ESR-3200L сервисный маршрутизатор Eltex
В разработке
Это фото от пользователя
Это фото от пользователя
Артикул:
ESR-3200L
Сервисный маршрутизатор ESR-3200L, 4x1000BASE-X/10GBASE-R/25GBASE-R (LAN/WAN), 8x10GBASE-R SFP+/1000BASE-X SFP (LAN/WAN), Console RS-232 (RJ-45), OOB, USB 2.0, 1 cлот для microSD-карт
Наличие:
Скидка с первого заказа!
Гарантия до 5 лет
Мы дилер №1 Eltex
Возраст: 35 лет
Офис: Новосибирск
Опыт работы с Eltex: 6 лет
Выполненные проекты:
- Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Новосибирск
- Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Омск
- Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Воронеж
Возраст: 36 лет
Офис: Новосибирск
Опыт работы с Eltex: 7 лет
Выполненные проекты:
- Создание сети передачи данных для ВУЗа в Нижнем Новгороде
- Более 100 GPON проектов
Возраст: 38 лет
Офис: Новосибирск
Опыт работы с Eltex: 9 лет
Возраст: 33 года
Офис: Новосибирск
Опыт работы с Eltex: 9 лет
Выполненные проекты:
- Модернизация сети ШПД АО "Концерн "Созвездие"
- Модернизация сети, переход на отечественного вендора ООО "Татаиснефть"
- Создание сети нового тракторного завода (НТЗ) - КЗ Ростсельмаш
Возраст: 35 лет
Офис: Новосибирск
Опыт работы с Eltex: 6 лет
Выполненные проекты:
- Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Новосибирск
- Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Омск
- Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Воронеж
Офис: Новосибирск
Возраст: 30 лет
Офис: Новосибирск
Опыт работы с Eltex: 7 лет
Выполненные проекты:
- Создание IP-телефонии на базе ECSS-10 для Газпром Недра г. Тюмень
- Создание IP-телефонии на базе SMG-3016 для ПАО "Кузнецов"
- Организация сети GPON для оператора DGTEK Австралия, г. Мельбурн
- Модернизация телекоммуникационной сети в ПАО Камчатскэнерго
Возраст: 38 лет
Офис: Новосибирск
Опыт работы с Eltex: 4 года
Выполненные проекты:
- Модернизация телефонии в Управлении Гидрометеорологии на базе АТС SMG-1016M
- Проект бесшовного Wi-Fi роуминга для ВУЗа
- Модернизация ЛВС для Высшего учебного заведения
Возраст: 37 лет
Офис: Новосибирск
Опыт работы с Eltex: 4 года
Выполненные проекты:
- Организация системы видеонаблюдения на 7 этажах в ТРЦ, г Москва
- Поставка оборудования ШПД, Wi-Fi и VoIP телефонии для строительства Хореографической академии и Музыкальной школы на Дальнем Востоке
- Проработка решения по созданию ЦОД на металлургическом комбинате, Сибирский ФО
- Строительство физкультурно-оздоровительного комплекса в Ленинградской области, поставка оборудования ШПД, Организация Wi-Fi, и VoIP телефонии
- Проработка и реализация решения по созданию Wi-Fi сети для государственных ВУЗов в городах Томск, Москва, Новосибирск
- Построение бесшовного Wi-Fi на территории производственного комплекса и центрального склада фармацевтической компании
- Поставка оборудования ШПД и VoIP телефонии для проекта капитального ремонта школы в Волгоградской области
Возраст: 35 лет
Офис: Новосибирск
Опыт работы с Eltex: 3 года
Выполненные проекты:
- Школа г. Москва, р-н Люблино: построение сетевой инфраструктуры (ШПД, Wi-Fi, VoIP)
- Складское помещение крупной компании в г. Красноярске: проект по организации Wi-Fi в офисе
- Проект Сибирского государственного индустриального университета по модернизации внутренней сети ШПД
- Проект модернизации сети передачи данных в Администрации Карасукского р-на Новосибирской области.
Возраст: 27 лет
Офис: Новосибирск
Опыт работы с Eltex: 2 года
Выполненные проекты:
- Реализация Wi-Fi точек на крупном логистическом складе транспортной компании
- Разработка и реализация проекта по внедрению технологического видеонаблюдения в транспортно - упаковочной линии цеха целлюлозно - бумажного комбината
- Модернизация телефонии в Удмуртском драмтеатре
- Модернизация ЛВС на производстве в Нижнекамске
Возраст: 32 года
Офис: Новосибирск
Опыт работы с Eltex: 4 года
Выполненные проекты:
- Обучение по курсу "Использование коммутаторов MES" для СПБ ГБУ Ленсвет
- Проект модернизации ЛВС для УССИ ФСО СПБ
- Замена оборудования иностранных вендоров в высших учебных заведениях
Возраст: 26 лет
Офис: Новосибирск
Возраст: 32 года
Офис: Новосибисрк
Возраст: 21 год
Офис: Новосибирск
Опыт работы с Eltex: 1 год
Выполненные проекты:
- Модернизация сети ШПД АО "Концерн "Созвездие"
- Модернизация сети, переход на отечественного вендора ООО "Татаиснефть"
- Создание сети нового тракторного завода (НТЗ) - КЗ Ростсельмаш
Возраст: 25 лет
Офис: Новосибирск
Общие параметры ESR-3200L Eltex
| Кол-во портов ESR | 12 |
| Установка в стойку esr | 1U |
| BRAS esr | Да |
| ФСТЭК | Нет |
| Количество портов 10G | 8 |
| Количество портов 25G | 4 |
| Питание | 2 смен.БП |
| Количество маршрутов OSPF | 500k |
| Количество маршрутов ISIS | 500k |
| Количество маршрутов RIP | 10k |
| Макс. скорость портов | 25 G |
| В реестре Минпромторга (ТОРП) | Получение |
| Размер базы FIB | 1,7M |
| Количество маршрутов BGP | 5M |
| Производительность (фреймы 1518B) Гбит/с | 18.2 |
| Производительность (фреймы 1518B) k пкт/с | 1495.1 |
| Производительность (фреймы 74B) Гбит/с | 0.87 |
| Производительность (фреймы 74B) k пкт/с | 1475.6 |
| Производительность IMIX, Гбит/с | 8.4 |
| Производительность IMIX, k пкт/с | 1520 |
| IPsec Гбит/с | 0.78 |
| Downlink порты SFP+ | 8 |
| Размер коробки ШхВхГ, мм | 430 x 44 x 330 |
| Вес брутто, кг | 5 |
- Маршрутизация данных
- Аппаратное ускорение обработки данных
- Многопротокольная коммутация по меткам (MPLS)
- Построение защищенного периметра сети (NAT, Firewall)
- Мониторинг и предотвращение сетевых атак (IPS/IDS)
- Мониторинг качества обслуживания (SLA)
- Фильтрация сетевых данных по различным критериям (включая фильтрацию по приложениям)
- Организация защищенных сетевых туннелей между филиалами компаний
- Удаленное подключение сотрудников к офису
- Управление и распределение ширины Интернет-канала в офисе посредством QoS
- Организация резервного соединения (проводное или посредством 3G/LTE-модема)
- Терминирование клиентов и ограничений по полосе пропускания BRAS (IPoE)
- Возможность сопряжения с оборудованием ведущих производителей
Сервисный маршрутизатор ESR-3200L — это устройство, представляющее собой универсальную аппаратную платформу и способное выполнять широкий круг задач, связанных с сетевой защитой, шифрованием передаваемых данных, терминированием пользователей и т. д.
