ESR-31 Сервисный маршрутизатор Eltex
ESR-31
8 x 10/100/1000BASE-T (LAN/WAN) 6 x 1000BASE-X SFP (LAN/WAN) 2 x 10GBASE-R SFP+/1000BASE-X SFP (LAN/WAN) 3 x Serial (RS-232) Console RS-232 (RJ-45) USB 2.0 USB 3.0 Слот для microSD-карт
Общие параметры ESR-31 Eltex
Кол-во портов ESR | 14 |
Установка в стойку esr | 1U |
BRAS esr | Да |
Количество портов 1G | 14 |
Количество портов 10G | 2 |
Питание | 2 смен.БП |
Количество маршрутов OSPF | 300k |
Количество маршрутов ISIS | 30k |
Количество маршрутов RIP | 10k |
Макс. скорость портов | 10 G |
В реестре Минпромторга (ТОРП) | Да |
Размер базы FIB | 1.4M |
Количество маршрутов BGP | 2.5M |
Производительность (фреймы 1518B) Гбит/с | 7.9 |
Производительность (фреймы 1518B) k пкт/с | 651.4 |
Производительность (фреймы 74B) Гбит/с | 0.4 |
Производительность (фреймы 74B) k пкт/с | 671.7 |
Производительность IMIX, Гбит/с | 3.6 |
Производительность IMIX, k пкт/с | 650.7 |
IPsec Гбит/с | 0.87 |
Downlink порты RJ-45 | 8 |
Downlink порты SFP | 6 |
Downlink порты SFP+ | 2 |
Размер коробки ШхВхГ, мм | 430 x 43 x 275 |
Вес брутто, кг | 4.44 |
- Маршрутизация данных
- Аппаратное ускорение обработки данных
- Многопротокольная коммутация по меткам (MPLS)
- Построение защищенного периметра сети (NAT, Firewall)
- Мониторинг и предотвращение сетевых атак (IPS/IDS)
- Мониторинг качества обслуживания (SLA)
- Фильтрация сетевых данных по различным критериям (включая фильтрацию по приложениям)
- Организация защищенных сетевых туннелей между филиалами компаний
- Удаленное подключение сотрудников к офису
- Управление и распределение ширины Интернет-канала в офисе посредством QoS
- Организация резервного соединения (проводное или посредством 3G/LTE-модема)
- Терминирование клиентов и ограничений по полосе пропускания BRAS (IPoE)
ESR-31 является сервисным маршрутизатором среднего уровня, имеет 8 портов 1G (RJ-45), 6 портов 1G (SFP), 2 порта 10G (SFP+) и консольный порт RS-232 (RJ-45).
Данный маршрутизатор дополнительно обладает 3 интерфейсами Serial (RS-232), они позволяют в режиме AUX обеспечить удалённый консольный доступ к рядом стоящему оборудованию.
Маршрутизатор входит в состав серии ESR, ключевыми элементами которой являются средства для программной и аппаратной обработки данных. За счет оптимального распределения функций обработки данных между частями устройства достигается максимальная производительность.
Отличительной особенностью модели ESR-31 является её оснащенность дополнительными портами стандарта RS-232, которые могут использоваться для реализации дополнительных функций — удаленного консольного доступа к рядом стоящему оборудованию (режим AUX) и подключения к сервисному маршрутизатору через Dialup.
