from zone trusted
    esr-100(config-dnat-ruleset)# rule 10
    esr-100(config-dnat-rule)# match protocol tcp
    esr-100(config-dnat-rule)# match destination-address Net_pub
    esr-100(config-dnat-rule)# match destination-port Srv_http
    esr-100(config-dnat-rule)# action destination-nat pool Server_ip
    esr-100(config-dnat-rule)# enable
    esr-100(config-dnat-rule)# exit
    esr-100(config-dnat-ruleset)# exit
    esr-100(config-dnat)# exit

Сконфигурируем Source NAT.

    esr-100(config)# nat source
    esr-100(config-snat)# ruleset loopback
    esr-100(config-snat-ruleset)# to zone trusted
    esr-100(config-snat-ruleset)# rule 10
    esr-100(config-snat-rule)# match source-address LAN
    esr-100(config-snat-rule)# action source-nat interface
    esr-100(config-snat-rule)# enable
    esr-100(config-snat-rule)# exit
    esr-100(config-snat-ruleset)# exit
    esr-100(config-snat)# exit
    esr-100(config)# exit
    esr-100# commit
    esr-100# confirm

Теперь пользователи локальной сети R1 будут попадать на web-сервер по внутреннему адресу.

Источник:
docs.eltex-co.ru

[ESR] DHCP Relay

В случае, если DHCP-клиент не имеет возможности обратиться к DHCP-серверу напрямую (например, если они находятся в разных широковещательных доменах), используется так называемый DHCP-ретранслятор (relay agent), который обрабатывает клиентский широковещательный DHCP-запрос и отправляет его на DHCP-сервер в виде unicast пакета, а полученный от DHCP-сервера ответ, в свою очередь, перенаправляет DHCP-клиенту.

Рисунок 1 - Схема сети

Предварительно необходимо сконфигурировать интерфейсы:

esr(config)# interface gigabitethernet 1/0/1

esr(config-if-gi)# ip address 10.0.0.1/24

esr(config)# interface gigabitethernet 1/0/2

esr(config-if-gi)# ip address 192.168.0.1/24

Настройки DHCP-ретранслятора на ESR сводятся к:

1. Включению DHCP relay глобально на устройстве командой

esr(config)# ip dhcp-relay

2. Указанию на интерфейсе со стороны DHCP-клинта IP адреса DHCP-сервера, на который будут перенаправляться клиентские запросы.

esr(config)# interface gigabitethernet 1/0/2

esr(config-if-gi)# ip helper-address 10.0.0.2

Чтобы изменения вступили в силу, необходимо ввести следующие команды:

esr# commit

Configuration has been commited

esr# confirm

Configuration has been confirmed

Источник:
docs.eltex-co.ru

[ESR] Eltex SLA (Service Level Agreement)

Eltex SLA (Service Level Agreement) – двухсторонний протокол активного измерения определяет гибкий метод измерения производительности и качества работы IP между двумя сервисными маршрутизаторами Eltex ESR, поддерживающими технологию SLA.

Основная функция SLA - выполнение тестов, нацеленных на вычисление параметров канала связи:

односторонние задержки;
круговые задержки;
джиттер;
потери пакетов;
изменение порядка следования пакетов.

Протокол IP SLA состоит из 2х фаз:

фазы контроля;
фазы измерений.

Предполагает наличие 2х ролей:

sender (инициирует запуск теста с установленными параметрами);
responder (ожидает входящих соедиений).

Пример конфигурации

Конфигурация ESR-SENDER

interface gigabitethernet 1/0/1
ip firewall disable
ip address 12.0.0.1/24
exit

ip route 0.0.0.0/0 12.0.0.2

clock timezone gmt +7
ntp enable
ntp server 192.168.1.1
minpoll 4
exit

ip sla logging
ip sla logging level error
ip sla
ip sla test 1
udp-jitter 24.0.0.3 20001 source-ip 12.0.0.1 control enable num-packets 100 interval 20
frequency 25
packet-size 64
dscp 30
cos 3
timeout 4000
thresholds losses high 15
thresholds losses forward high 5
thresholds losses reverse high 10
thresholds jitter forward high 7
thresholds jitter reverse high 15
thresholds delay high 150
thresholds delay forward high 100
thresholds delay reverse high 50
enable
exit
ip sla schedule 1 life forever start-time now