ESR-3200L входит в состав серии маршрутизаторов ESR, ключевыми элементами которой являются средства для программной и аппаратной обработки данных. За счет оптимального распределения функций обработки данных между частями устройства достигается максимальная производительность.
Указанные в технической документации значения являются приблизительными, поскольку разработка устройства еще не завершена. Точные показатели будут опубликованы после финального тестирования и выхода модели в предсерийное производство
Интерфейсы
- 1000BASE-X/10GBASE-R/25GBASE-R (LAN/WAN) - 4
- 10GBASE-R SFP+/1000BASE-X SFP (LAN/WAN) - 8
- Console RS-232 (RJ-45) - 1
- OOB - 1
- USB 2.0 - 1
- Слот для microSD-карт - 1
Производительность
- Производительность Firewall/NAT/маршрутизации (фреймы 1518B) - 18,2 Гбит/с; 1495,1k пакетов/с
- Производительность Firewall/NAT/маршрутизации (фреймы 74B) - 873,6 Мбит/с; 1475,6k пакетов/с
- Производительность Firewall/NAT/маршрутизации (IMIX)1 - 8,4 Гбит/с; 1520k пакетов/с
- Производительность IPsec VPN (фреймы 1456B) - 1,1 Гбит/с; 127k пакетов/с
- Производительность IPsec (IMIX) - 779,2 Мбит/с; 145,5k пакетов/с
Системные характеристики
- Количество VPN-туннелей - 500
- Статические маршруты - 11k
- Количество конкурентных сессий - 512k
- Поддержка VLAN - до 4k активных VLAN в соответствии с 802.1Q
- Количество маршрутов BGP - 5 M
- Количество маршрутов OSPF - 500 k
- Количество маршрутов RIP - 10k
- Размер базы FIB - 1,7 M
- VRF - 32
Подключаемые интерфейсы
- USB 3G/4G/LTE-модем
- E1 TopGate SFP
Клиенты Remote Access VPN
- PPTP/PPPoE/L2TP/OpenVPN/IPsec XAUTH
Сервер Remote Access VPN
- L2TP/PPTP/OpenVPN/IPsec XAUTH
Site-to-site VPN
- IPsec: режимы «policy-based» и «route-based»
- DMVPN
- Алгоритмы шифрования DES, 3DES, AES, Blowfish, Camellia
- Аутентификация сообщений IKE MD5, SHA-1, SHA-2
Туннелирование
- IPoGRE, EoGRE
- IPIP
- L2TPv3
- LT (inter VRF routing)
Функции L2
- Коммутация пакетов (bridging)
- Агрегация интерфейсов LAG/LACP (802.3ad)
- Поддержка VLAN (802.1Q)
- Логические интерфейсы
- LLDP, LLDP MED
- VLAN на основе MAC
Функции L3 (IPv4/IPv6)
- Трансляция адресов NAT, Static NAT, ALG
- Статические маршруты
- Протоколы динамической маршрутизации RIPv2, OSPFv2/v3, IS-IS, BGP
- Фильтрация маршрутов (prefix list)
- VRF
- Policy Based Routing (PBR)
- BFD для BGP, OSPF, статических маршрутов
BRAS (IPoE)2
- Терминация пользователей
- Белые/черные списки URL
- Квотирование по объёму трафика, по времени сессии, по сетевым приложениям
- HTTP/HTTPS Proxy
- HTTP/HTTPS Redirect
- Аккаунтинг сессий по протоколу Netflow
- Взаимодействие с серверами ААА, PCRF
- Управление полосой пропускания по офисам и SSID, сессиям пользователей
- Аутентификация пользователей по MAC- или IP-адресам
Функции сетевой защиты
- Система обнаружения и предотвращения вторжений (IPS/IDS)2
- Взаимодействие с Eltex Distribution Manager для получения лицензируемого контента — наборы правил, предоставляемые Kaspersky SafeStream II2
- Web-фильтрация по URL, по содержимому (cookies, ActiveX, JavaScript)
- Zone-based Firewall
- Фильтрация на базе L2/L3/L4-полей и по приложениям
- Поддержка списков контроля доступа (ACL) на базе L2/L3/L4-полей
- Защита от DoS/DDoS-атак и оповещение об атаках
- Логирование событий атак, событий срабатывания правил
Качество обслуживания (QoS)
- До 8 приоритетных или взвешанных очередей на порт
- L2- и L3-приоритизация трафика (802.1p (cos), DSCP, IP Precedence (tos))
- Предотвращение перегрузки очередей RED, GRED
- Средства перемаркирования приоритетов
- Применение политик (policy-map)
- Управление полосой пропускания (shaping)
- Иерархический QоS
- Маркировка сессий
Управление IP-адресацией (IPv4/IPv6)
- Статические IP-адреса
- DHCP-клиент
- DHCP Relay Option 82
- Встроенный сервер DHCP, поддержка опций 43, 60, 61, 150
- DNS resolver
- IP unnumbered
Средства обеспечения надежности сети
- VRRP v2,v3
- Управление маршрутами на основе состояния VRRP (tracking)
- Балансировка нагрузки на WAN-интерфейсах, перенаправление потоков данных, переключение при оценке качества канала
- Резервирование сессий firewall
Мониторинг и управление
- Поддержка стандартных и расширенных SNMP MIB, RMONv1
- Встроенный Zabbix agent
- Аутентификация пользователей по локальной базе средствами протоколов RADIUS, TACACS+, LDAP
- Защита от ошибок конфигурирования, автоматическое восстановление конфигурации. Возможность сброса конфигурации к заводским настройкам
- Интерфейсы управления CLI
- Поддержка Syslog
- Монитор использования системных ресурсов
- Ping, traceroute (IPv4/IPv6), вывод информации о пакетах в консоли
- Обновление ПО, загрузка и выгрузка конфигурации по TFTP, SCP, FTP, SFTP, HTTP(S)
- Поддержка NTP
- Netflow v5/v9/v10 (экспорт статистики URL для HTTP, host для HTTPS)
- Локальное управление через консольный порт RS-232 (RJ-45)
- Удаленное управление, протоколы Telnet, SSH (IPv4/IPv6)
- Вывод информации по сервисам/процессам
- Локальное/удаленное сохранение конфигураций маршрутизатора
MPLS
- Поддержка протокола LDP
- Поддержка L2VPN VPWS
- Поддержка L2VPN VPLS Martini Mode
- Поддержка L2VPN VPLS Kompella Mode
- Поддержка L3VPN MP-BGP
Функции контроля SLA
- Eltex SLA
Оценка параметров каналов связи:- Delay (one-way/two-way)
- Jitter (one-way/two-way)
- Packet loss (one-way/two-way)
- Коэффициент ошибок в пакетах
- Нарушение последовательности доставки пакетов
Физические характеристики и условия окружающей среды
- Максимальная потребляемая мощность - 105,3 Вт
- Питание
- 100–240 В AC, 50–60 Гц
- 36–72 В DC
- Варианты питания: до двух источников питания с возможностью горячей замены
- Габариты (Ш × В × Г) - 430 × 44 × 330 мм
- Масса - 5 кг
- Интервал рабочих температур - от -10 до +45 °С
- Интервал температуры хранения от -40 до +70 °С
- Относительная влажность при эксплуатации не более 80 %
- Относительная влажность при хранении от 10 % до 95 %
Набор функций соответствует версии ПО 1.23
118:74;5:512;7:1518
2 Активируется лицензией
Сервисный маршрутизатор ESR-3200L, 4x1000BASE-X/10GBASE-R/25GBASE-R (LAN/WAN), 8x10GBASE-R SFP+/1000BASE-X SFP (LAN/WAN), Console RS-232 (RJ-45), OOB, USB 2.0, 1 cлот для microSD-карт
Сертификаты на гарантию, замену, техподдержку
Скачать регламенты
Продление гарантийного обслуживания, ESR-3200L (используется при покупке с новым оборудованием. Включена в т.ч. стандартная гарантия производителя - 1 год)
[ для нового оборудования ]
Продление гарантийного обслуживания, ESR-3200L (используется при покупке для ранее приобретенного оборудования)
[ для уже купленного оборудования ]
Сертификат на консультационные услуги по вопросам эксплуатации оборудования Eltex - ESR-3200L - безлимитное количество обращений 8х5 (услуга оказывается по московскому времени)
Сертификат на услугу по отправке оборудования на подмену на следующий рабочий день (next business shipping) в случае выхода из строя оборудования, ESR-3200L (услуга оказывается при наличии действующей гарантии)
Обучение в Академии Eltex
[ESR] Настройка Route-based IPsec VPN
IPsec – это набор протоколов, которые обеспечивают защиту передаваемых с помощью IP-протокола данных.
Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
Рисунок 1 – Схема сети
Задача: Настроить IPsec-туннель между R1 и R2.
- R1 IP адрес - 120.11.5.1;
- R2 IP адрес - 180.100.0.1;
- IKE:
группа Диффи-Хэллмана: 2;
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5. - IPSec:
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5.
Решение:
1. Конфигурирование R1
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
esr# configureesr(config)# interface gi 1/0/1esr(config-if-gi)# ip address 120.11.5.1/24esr(config-if-gi)# security-zone untrustedesr(config-if-gi)# exit
Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:
esr(config)# tunnel vti 1esr(config-vti)# local address 120.11.5.1esr(config-vti)# remote address 180.100.0.1esr(config-vti)# enableesr(config-vti)# exit
Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:
esr(config)# object-group service ISAKMPesr(config-object-group-service)# port-range 500esr(config-object-group-service)# exit
Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:
esr(config)# ip route 10.0.0.0/16 tunnel vti 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
esr(config)# security ike proposal ike_prop1esr(config-ike-proposal)# dh-group 2esr(config-ike-proposal)# authentication algorithm md5esr(config-ike-proposal)# encryption algorithm aes128esr(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
esr(config)# security ike policy ike_pol1esr(config-ike-policy)# pre-shared-key hexadecimal 123FFFesr(config-ike-policy)# proposal ike_prop1esr(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
esr(config)# security ike gateway ike_gw1esr(config-ike-gw)# ike-policy ike_pol1esr(config-ike-gw)# mode route-basedesr(config-ike-gw)# bind-interface vti 1esr(config-ike-gw)# version v2-onlyesr(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
esr(config)# security ipsec proposal ipsec_prop1esr(config-ipsec-proposal)# authentication algorithm md5esr(config-ipsec-proposal)# encryption algorithm aes128esr(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
esr(config)# security ipsec policy ipsec_pol1esr(config-ipsec-policy)# proposal ipsec_prop1esr(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
esr(config)# security ipsec vpn ipsec1esr(config-ipsec-vpn)# mode ikeesr(config-ipsec-vpn)# ike establish-tunnel immediateesr(config-ipsec-vpn)# ike gateway ike_gw1esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1esr(config-ipsec-vpn)# enableesr(config-ipsec-vpn)# exitesr(config)# exit
2. Конфигурирование R2
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
esr# configureesr(config)# interface gi 1/0/1esr(config-if)# ip address 180.100.0.1/24esr(config-if)# security-zone untrustedesr(config-if)# exit
Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:
esr(config)# tunnel vti 1esr(config-vti)# remote address 120.11.5.1esr(config-vti)# local address 180.100.0.1esr(config-vti)# enableesr(config-vti)# exit
Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:
esr(config)# object-group service ISAKMPesr(config-addr-set)# port-range 500esr(config-addr-set)# exit
Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:
esr(config)# ip route 10.0.0.0/16 tunnel vti 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
esr(config)# security ike proposal ike_prop1esr(config-ike-proposal)# dh-group 2esr(config-ike-proposal)# authentication algorithm md5esr(config-ike-proposal)# encryption algorithm aes128esr(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
esr(config)# security ike policy ike_pol1esr(config-ike-policy)# pre-shared-key hexadecimal 123FFFesr(config-ike-policy)# proposal ike_prop1esr(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
esr(config)# security ike gateway ike_gw1esr(config-ike-gw)# ike-policy ike_pol1esr(config-ike-gw)# mode route-basedesr(config-ike-gw)# bind-interface vti 1esr(config-ike-gw)# version v2-onlyesr(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec туннеля:
esr(config)# security ipsec proposal ipsec_prop1esr(config-ipsec-proposal)# authentication algorithm md5esr(config-ipsec-proposal)# encryption algorithm aes128esr(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
esr(config)# security ipsec policy ipsec_pol1esr(config-ipsec-policy)# proposal ipsec_prop1esr(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
esr(config)# security ipsec vpn ipsec1esr(config-ipsec-vpn)# mode ikeesr(config-ipsec-vpn)# ike establish-tunnel immediateesr(config-ipsec-vpn)# ike gateway ike_gw1esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1esr(config-ipsec-vpn)# enableesr(config-ipsec-vpn)# exitesr(config)# exit
Состояние туннеля можно посмотреть командой:
esr# show security ipsec vpn status ipsec1
Конфигурацию туннеля можно посмотреть командой:
esr# show security ipsec vpn configuration ipsec1
[ESR] BGP + Route-map
Задача:
Настроить BGP c AS 2500 на маршрутизаторе ESR и установить соседство с AS20;
Задача:
- Настроить BGP c AS 2500 на маршрутизаторе ESR и установить соседство с AS20;
- Отфильтровать на R2 из принмаемого маршрута 198.51.100.0/24 сеть, префикс которой соответствует 28
- Отфильтровать на R2 из принмаемого маршрута 203.0.113.0/24 сеть, префикс которой меньше или соответствует 30