Интерфейсы
- Ethernet 10/100/1000BASE-T (LAN/WAN) - 8
- Ethernet 1000BASE-X SFP (LAN/WAN) - 6
- 10GBASE-R SFP+/1000BASE-X SFP (LAN/WAN) - 2
- Serial (RS-232) - 3
- Console RS-232 (RJ-45) - 1
- USB 2.0 - 1
- USB 3.0 - 1
- Слот для microSD-карт - 1
- Количество VPN-туннелей - 250
- Статические маршруты - 11k
- Количество конкурентных сессий - 256k
- Поддержка VLAN - 4094
- Количество маршрутов BGP - 2,5M
- Количество BGP-соседей - 1k
- Количество маршрутов OSPF - 300k
- Количество маршрутов RIP - 10k
- Количество маршрутов ISIS - 30k
- Таблица MAC-адресов - 2k записей на бридж
- Размер базы FIB - 1,4M
- VRF - 32
- USB 3G/4G/LTE модем
- E1 TopGate SFP
- PPTP/PPPoE/L2TP/OpenVPN/IPsec XAUTH
- L2TP/PPTP/OpenVPN/IPsec XAUTH
- IPsec: режимы «policy-based» и «route-based»
- DMVPN
- Алгоритмы шифрования DES, 3DES, AES, Blowfish, Camellia
- Аутентификация сообщений IKE MD5, SHA-1, SHA-2
- IPoGRE, EoGRE
- IPIP
- L2TPv3
- LT (inter VRF routing)
- Коммутация пакетов (bridging)
- Агрегация интерфейсов LAG/LACP (802.3ad)
- Поддержка VLAN (802.1Q)
- Логические интерфейсы
- LLDP, LLDP MED
- VLAN на основе MAC
- Трансляция адресов NAT, Static NAT, ALG
- Статические маршруты
- Протоколы динамической маршрутизации RIPv2, OSPFv2/v3, IS-IS, BGP
- Фильтрация маршрутов (prefix list)
- VRF
- Policy Based Routing (PBR)
- BFD для BGP, OSPF, статических маршрутов
- Терминация пользователей
- Белые/черные списки URL
- Квотирование по объёму трафика, по времени сессии,по сетевым приложениям
- HTTP/HTTPS Proxy
- HTTP/HTTPS Redirect
- Аккаунтинг сессий по протоколу Netflow
- Взаимодействие с серверами ААА, PCRF
- Управление полосой пропускания по офисам и SSID, сессиям пользователей
- Аутентификация пользователей по MAC- или IP-адресам
- Взаимодействие с Eltex Distribution Manager для получения лицензируемого контента — наборы правил, предоставляемые KasperskySafeStream II1
- Система обнаружения и предотвращения вторжений (IPS/IDS)1
- Web-фильтрация по URL, по содержимому (cookies, ActiveX, JavaScript)
- Zone-based Firewall
- Фильтрация фаерволом на базе L2/L3/L4-полей и по приложениям
- Поддержка списков контроля доступа (ACL) на базе L2/L3/L4-полей
- Защита от DoS/DDoS-атак и оповещение об атаках
- Логирование событий атак, событий срабатывания правил
- Статические IP-адреса
- DHCP-клиент
- DHCP Relay Option 82
- Встроенный сервер DHCP, поддержка опций 43, 60, 61, 150
- DNS resolver
- IP unnumbered
- До 8 приоритетных или взвешенных очередей на порт
- L2- и L3-приоритизация трафика (802.1p (CoS), DSCP, IP Precedence (ToS))
- Предотвращение перегрузки очередей RED, GRED
- Средства перемаркирования приоритетов
- Применение политик (policy-map)
- Управление полосой пропускания (shaping)
- Иерархический QоS
- Маркировка сессий
- VRRP v2, v3
- Tracking на основании VRRP- или SLA-теста
- Управление параметрами VRRP
- Управление параметрами PBR
- Управление административным статусом интерфейса
- Активация и деактивация статического маршрута
- Управление атрибутом AS-PATH и preference в route-map
- Балансировка нагрузки на WAN-интерфейсах, перенаправление потоков данных, переключение при оценке качества канала
- Резервирование сессий firewall
- Поддержка стандартных и расширенных SNMP MIB, RMONv1
- Встроенный Zabbix agent
- Аутентификация пользователей по локальной базе средствами протоколов RADIUS, TACACS+, LDAP
- Защита от ошибок конфигурирования, автоматическое восстановление конфигурации. Возможность сброса конфигурации к заводским настройкам
- Интерфейсы управления CLI
- Поддержка Syslog
- Монитор использования системных ресурсов
- Ping, traceroute (IPv4/IPv6), вывод информации о пакетах в консоли
- Обновление ПО, загрузка и выгрузка конфигурации по TFTP, SCP, FTP, SFTP, HTTP(S)
- Поддержка NTP
- Netflow v5/v9/v10 (экспорт статистики URL для HTTP, host для HTTPS)
- Локальное управление через консольный порт RS-232 (RJ-45)
- Удаленное управление, протоколы Telnet, SSH (IPv4/IPv6)
- Вывод информации по сервисам/процессам
- Локальное/удаленное сохранение конфигураций маршрутизатора
- Eltex SLA
Оценка параметров каналов связи:- Delay (one-way/two-way)
- Jitter (one-way/two-way)
- Packet loss (one-way/two-way)
- Коэффициент ошибок в пакетах
- Нарушение последовательности доставки пакетов
- Поддержка протокола LDP
- Поддержка L2VPN VPWS
- Поддержка L2VPN VPLS Martini Mode
- Поддержка L2VPN VPLS Kompella Mode
- Поддержка L3VPN MP-BGP
- Максимальная потребляемая мощность - 40 Вт
- Питание:
- 100–240 В AC, 50–60 Гц;
- 36–72 В DC
- до двух источников питания с возможностью горячей замены
- Интервал рабочих температур - от 0 до +40 °С
- Интервал температуры хранения - от -40 до +70 °С
- Относительная влажность при эксплуатации - не более 80 %
- Относительная влажность при хранении - от 10 до 95 %
- Масса - 4,44 кг
- Габариты (Ш × В × Г) - 430 × 43,6 × 275 мм
- Срок службы не менее 15 лет
Набор функций соответствует версии ПО 1.23.0
1Активируется лицензией
Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
Рисунок 1 – Схема сети
Задача: Настроить IPsec-туннель между R1 и R2.