Конфигурация ESR-RESPONDER

interface gigabitethernet 1/0/1
ip firewall disable
ip address 24.0.0.3/24
ip sla responder eltex
exit

ip route 0.0.0.0/0 24.0.0.2

clock timezone gmt +7
ntp enable
ntp server 192.168.1.1
minpoll 4
exit

Просмотр статистики

ESR# show ip sla test statistics 1
Test number: 1
Transmitted packets: 100
Lost packets: 8 (8%)
Lost packets in forward direction: 4 (4%)
Lost packets in reverse direction: 4 (4%)
One-way delay forward min/avg/max: 29/52/72 milliseconds
One-way delay reverse min/avg/max: 29/52/72 milliseconds
One-way jitter forward min/avg/max: 6/11/12 milliseconds
One-way jitter reverse min/avg/max: 6/11/12 milliseconds
Two-way delay min/avg/max: 58/104/145 milliseconds
Two-way jitter min/avg/max: 13/22/25 milliseconds
Duplicate packets: 0
Out of sequence packets in forward direction: 0
Out of sequence packets in reverse direction: 0

Мониторинг

Все сообщения о превышении порог для тестовых потоков либо снижении уровня ниже допустимого занчения журналируются.

1) SYSLOG-сообщения можно перенаправлять на SYSLOG-сервер.

Конфигурация:
syslog host test 192.168.1.1 debug udp 514

Пример сообщений SYSLOG:

YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses high for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse high for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses OK for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse OK for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter forward high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter OK for ip sla 1: 0 < 10
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse OK for ip sla 1: 0 < 15

2) Опрос по SNMP.

Для IP SLA доступны MIB-OID:

ELTEX-ESR-MIB.mib

ELTEX-ESR-IPSLA-MIB.mib

Конфигурация:

snmp-server
snmp-server community "publpubl" rw
snmp-server host 192.168.1.1
exit

Пример снятия статистики по SNMP:

Name/OID: eltEsrIpSlaStatTestTransmittedPackets.1; Value (Gauge): 100
Name/OID: eltEsrIpSlaStatTestLostPackets.1; Value (Gauge): 8
Name/OID: eltEsrIpSlaStatTestLostPacketsForward.1; Value (Gauge): 4
Name/OID: eltEsrIpSlaStatTestLostPacketsReverse.1; Value (Gauge): 4
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMin.1; Value (Gauge): 29
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMax.1; Value (Gauge): 52
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardAvg.1; Value (Gauge): 72
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMin.1; Value (Gauge): 29
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMax.1; Value (Gauge): 52
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseAvg.1; Value (Gauge): 72
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMin.1; Value (Gauge): 6
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMax.1; Value (Gauge): 11
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardAvg.1; Value (Gauge): 12
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMin.1; Value (Gauge): 6
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMax.1; Value (Gauge): 11
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseAvg.1; Value (Gauge): 12
Name/OID: eltEsrIpSlaStatTestTwoWayDelayMin.1; Value (Gauge): 58
Name/OID: eltEsrIpSlaStatTestTwoWayDelayMax.1; Value (Gauge): 104
Name/OID: eltEsrIpSlaStatTestTwoWayDelayAvg.1; Value (Gauge): 145
Name/OID: eltEsrIpSlaStatTestTwoWayJitterMin.1; Value (Gauge): 13
Name/OID: eltEsrIpSlaStatTestTwoWayJitterMax.1; Value (Gauge): 22
Name/OID: eltEsrIpSlaStatTestTwoWayJitterAvg.1; Value (Gauge): 025
Name/OID: eltEsrIpSlaStatTestDuplicatePackets.1; Value (Gauge): 0
Name/OID: eltEsrIpSlaStatTestOutOfSequenceForward.1; Value (Gauge): 0
Name/OID: eltEsrIpSlaStatTestOutOfSequenceReverse.1; Value (Gauge): 0

3) SYSLOG в SNMP-Traps.

Конфигурация

snmp-server host 192.168.1.1
source-address 12.0.0.1
exit
snmp-server enable traps syslog

Источник:
docs.eltex-co.ru

[ESR] ESR-1000. Порты XG (10G) уходят в down после конфигурации LACP

Проблема: Порты XG в down после конфигурирования LACP на ESR-1000

Решение: По умолчанию на port-channel установлен режим: speed 1000M, необходимо выставить: speed 10Gесли в port-channel включаем XG интерфейсы.

esr(config)# interface port-channel 1
esr(config-port-channel)# speed 10G

Изменения конфигурации вступают в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Источник:
docs.eltex-co.ru

[ESR] GRE over IPSec

Настроить GRE over IPSec туннель между ESR1 и ESR2.

Данные:

IP-address интерфейса ESR1 - 180.10.0.1/30
P-address интерфейса ESR2 - 80.66.0.1/30

Локальные подсети:

LAN1: 1.1.1.0/24
LAN2: 2.2.2.0/24

Параметры IKE:

алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5;
группа Диффи-Хэллмана: 2.