- Отфильтровать на R2 из принмаемого маршрута 203.0.100.0/20 сеть, префикс которой больше или соответствует 24
- Задать каждой сети приоритет со значение local-preference 200
!!! Важно: при использовании eBGP для анонса маршрутной информации необходимо дать разрешающее правило с помощью route-map либо prefix-list, пример:
route-map BGP_OUT
rule 1
action permit
exit
exit
router bgp 1
address-family ipv4
neighbor 192.168.1.1
remote-as 2
route-map BGP_OUT out
enable
exit
enable
exit
exit
Решение:
Настроим BGP на ESR:
esr-200# configure
esr-200(config)# router bgp 2500
esr-200(config-bgp)# address-family ipv4
esr-200(config-bgp-af)# neighbor 185.0.0.2
esr-200(config-bgp-neighbor)# remote-as 20
esr-200(config-bgp-neighbor)# update-source 185.0.0.1
esr-200(config-bgp-neighbor)# enable
esr-200(config-bgp-neighbor)# exit
esr-200(config-bgp-af)# enable
esr-200(config-bgp-af)# exit
esr-200(config-bgp)# exit
Далее создадим необходимые правила для фильтрации маршрутов:
esr-200(config)# route-map in
esr-200(config-route-map)# rule 10
esr-200(config-route-map-rule)# match ip address 198.51.100.0/24 eq 28
esr-200(config-route-map-rule)# action set local-preference 200
esr-200(config-route-map-rule)# action permit
esr-200(config-route-map-rule)# exit
esr-200(config-route-map)#rule 20
esr-200(config-route-map-rule)# match ip address 203.0.113.0/24 ge 30
esr-200(config-route-map-rule)# action set local-preference 200
esr-200(config-route-map-rule)# action permit
esr-200(config-route-map-rule)# exit
esr-200(config-route-map)#rule 30
esr-200(config-route-map-rule)# match ip address 203.0.100.0/20 le 24
esr-200(config-route-map-rule)# action set local-preference 200
esr-200(config-route-map-rule)# action permit
esr-200(config-route-map-rule)# exit
esr-200(config-route-map-rule)# exit
esr-200(config-route-map)# exit
Теперь осталось прикрепить route-map к BGP:
esr-200(config)# router bgp 2500
esr-200(config-bgp)# address-family ipv4
esr-200(config-bgp-af)# neighbor 185.0.0.2
esr-200(config-bgp-neighbor)# route-map in in
esr-200(config-bgp-neighbor)# end
esr-200# commit
esr-200# confirm
[ESR] Bidirectional Forwarding Detection (BFD) для OSFP и BGP
Bidirectional Forwarding Detection protocol (BFD) — протокол, созданный для быстрого обнаружения неисправностей линков.
Два устройства согласовывают и устанавливают BFD сессию, отправляют друг другу hello-сообщения, Если hello-сообщения перестают поступать от соседа, BFD-сессия разрывается и система оповещается о неполадках в коммуникациях.
BFD может определить неисправность линка менее чем за 1 секунду (для маршрутизаторов Eltex ESR этот параметр можно регулировать в диапазоне от 200 до 65535 миллисекунд).
В реализации ПО начиная с версии 1.4.0 включительно, поддержаны протоколы BGP и OSPF и статических маршрутов.
В разработке находится реализация использования BFD для статических маршрутов.
Настройка механизма BFD сводится к двум шагам:
ШАГ 1. Настройка параметров BFD производится как в глобальном режиме, так и в режимах конфигурирования интерфейсов и туннелей (если параметры различаются по направлениям):
# configure
# configure-if-view
# configure-tunnel-view
[no] ip bfd min-rx-interval <TIME> - Минимальный интервал приёма для обнаружения ошибки
[no] ip bfd min-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки
[no] ip bfd idle-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки, когда сессия неактивна
[no] ip bfd multiplier <MULTIPLIER> - Число пропущенных пакетов, после которого сессия будет объявлена неактивной
[no] ip bfd passive - Не отправлять BFD-пакеты, пока не будет получен пакет от соседнего устройства
MULTIPLIER := 5 .. 100
TIME := время в миллисекундах 200 .. 65535
Если пропустить этот шаг, то будут использоваться параметры по умолчанию:
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No
ШАГ 2. Активация протокола BFD.
Для протокола BGP производится в режиме конфигурирования BGP соседа:
# bgp-neighbor-view
[no] bfd enable - Включение/Выключение BFD для данного соседа BGP
Обязательно при использовании BFD указываем upadate-source для указания source IP процессу BFD:
# update-source <A.B.C.D>
[no] update-source - указать/убрать адрес источника для BFD процесса
Для протокола OSPF BFD активировать необходимо в режиме конфигурирования интерфеса, на котором запущен протокол OSPF:
# configure-if-view
[no] ip ospf bfd-enable
Для статических маршрутов активация BFD происходит указанием после указания шлюза:
# configure-view
[no] ip route <A.B.C.D/N> <IP_GATEWAY> bfd
После применения и подверждения конфигурации протокол BFD запустится в работу:
esr #commit
esr #confirm
Текущие значение параметров BFD для глобального режима:
esr# show ip bfd
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No
Текущие значение параметров BFD для конкретного интерфеса и туннеля:
esr# sh ip bfd interface gigabitethernet 1/0/1
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No
esr# sh ip bfd interface gre 1
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No
[ESR] BRAS без SoftWLC
Задача: настроить BRAS без поддержки SoftWLC.
Решение:
Шаг 1. Настройка FreeRADIUS - сервера.