Параметры IPSec:

алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5;
группа Диффи-Хэллмана: 2.

Решение:

Конфигурирование ESR1

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

ESR1(config)# interface gigabitethernet 1/0/1
ESR1(config-if-gi)# security-zone untrusted
ESR1(config-if-gi)# ip address 180.10.0.1/30
ESR1(config-if-gi)# exit

Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:

ESR1(config)# tunnel gre 1
ESR1(config-gre)# ttl 16
ESR1(config-gre)# security-zone trusted
ESR1(config-gre)# local address 180.10.0.1
ESR1(config-gre)# remote address 80.66.0.1
ESR1(config-gre)# ip address 10.10.10.1/30
ESR1(config-gre)# enable
ESR1(config-gre)# exit

Создадим статический маршрут для подсети 80.66.0.0/30:

ESR1(config)# ip route 80.66.0.0/30 180.10.0.2

Создадим статический маршрут подсети LAN2 - 2.2.2.0/24 через tunnel gre 1:

ESR1(config)# ip route 2.2.2.0/24 tunnel gre 1

ESR1(config)# security ike proposal ike_prop1
ESR1(config-ike-proposal)# authentication algorithm md5
ESR1(config-ike-proposal)# encryption algorithm aes128
ESR1(config-ike-proposal)# dh-group 2
ESR1(config-ike-proposal)# exit

ESR1(config)# security ike policy ike_pol1
ESR1(config-ike-policy)# pre-shared-key ascii-text password
ESR1(config-ike-policy)# proposal ike_prop1
ESR1(config-ike-policy)# exit

Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

ESR1(config)# security ike gateway ike_gw1
ESR1(config-ike-gw)# ike-policy ike_pol1
ESR1(config-ike-gw)# local address 180.10.0.1
ESR1(config-ike-gw)# local network 180.10.0.1/32 protocol gre
ESR1(config-ike-gw)# remote address 80.66.0.1
ESR1(config-ike-gw)# remote network 80.66.0.1/32 protocol gre
ESR1(config-ike-gw)# mode policy-based
ESR1(config-ike-gw)# exit

Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

ESR1(config)# security ipsec proposal ipsec_prop1
ESR1(config-ipsec-proposal)# authentication algorithm md5
ESR1(config-ipsec-proposal)# encryption algorithm aes128
ESR1(config-ipsec-proposal)# pfs dh-group 2
ESR1(config-ipsec-proposal)# exit

ESR1(config)# security ipsec policy ipsec_pol1
ESR1(config-ipsec-policy)# proposal ipsec_prop1
ESR1(config-ipsec-policy)# exit

Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

ESR1(config)# security ipsec vpn ipsec1
ESR1(config-ipsec-vpn)# mode ike
ESR1(config-ipsec-vpn)# ike establish-tunnel route
ESR1(config-ipsec-vpn)# ike gateway ike_gw1
ESR1(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
ESR1(config-ipsec-vpn)# enable
ESR1(config-ipsec-vpn)# exit

Дополнительно в security zone-pair untrusted self необходимо разрешить протоколы для GRE over IPSec туннеля:

ESR1(config)# security zone-pair untrusted self
ESR1(config-zone-pair)# rule 10
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol gre
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# rule 11
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol esp
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# rule 12
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol ah
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# exit

Конфигурирование ESR2

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

ESR2(config)# interface gigabitethernet 1/0/1
ESR2(config-if-gi)# security-zone untrusted
ESR2(config-if-gi)# ip address 80.66.0.1/30
ESR2(config-if-gi)# exit

Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:

ESR2(config)# tunnel gre 1
ESR2(config-gre)# ttl 16
ESR2(config-gre)# security-zone trusted
ESR2(config-gre)# local address 80.66.0.1
ESR2(config-gre)# remote address 180.10.0.1
ESR2(config-gre)# ip address 10.10.10.2/30
ESR2(config-gre)# enable
ESR2(config-gre)# exit

Создадим статический маршрут для подсети 180.10.0.0/30:

ESR2(config)# ip route 180.10.0.0/30 80.66.0.2

Создадим статический маршрут подсети LAN1 - 1.1.1.0/24 через tunnel gre 1:

ESR2(config)# ip route 1.1.1.0/24 tunnel gre 1

ESR2(config)# security ike proposal ike_prop1
ESR2(config-ike-proposal)# authentication algorithm md5
ESR2(config-ike-proposal)# encryption algorithm aes128
ESR2(config-ike-proposal)# dh-group 2
ESR2(config-ike-proposal)# exit

ESR2(config)# security ike policy ike_pol1
ESR2(config-ike-policy)# pre-shared-key ascii-text password
ESR2(config-ike-policy)# proposal ike_prop1
ESR2(config-ike-policy)# exit

ESR2(config)# security ike gateway ike_gw1
ESR2(config-ike-gw)# ike-policy ike_pol1
ESR2(config-ike-gw)# local address 80.66.0.1
ESR2(config-ike-gw)# local network 80.66.0.1/32 protocol gre
ESR2(config-ike-gw)# remote address 180.10.0.1
ESR2(config-ike-gw)# remote network 180.10.0.1/32 protocol gre
ESR2(config-ike-gw)# mode policy-based
ESR2(config-ike-gw)# exit

ESR2(config)# security ipsec proposal ipsec_prop1
ESR2(config-ipsec-proposal)# authentication algorithm md5
ESR2(config-ipsec-proposal)# encryption algorithm aes128
ESR2(config-ipsec-proposal)# pfs dh-group 2
ESR2(config-ipsec-proposal)# exit

ESR2(config)# security ipsec policy ipsec_pol1
ESR2(config-ipsec-policy)# proposal ipsec_prop1
ESR2(config-ipsec-policy)# exit

Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

ESR2(config)# security ipsec vpn ipsec1
ESR2(config-ipsec-vpn)# mode ike
ESR2(config-ipsec-vpn)# ike establish-tunnel route
ESR2(config-ipsec-vpn)# ike gateway ike_gw1
ESR2(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
ESR2(config-ipsec-vpn)# enable
ESR2(config-ipsec-vpn)# exit

Источник:
docs.eltex-co.ru

[ESR] GRE over IPSec между ESR и Cisco

Настроить GRE over IPSec туннель между ESR и Cisco. На туннелях дополнительно настроить протокол динамической маршрутизации OSPF.

При настройке IPSec на ESR включен способ установления соединения ike establish-tunnel route, при таком режиме IPSec туннель поднимется при наличии транзитного трафика. Loopback интерфейсы необходимы для проверки работоспособности IPSec туннеля (передачи транзитного трафика) и в конфигурации не обязательны.

ESR:

1) Конфигурация:

esr# show running-config
router ospf log-adjacency-changes
router ospf 1
router-id 10.110.0.66
area 0.0.0.1
enable
exit
enable
exit

interface gigabitethernet 1/0/1
ip firewall disable
ip address 100.100.0.2/24
exit
interface loopback 1
ip address 2.2.2.2/32
exit
tunnel gre 1
mtu 1476
ip firewall disable
local address 100.100.0.2
remote address 10.10.0.13
ip address 10.110.0.66/30
ip ospf instance 1
ip ospf area 0.0.0.1
ip ospf
enable
exit

security ike proposal IKEPROP
encryption algorithm aes128
dh-group 2
exit

security ike policy IKEPOL
lifetime seconds 86400
pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
proposal IKEPROP
exit

security ike gateway IKEGW
ike-policy IKEPOL
local address 100.100.0.2
local network 100.100.0.2/32 protocol gre
remote address 10.10.0.13
remote network 10.10.0.13/32 protocol gre
mode policy-based
exit

security ipsec proposal IPPROP
encryption algorithm aes128
exit

security ipsec policy IPPOL
proposal IPPROP
exit

security ipsec vpn IPSEC
mode ike
ike establish-tunnel route
ike gateway IKEGW
ike ipsec-policy IPPOL
enable
exit

ip route 0.0.0.0/0 tunnel gre 1
ip route 10.10.0.0/24 100.100.0.1

2) Информация о состоянии протокола OSPF и IPSec туннеля:

esr# show ip ospf neighbors
Router ID   Pri State    DTime Interface         Router IP
---------   --- -----    ----- ----------------- ---------
10.110.0.65 1   Full/BDR 00:35 gre 1             10.110.0.65

esr# show security ipsec vpn status IPSEC
Currently active IKE SA:
Name: IPSEC
State: Established
Version: v1-only
Unique ID: 3
Local host: 100.100.0.2
Remote host: 10.10.0.13
Role: Initiator
Initiator spi: 0x15dc63f5881abbb0
Responder spi: 0xd45e86e5abb121d9
Encryption algorithm: des
Authentication algorithm: sha1
Diffie-Hellman group: 2
Established: 12 minutes and 34 seconds ago
Rekey time: 12 minutes and 34 seconds
Reauthentication time: 23 hours, 32 minutes and 7 seconds
Child IPsec SAs:
Name: IPSEC
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes128
Authentication algorithm: sha1
Rekey time: 32 minutes
Life time: 47 minutes and 26 seconds
Established: 12 minutes and 34 seconds ago
Traffic statistics:
Input bytes: 540
Output bytes: 540
Input packets: 5
Output packets: 5