Для FreeRADIUS сервера нужно задать подсеть, из которой могут приходить запросы и добавить список пользователей. Для этого в файл users в директории с файлами конфигурации FreeRADIUS сервера нужно добавить:
Профиль пользователя:
<MACADDR> Cleartext-Password := <MACADDR>
# Имя пользователя
User-Name = <USER_NAME>,
# Максимальное время жизни сессии
Session-Timeout = <SECONDS>,
# Максимальное время жизни сесиии при бездействии пользователя
Idle-Timeout = <SECONDS>,
# Время на обновление статистики по сессии
Acct-Interim-Interval = <SECONDS>,
# Имя сервиса для сессии (A - сервис включен, N - сервис выключен)
Cisco-Account-Info = "{A|N}<SERVICE_NAME>"
Профиль сервиса:
<SERVICE_NAME> Cleartext-Password := <MACADDR>
# Соответствует имени class-map в настройках ESR
Cisco-AVPair = "subscriber:traffic-class=<CLASS_MAP>",
# Действие, которое применяет ESR к трафику (permit, deny, redirect)
Cisco-AVPair = "subscriber:filter-default-action=<ACTION>",
# Возможность прохождения IP потоков (enabled-uplink, enabled-downlink, enabled, disabled)
Cisco-AVPair = "subscriber:flow-status=<STATUS>"
В файл clients.conf нужно добавить подсеть, в которой находится ESR:
client ESR {
ipaddr = <SUBNET>
secret = <RADIUS_KEY>
}
Шаг 2. Настройка ESR - нужно сконфигурировать:
radius-server host <IP_ADDRESS>
key ascii-text <RADIUS_KEY>
exit
aaa radius-profile bras_radius
radius-server host <IP_ADDRESS>
exit
das-server das
key ascii-text <RADIUS_KEY>
exit
aaa das-profile bras_das
das-server das
exit
ip access-list extended user_acl
rule 1
action permit
enable
exit
exit
subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
nas-ip-address <IP_ADDRESS>
session mac-authentication
default-service default-action redirect <URL>
exit
enable
exit
На интерфейсах, для которых требуется работа BRAS настроить (для успешного запуска требуется как минимум один интерфейс):
service-subscriber-control {object-group <NAME> | any}
location <L2LOCATION>
!!! Настройка действие фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:
- Создаем локальный список URL (можно указать свои URL, на которые неавторизованные пользователи смогут проходить без авторизации и без редиректа, например локальные сервисы вашей сети и ваш сайт):
object-group url defaultserv
url http://eltex.nsk.ru
url http://ya.ru
url https://ya.ru
exit
- Добавим действие фильтрации для локального списка URL в BRAS:
subscriber-control
default-service
filter-name local defaultserv
filter-action permit
end
Теперь неавторизированные пользователи будут иметь доступ к URL defaultserv без редирект, а при попытке пройти на другие сайты для них отработает редирект:
default-service
default-action redirect http://192.168.16.54:8080/eltex_portal/
Пример настройки:
Дано:
Шаг 1. Настройка FreeRADIUS - сервера:
подсеть с клиентами 10.10.0.0/16, подсеть для работы с FreeRADIUS сервером 192.168.16.140/23. Настраиваем FreeRADIUS сервер. В файл «clients.conf» добавляем строки:
client BRAS {
ipaddr = 192.168.16.140
secret = password
}
В файл «users» добавляем строки (вместо <MAC> нужно указать MAC адрес клиента):
"00-00-00-33-96-3D" Cleartext-Password := "00-00-00-33-96-3D"
User-Name = "Bras_user",
Session-Timeout = 259200,
Idle-Timeout = 259200,
Cisco-AVPair += "subscriber:policer-rate-in=1000",
Cisco-AVPair += "subscriber:policer-rate-out=1000",
Cisco-AVPair += "subscriber:policer-burst-in=188",
Cisco-AVPair += "subscriber:policer-burst-out=188",
Cisco-Account-Info = "AINTERNET"
INTERNET Cleartext-Password := "INTERNET"
User-Name = "INTERNET",
Cisco-AVPair = "subscriber:traffic-class=INTERNET",
Cisco-AVPair += "subscriber:filter-default-action=permit"
Для traffic-class в настройках сервиса нужно указать access-list из настроек ESR. Он нужен для определения какой трафик пользователя считать за трафик этого сервиса.
Шаг 2. Конфигурация ESR:
configure
object-group url defaultserv
url http://eltex.nsk.ru
url http://ya.ru
url https://ya.ru
exit
radius-server host 192.168.16.54
key ascii-text encrypted 8CB5107EA7005AFF
source-address 192.168.16.140
exit
aaa radius-profile bras_radius
radius-server host 192.168.16.54
exit
aaa radius-profile bras_radius_servers
radius-server host 192.168.16.54
exit
das-server das
key ascii-text encrypted 8CB5107EA7005AFF
exit
aaa das-profile bras_das
das-server das
exit
vlan 10
exit
ip access-list extended BYPASS
rule 1
action permit
match protocol udp
match source-port 68
match destination-port 67
enable
exit
rule 2
action permit
match protocol udp
match destination-port 53
enable
exit
rule 3
exit
exit
ip access-list extended INTERNET
rule 1
action permit
enable
exit
exit
ip access-list extended WELCOME
rule 10
action permit
match protocol tcp
match destination-port 443
enable
exit
rule 20
action permit
match protocol tcp
match destination-port 8443
enable
exit
rule 30
action permit
match protocol tcp
match destination-port 80
enable
exit
rule 40
action permit
match protocol tcp
match destination-port 8080
enable
exit
exit
subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
aaa services-radius-profile bras_radius_servers
nas-ip-address 192.168.16.140
session mac-authentication
bypass-traffic-acl BYPASS
default-service
class-map BYPASS
filter-name local defaultserv
filter-action permit
default-action redirect http://192.168.16.54/eltex_portal
session-timeout 121
exit
enable
exit
bridge 10
vlan 10
ip firewall disable
ip address 10.10.0.1/16
ip helper-address 192.168.16.54
service-subscriber-control any
location USER
protected-ports
protected-ports exclude vlan
enable
exit
interface gigabitethernet 1/0/2
ip firewall disable
ip address 192.168.16.140/23
exit
interface gigabitethernet 1/0/3.10
bridge-group 10
ip firewall disable
exit
interface gigabitethernet 1/0/4
ip firewall disable
ip address 30.30.30.2/24
exit
interface tengigabitethernet 1/0/1
ip firewall disable
exit
interface tengigabitethernet 1/0/1.10
bridge-group 10
exit
interface tengigabitethernet 1/0/1.20
ip firewall disable
ip address 20.20.20.1/24
exit
interface tengigabitethernet 1/0/1.30
bridge-group 10
exit
interface tengigabitethernet 1/0/1.40
bridge-group 10
exit
nat source
ruleset factory
to interface gigabitethernet 1/0/2
rule 10
description "replace 'source ip' by outgoing interface ip address"
match source-address any
action source-nat interface
enable
exit
exit
ip route 0.0.0.0/0 192.168.16.145
ip telnet server
[ESR] Destanation NAT + NAT Hairpinning
В сети R1 имеется web-сервер. Необходимо что бы любой пользователь интернета имели доступ к этому ресурсу. Для этого необходимо перенаправить запросы с IP 185.185.11.54 на 192.168.0.5. На R1 уже описаны зоны безопасности trusted (192.168.0.1) и untrusted (185.185.11.54).
Destanation NAT
Для начала создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.
- Net_pub – профиль адресов публичной сети;
- Srv_http – профиль портов;
- Server_ip – профиль адресов локальной сети.
esr-100(config)# object-group network Net_pub
esr-100(config-object-group-network)# ip address 185.185.11.54
esr-100(config-object-group-network)# exit
esr-100(config)# object-group service Srv_http
esr-100(config-object-group-service)# port-range 80
esr-100(config-object-group-service)# exit
esr-100(config)# object-group network Server_ip
esr-100(config-object-group-network)# ip address 192.168.0.5
esr-100(config-object-group-network)# exit
Далее приступим к настройке самого NAT. Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 185.185.11.54 из внешней сети.
esr-100(config)# nat destination
esr-100(config-dnat)# pool Server_ip
esr-100(config-dnat-pool)# ip address 192.168.0.5
esr-100(config-dnat-pool)# ip port 80
esr-100(config-dnat-pool)# exit
Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «untrusted». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».
esr-100(config-dnat)# ruleset DNAT
esr-100(config-dnat-ruleset)# from zone untrusted
esr-100(config-dnat-ruleset)# rule 1
esr-100(config-dnat-rule)# match destination-address Net_pub
esr-100(config-dnat-rule)# match protocol tcp
esr-100(config-dnat-rule)# match destination-port Srv_http
esr-100(config-dnat-rule)# action destination-nat pool Server_ip
esr-100(config-dnat-rule)# enable
esr-100(config-dnat-rule)# exit
esr-100(config-dnat-ruleset)# exit
esr-100(config-dnat)# exit
Для пропуска трафика, идущего из зоны «untrusted» в «trusted», создадим соответствующее правило. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP» и прошедший преобразование DNAT.