Cisco:

1) Конфигурация:

crypto isakmp policy 2
encr aes
authentication pre-share
group 2
crypto isakmp key password address 100.100.0.2
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set strong esp-aes esp-sha-hmac
!
crypto map mymap local-address FastEthernet0/0
crypto map mymap 119 ipsec-isakmp
set peer 100.100.0.2
set transform-set strong
match address 119
!
!
interface Loopback1
ip address 1.1.1.1 255.255.255.255
!
!
interface Tunnel2
ip address 10.110.0.65 255.255.255.252
ip ospf 1 area 0.0.0.1
ip ospf network broadcast
tunnel source 10.10.0.13
tunnel destination 100.100.0.2
!
!
interface FastEthernet0/0
ip address 10.10.0.13 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
router ospf 1
router-id 10.110.0.65
log-adjacency-changes
!
ip route 100.100.0.0 255.255.255.0 10.10.0.1
ip route 0.0.0.0 0.0.0.0 Tunnel2
!
access-list 119 permit gre host 10.10.0.13 host 100.100.0.2

2) Информация о состоянии протокола OSPF и IPSec туннеля:

Router#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
10.110.0.66 0 FULL/ - 00:00:32 10.110.0.66 Tunnel2

Router#show crypto ipsec sa
interface: FastEthernet0/0
Crypto map tag: mymap, local addr 10.10.0.13
protected vrf: (none)
local ident (addr/mask/prot/port): (10.10.0.13/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (100.100.0.2/255.255.255.255/47/0)
current_peer 100.100.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.10.0.13, remote crypto endpt.: 100.100.0.2
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0xC9A1F292(3382833810)
PFS (Y/N): Y, DH group: group2
inbound esp sas:
spi: 0x7783E2D2(2005131986)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4480312/3033)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xC9A1F292(3382833810)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: FPGA:2, sibling_flags 80000046, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4480312/3033)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:

Источник:
docs.eltex-co.ru

[ESR] IP unnumbered

Имеется маршрутизатор R1 к которому подключен 2 клиента. Клиентам необходимо выделить IP адреса из пула 10.10.10.0/24, но таким образом чтобы они не имели доступ к друг другу. Одним из решений было бы разбить 24 маску на 30, но в таком случае распределение IP адресов крайне не экономично. В данном случае отличным решением будет использование технологии IP unnumbered.

Задача:

Выдать клиенту client1 один IP адрес.
Выдать клиенту client2 три IP адреса.

Решение:

На маршрутизаторе R1 настроим loopback-интерфейс и повешаем наго IP адрес из пула который будем раздовать другим маршрутизаторам:

    esr-200# config
    esr-200(config)# interface loopback 1
    esr-200(config-loopback)# ip address 10.10.10.254/24
    esr-200(config-loopback)# exit

Далее настроим интерфейсы к которым подключены клиенты:

    esr-200(config)# interface gigabitethernet 1/0/2
    esr-200(config-if-gi)# ip unnumbered loopback 1
    esr-200(config-if-gi)# ip firewall disable
    esr-200(config-if-gi)# exit
    esr-200(config)# interface gigabitethernet 1/0/3
    esr-200(config-if-gi)# ip unnumbered loopback 1
    esr-200(config-if-gi)# ip firewall disable
    esr-200(config-if-gi)# exit

И последнее что осталось, это прописать маршрут до IP адресов которые отдаем клиентам:

    esr-200(config)# ip route 10.10.10.1/32 interface gigabitethernet 1/0/2 name client1
    esr-200(config)# ip route 10.10.10.2/32 interface gigabitethernet 1/0/3 name client2
    esr-200(config)# ip route 10.10.10.3/32 interface gigabitethernet 1/0/3 name client2
    esr-200(config)# ip route 10.10.10.4/32 interface gigabitethernet 1/0/3 name client2
    esr-200(config)# exit
    esr-200# commit
    esr-200# confirm

А теперь осталось настроить у клиента IP адрес 10.10.10.1 с маской 255.255.255.0 и шлюзом 10.0.0.2 (интерфейс R1 смотрящий в интернет). Точно также делаем на всех ПК воторого клиента.

Источник:
docs.eltex-co.ru

ESR-31 Сервисный маршрутизатор Eltex

ESR-31

Тех. характеристики

Описание

Файлы

Спецификация

Модули

Комплектация

Услуги

Настройка

Общие параметры ESR-31 Eltex

Destanation NAT

NAT Hairpinning