esr-100(config)# security zone-pair untrusted trusted
esr-100(config-zone-pair)# rule 1
esr-100(config-zone-pair-rule)# match source-address any
esr-100(config-zone-pair-rule)# match destination-address Server_ip
esr-100(config-zone-pair-rule)# match protocol any
esr-100(config-zone-pair-rule)# match destination-nat
esr-100(config-zone-pair-rule)# action permit
esr-100(config-zone-pair-rule)# enable
esr-100(config-zone-pair-rule)# exit
esr-100(config-zone-pair)# exit
esr-100# commit
esr-100# confirm
Теперь R1 будет перенаправлять обращегия как требуется. Команды для просмотра состояния и настройки NAT:
esr-100# show ip nat destination pools
esr-100# show ip nat destination rulesets
esr-100# show ip nat proxy-arp
esr-100# show ip nat translations
NAT Hairpinning
На рисунке в начале статьи видно, что в локальной сети R1 имеются свои клиенты(client), которые тоже пользуются web-сервером. Однако когда client введет в браузере доменное имя сервера, DNS перенаправит его на адрес 185.185.11.54. Для этого настроим NAT Hairpinning.
Добавим еще один профиль для внутренней сети.
esr-100(config)# object-group network LAN
esr-100(config-object-group-network)# ip prefix 192.168.0.0/24
esr-100(config-object-group-network)# exit
Добавим еще один ruleset в конфигурацию DNAT.
esr-100(config)# nat destination
esr-100(config-dnat)# ruleset loopback
esr-100(config-dnat-ruleset)# from zone trusted
esr-100(config-dnat-ruleset)# rule 10
esr-100(config-dnat-rule)# match protocol tcp
esr-100(config-dnat-rule)# match destination-address Net_pub
esr-100(config-dnat-rule)# match destination-port Srv_http
esr-100(config-dnat-rule)# action destination-nat pool Server_ip
esr-100(config-dnat-rule)# enable
esr-100(config-dnat-rule)# exit
esr-100(config-dnat-ruleset)# exit
esr-100(config-dnat)# exit
Сконфигурируем Source NAT.
esr-100(config)# nat source
esr-100(config-snat)# ruleset loopback
esr-100(config-snat-ruleset)# to zone trusted
esr-100(config-snat-ruleset)# rule 10
esr-100(config-snat-rule)# match source-address LAN
esr-100(config-snat-rule)# action source-nat interface
esr-100(config-snat-rule)# enable
esr-100(config-snat-rule)# exit
esr-100(config-snat-ruleset)# exit
esr-100(config-snat)# exit
esr-100(config)# exit
esr-100# commit
esr-100# confirm
Теперь пользователи локальной сети R1 будут попадать на web-сервер по внутреннему адресу.
[ESR] DHCP Relay
В случае, если DHCP-клиент не имеет возможности обратиться к DHCP-серверу напрямую (например, если они находятся в разных широковещательных доменах), используется так называемый DHCP-ретранслятор (relay agent), который обрабатывает клиентский широковещательный DHCP-запрос и отправляет его на DHCP-сервер в виде unicast пакета, а полученный от DHCP-сервера ответ, в свою очередь, перенаправляет DHCP-клиенту.
Рисунок 1 - Схема сети
Предварительно необходимо сконфигурировать интерфейсы:
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip address 10.0.0.1/24
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)# ip address 192.168.0.1/24
Настройки DHCP-ретранслятора на ESR сводятся к:
1. Включению DHCP relay глобально на устройстве командой
esr(config)# ip dhcp-relay
2. Указанию на интерфейсе со стороны DHCP-клинта IP адреса DHCP-сервера, на который будут перенаправляться клиентские запросы.
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)# ip helper-address 10.0.0.2
Чтобы изменения вступили в силу, необходимо ввести следующие команды:
esr# commit
Configuration has been commited
esr# confirm
Configuration has been confirmed
[ESR] Eltex SLA (Service Level Agreement)
Eltex SLA (Service Level Agreement) – двухсторонний протокол активного измерения определяет гибкий метод измерения производительности и качества работы IP между двумя сервисными маршрутизаторами Eltex ESR, поддерживающими технологию SLA.
Основная функция SLA - выполнение тестов, нацеленных на вычисление параметров канала связи:
- односторонние задержки;
- круговые задержки;
- джиттер;
- потери пакетов;
- изменение порядка следования пакетов.
Протокол IP SLA состоит из 2х фаз:
- фазы контроля;
- фазы измерений.
Предполагает наличие 2х ролей:
- sender (инициирует запуск теста с установленными параметрами);
- responder (ожидает входящих соедиений).
Пример конфигурации
Конфигурация ESR-SENDER
interface gigabitethernet 1/0/1
ip firewall disable
ip address 12.0.0.1/24
exit
ip route 0.0.0.0/0 12.0.0.2
clock timezone gmt +7
ntp enable
ntp server 192.168.1.1
minpoll 4
exit
ip sla logging
ip sla logging level error
ip sla
ip sla test 1
udp-jitter 24.0.0.3 20001 source-ip 12.0.0.1 control enable num-packets 100 interval 20
frequency 25
packet-size 64
dscp 30
cos 3
timeout 4000
thresholds losses high 15
thresholds losses forward high 5
thresholds losses reverse high 10
thresholds jitter forward high 7
thresholds jitter reverse high 15
thresholds delay high 150
thresholds delay forward high 100
thresholds delay reverse high 50
enable
exit
ip sla schedule 1 life forever start-time now
Конфигурация ESR-RESPONDER
interface gigabitethernet 1/0/1
ip firewall disable
ip address 24.0.0.3/24
ip sla responder eltex
exit
ip route 0.0.0.0/0 24.0.0.2
clock timezone gmt +7
ntp enable
ntp server 192.168.1.1
minpoll 4
exit
Просмотр статистики
ESR# show ip sla test statistics 1
Test number: 1
Transmitted packets: 100
Lost packets: 8 (8%)
Lost packets in forward direction: 4 (4%)
Lost packets in reverse direction: 4 (4%)
One-way delay forward min/avg/max: 29/52/72 milliseconds
One-way delay reverse min/avg/max: 29/52/72 milliseconds
One-way jitter forward min/avg/max: 6/11/12 milliseconds
One-way jitter reverse min/avg/max: 6/11/12 milliseconds
Two-way delay min/avg/max: 58/104/145 milliseconds
Two-way jitter min/avg/max: 13/22/25 milliseconds
Duplicate packets: 0
Out of sequence packets in forward direction: 0
Out of sequence packets in reverse direction: 0
Мониторинг
Все сообщения о превышении порог для тестовых потоков либо снижении уровня ниже допустимого занчения журналируются.
1) SYSLOG-сообщения можно перенаправлять на SYSLOG-сервер.
Конфигурация:
syslog host test 192.168.1.1 debug udp 514
Пример сообщений SYSLOG:
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses high for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse high for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses OK for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse OK for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter forward high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter OK for ip sla 1: 0 < 10
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse OK for ip sla 1: 0 < 15
2) Опрос по SNMP.
Для IP SLA доступны MIB-OID:
ELTEX-ESR-MIB.mib
ELTEX-ESR-IPSLA-MIB.mib
Конфигурация:
snmp-server
snmp-server community "publpubl" rw
snmp-server host 192.168.1.1
exit
Пример снятия статистики по SNMP:
Name/OID: eltEsrIpSlaStatTestTransmittedPackets.1; Value (Gauge): 100
Name/OID: eltEsrIpSlaStatTestLostPackets.1; Value (Gauge): 8
Name/OID: eltEsrIpSlaStatTestLostPacketsForward.1; Value (Gauge): 4
Name/OID: eltEsrIpSlaStatTestLostPacketsReverse.1; Value (Gauge): 4
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMin.1; Value (Gauge): 29
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMax.1; Value (Gauge): 52
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardAvg.1; Value (Gauge): 72
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMin.1; Value (Gauge): 29
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMax.1; Value (Gauge): 52
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseAvg.1; Value (Gauge): 72
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMin.1; Value (Gauge): 6
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMax.1; Value (Gauge): 11
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardAvg.1; Value (Gauge): 12
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMin.1; Value (Gauge): 6
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMax.1; Value (Gauge): 11
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseAvg.1; Value (Gauge): 12
Name/OID: eltEsrIpSlaStatTestTwoWayDelayMin.1; Value (Gauge): 58
Name/OID: eltEsrIpSlaStatTestTwoWayDelayMax.1; Value (Gauge): 104
Name/OID: eltEsrIpSlaStatTestTwoWayDelayAvg.1; Value (Gauge): 145
Name/OID: eltEsrIpSlaStatTestTwoWayJitterMin.1; Value (Gauge): 13
Name/OID: eltEsrIpSlaStatTestTwoWayJitterMax.1; Value (Gauge): 22
Name/OID: eltEsrIpSlaStatTestTwoWayJitterAvg.1; Value (Gauge): 025
Name/OID: eltEsrIpSlaStatTestDuplicatePackets.1; Value (Gauge): 0
Name/OID: eltEsrIpSlaStatTestOutOfSequenceForward.1; Value (Gauge): 0
Name/OID: eltEsrIpSlaStatTestOutOfSequenceReverse.1; Value (Gauge): 0
3) SYSLOG в SNMP-Traps.
Конфигурация
snmp-server host 192.168.1.1
source-address 12.0.0.1
exit
snmp-server enable traps syslog
[ESR] ESR-1000. Порты XG (10G) уходят в down после конфигурации LACP
Проблема: Порты XG в down после конфигурирования LACP на ESR-1000
Решение: По умолчанию на port-channel установлен режим: speed 1000M, необходимо выставить: speed 10Gесли в port-channel включаем XG интерфейсы.
esr(config)# interface port-channel 1
esr(config-port-channel)# speed 10G
Изменения конфигурации вступают в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
[ESR] GRE over IPSec
Настроить GRE over IPSec туннель между ESR1 и ESR2.
Данные:
IP-address интерфейса ESR1 - 180.10.0.1/30
P-address интерфейса ESR2 - 80.66.0.1/30
Локальные подсети:
LAN1: 1.1.1.0/24
LAN2: 2.2.2.0/24
Параметры IKE:
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5;
группа Диффи-Хэллмана: 2.
Параметры IPSec:
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5;
группа Диффи-Хэллмана: 2.
Решение:
Конфигурирование ESR1
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
ESR1(config)# interface gigabitethernet 1/0/1
ESR1(config-if-gi)# security-zone untrusted
ESR1(config-if-gi)# ip address 180.10.0.1/30
ESR1(config-if-gi)# exit
Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:
ESR1(config)# tunnel gre 1
ESR1(config-gre)# ttl 16
ESR1(config-gre)# security-zone trusted
ESR1(config-gre)# local address 180.10.0.1
ESR1(config-gre)# remote address 80.66.0.1
ESR1(config-gre)# ip address 10.10.10.1/30
ESR1(config-gre)# enable
ESR1(config-gre)# exit
Создадим статический маршрут для подсети 80.66.0.0/30:
ESR1(config)# ip route 80.66.0.0/30 180.10.0.2
Создадим статический маршрут подсети LAN2 - 2.2.2.0/24 через tunnel gre 1:
ESR1(config)# ip route 2.2.2.0/24 tunnel gre 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
ESR1(config)# security ike proposal ike_prop1
ESR1(config-ike-proposal)# authentication algorithm md5
ESR1(config-ike-proposal)# encryption algorithm aes128
ESR1(config-ike-proposal)# dh-group 2
ESR1(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
ESR1(config)# security ike policy ike_pol1
ESR1(config-ike-policy)# pre-shared-key ascii-text password
ESR1(config-ike-policy)# proposal ike_prop1
ESR1(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
ESR1(config)# security ike gateway ike_gw1
ESR1(config-ike-gw)# ike-policy ike_pol1
ESR1(config-ike-gw)# local address 180.10.0.1
ESR1(config-ike-gw)# local network 180.10.0.1/32 protocol gre
ESR1(config-ike-gw)# remote address 80.66.0.1
ESR1(config-ike-gw)# remote network 80.66.0.1/32 protocol gre
ESR1(config-ike-gw)# mode policy-based
ESR1(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
ESR1(config)# security ipsec proposal ipsec_prop1
ESR1(config-ipsec-proposal)# authentication algorithm md5
ESR1(config-ipsec-proposal)# encryption algorithm aes128
ESR1(config-ipsec-proposal)# pfs dh-group 2
ESR1(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
ESR1(config)# security ipsec policy ipsec_pol1
ESR1(config-ipsec-policy)# proposal ipsec_prop1
ESR1(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
ESR1(config)# security ipsec vpn ipsec1
ESR1(config-ipsec-vpn)# mode ike
ESR1(config-ipsec-vpn)# ike establish-tunnel route
ESR1(config-ipsec-vpn)# ike gateway ike_gw1
ESR1(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
ESR1(config-ipsec-vpn)# enable
ESR1(config-ipsec-vpn)# exit
Дополнительно в security zone-pair untrusted self необходимо разрешить протоколы для GRE over IPSec туннеля:
ESR1(config)# security zone-pair untrusted self
ESR1(config-zone-pair)# rule 10
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol gre
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# rule 11
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol esp
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# rule 12
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol ah
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# exit
Конфигурирование ESR2
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
ESR2(config)# interface gigabitethernet 1/0/1
ESR2(config-if-gi)# security-zone untrusted
ESR2(config-if-gi)# ip address 80.66.0.1/30
ESR2(config-if-gi)# exit
Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:
ESR2(config)# tunnel gre 1
ESR2(config-gre)# ttl 16
ESR2(config-gre)# security-zone trusted
ESR2(config-gre)# local address 80.66.0.1
ESR2(config-gre)# remote address 180.10.0.1
ESR2(config-gre)# ip address 10.10.10.2/30
ESR2(config-gre)# enable
ESR2(config-gre)# exit
Создадим статический маршрут для подсети 180.10.0.0/30:
ESR2(config)# ip route 180.10.0.0/30 80.66.0.2
Создадим статический маршрут подсети LAN1 - 1.1.1.0/24 через tunnel gre 1:
ESR2(config)# ip route 1.1.1.0/24 tunnel gre 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
ESR2(config)# security ike proposal ike_prop1
ESR2(config-ike-proposal)# authentication algorithm md5
ESR2(config-ike-proposal)# encryption algorithm aes128
ESR2(config-ike-proposal)# dh-group 2
ESR2(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
ESR2(config)# security ike policy ike_pol1
ESR2(config-ike-policy)# pre-shared-key ascii-text password
ESR2(config-ike-policy)# proposal ike_prop1
ESR2(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
ESR2(config)# security ike gateway ike_gw1
ESR2(config-ike-gw)# ike-policy ike_pol1
ESR2(config-ike-gw)# local address 80.66.0.1
ESR2(config-ike-gw)# local network 80.66.0.1/32 protocol gre
ESR2(config-ike-gw)# remote address 180.10.0.1
ESR2(config-ike-gw)# remote network 180.10.0.1/32 protocol gre
ESR2(config-ike-gw)# mode policy-based
ESR2(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
ESR2(config)# security ipsec proposal ipsec_prop1
ESR2(config-ipsec-proposal)# authentication algorithm md5
ESR2(config-ipsec-proposal)# encryption algorithm aes128
ESR2(config-ipsec-proposal)# pfs dh-group 2
ESR2(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
ESR2(config)# security ipsec policy ipsec_pol1
ESR2(config-ipsec-policy)# proposal ipsec_prop1
ESR2(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
ESR2(config)# security ipsec vpn ipsec1
ESR2(config-ipsec-vpn)# mode ike
ESR2(config-ipsec-vpn)# ike establish-tunnel route
ESR2(config-ipsec-vpn)# ike gateway ike_gw1
ESR2(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
ESR2(config-ipsec-vpn)# enable
ESR2(config-ipsec-vpn)# exit
[ESR] GRE over IPSec между ESR и Cisco
Настроить GRE over IPSec туннель между ESR и Cisco. На туннелях дополнительно настроить протокол динамической маршрутизации OSPF.
При настройке IPSec на ESR включен способ установления соединения ike establish-tunnel route, при таком режиме IPSec туннель поднимется при наличии транзитного трафика. Loopback интерфейсы необходимы для проверки работоспособности IPSec туннеля (передачи транзитного трафика) и в конфигурации не обязательны.
ESR:
1) Конфигурация:
esr# show running-config
router ospf log-adjacency-changes
router ospf 1
router-id 10.110.0.66
area 0.0.0.1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
ip firewall disable
ip address 100.100.0.2/24
exit
interface loopback 1
ip address 2.2.2.2/32
exit
tunnel gre 1
mtu 1476
ip firewall disable
local address 100.100.0.2
remote address 10.10.0.13
ip address 10.110.0.66/30
ip ospf instance 1
ip ospf area 0.0.0.1
ip ospf
enable
exit
security ike proposal IKEPROP
encryption algorithm aes128
dh-group 2
exit
security ike policy IKEPOL
lifetime seconds 86400
pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
proposal IKEPROP
exit
security ike gateway IKEGW
ike-policy IKEPOL
local address 100.100.0.2
local network 100.100.0.2/32 protocol gre
remote address 10.10.0.13
remote network 10.10.0.13/32 protocol gre
mode policy-based
exit
security ipsec proposal IPPROP
encryption algorithm aes128
exit
security ipsec policy IPPOL
proposal IPPROP
exit
security ipsec vpn IPSEC
mode ike
ike establish-tunnel route
ike gateway IKEGW
ike ipsec-policy IPPOL
enable
exit
ip route 0.0.0.0/0 tunnel gre 1
ip route 10.10.0.0/24 100.100.0.1
2) Информация о состоянии протокола OSPF и IPSec туннеля:
esr# show ip ospf neighbors
Router ID Pri State DTime Interface Router IP
--------- --- ----- ----- ----------------- ---------
10.110.0.65 1 Full/BDR 00:35 gre 1 10.110.0.65
esr# show security ipsec vpn status IPSEC
Currently active IKE SA:
Name: IPSEC
State: Established
Version: v1-only
Unique ID: 3
Local host: 100.100.0.2
Remote host: 10.10.0.13
Role: Initiator
Initiator spi: 0x15dc63f5881abbb0
Responder spi: 0xd45e86e5abb121d9
Encryption algorithm: des
Authentication algorithm: sha1
Diffie-Hellman group: 2
Established: 12 minutes and 34 seconds ago
Rekey time: 12 minutes and 34 seconds
Reauthentication time: 23 hours, 32 minutes and 7 seconds
Child IPsec SAs:
Name: IPSEC
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes128
Authentication algorithm: sha1
Rekey time: 32 minutes
Life time: 47 minutes and 26 seconds
Established: 12 minutes and 34 seconds ago
Traffic statistics:
Input bytes: 540
Output bytes: 540
Input packets: 5
Output packets: 5
Cisco:
1) Конфигурация:
crypto isakmp policy 2
encr aes
authentication pre-share
group 2
crypto isakmp key password address 100.100.0.2
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set strong esp-aes esp-sha-hmac
!
crypto map mymap local-address FastEthernet0/0
crypto map mymap 119 ipsec-isakmp
set peer 100.100.0.2
set transform-set strong
match address 119
!
!
interface Loopback1
ip address 1.1.1.1 255.255.255.255
!
!
interface Tunnel2
ip address 10.110.0.65 255.255.255.252
ip ospf 1 area 0.0.0.1
ip ospf network broadcast
tunnel source 10.10.0.13
tunnel destination 100.100.0.2
!
!
interface FastEthernet0/0
ip address 10.10.0.13 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
router ospf 1
router-id 10.110.0.65
log-adjacency-changes
!
ip route 100.100.0.0 255.255.255.0 10.10.0.1
ip route 0.0.0.0 0.0.0.0 Tunnel2
!
access-list 119 permit gre host 10.10.0.13 host 100.100.0.2
2) Информация о состоянии протокола OSPF и IPSec туннеля:
Router#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
10.110.0.66 0 FULL/ - 00:00:32 10.110.0.66 Tunnel2
Router#show crypto ipsec sa
interface: FastEthernet0/0
Crypto map tag: mymap, local addr 10.10.0.13
protected vrf: (none)
local ident (addr/mask/prot/port): (10.10.0.13/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (100.100.0.2/255.255.255.255/47/0)
current_peer 100.100.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.10.0.13, remote crypto endpt.: 100.100.0.2
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0xC9A1F292(3382833810)
PFS (Y/N): Y, DH group: group2
inbound esp sas:
spi: 0x7783E2D2(2005131986)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4480312/3033)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xC9A1F292(3382833810)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: FPGA:2, sibling_flags 80000046, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4480312/3033)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