- R1 IP адрес - 120.11.5.1;
- R2 IP адрес - 180.100.0.1;
- IKE:
группа Диффи-Хэллмана: 2;
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5. - IPSec:
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5.
Решение:
1. Конфигурирование R1
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
esr# configure
esr(config)# interface gi 1/0/1
esr(config-if-gi)# ip address 120.11.5.1/24
esr(config-if-gi)# security-zone untrusted
esr(config-if-gi)# exit
Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:
esr(config)# tunnel vti 1
esr(config-vti)# local address 120.11.5.1
esr(config-vti)# remote address 180.100.0.1
esr(config-vti)# enable
esr(config-vti)# exit
Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:
esr(config)# object-group service ISAKMP
esr(config-object-group-service)# port-range 500
esr(config-object-group-service)# exit
Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:
esr(config)# ip route 10.0.0.0/16 tunnel vti 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# mode route-based
esr(config-ike-gw)# bind-interface vti 1
esr(config-ike-gw)# version v2-only
esr(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel immediate
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit
2. Конфигурирование R2
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
esr# configure
esr(config)# interface gi 1/0/1
esr(config-if)# ip address 180.100.0.1/24
esr(config-if)# security-zone untrusted
esr(config-if)# exit
Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:
esr(config)# tunnel vti 1
esr(config-vti)# remote address 120.11.5.1
esr(config-vti)# local address 180.100.0.1
esr(config-vti)# enable
esr(config-vti)# exit
Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:
esr(config)# object-group service ISAKMP
esr(config-addr-set)# port-range 500
esr(config-addr-set)# exit
Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:
esr(config)# ip route 10.0.0.0/16 tunnel vti 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# mode route-based
esr(config-ike-gw)# bind-interface vti 1
esr(config-ike-gw)# version v2-only
esr(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec туннеля:
esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel immediate
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit
Состояние туннеля можно посмотреть командой:
esr# show security ipsec vpn status ipsec1
Конфигурацию туннеля можно посмотреть командой:
esr# show security ipsec vpn configuration ipsec1
Источник:
docs.eltex-co.ru
Задача:
- Настроить BGP c AS 2500 на маршрутизаторе ESR и установить соседство с AS20;
- Отфильтровать на R2 из принмаемого маршрута 198.51.100.0/24 сеть, префикс которой соответствует 28
- Отфильтровать на R2 из принмаемого маршрута 203.0.113.0/24 сеть, префикс которой меньше или соответствует 30
- Отфильтровать на R2 из принмаемого маршрута 203.0.100.0/20 сеть, префикс которой больше или соответствует 24
- Задать каждой сети приоритет со значение local-preference 200
!!! Важно: при использовании eBGP для анонса маршрутной информации необходимо дать разрешающее правило с помощью route-map либо prefix-list, пример:
route-map BGP_OUT
rule 1
action permit
exit
exit
router bgp 1
address-family ipv4
neighbor 192.168.1.1
remote-as 2
route-map BGP_OUT out
enable
exit
enable
exit
exit
Решение:
Настроим BGP на ESR:
esr-200# configure
esr-200(config)# router bgp 2500
esr-200(config-bgp)# address-family ipv4
esr-200(config-bgp-af)# neighbor 185.0.0.2
esr-200(config-bgp-neighbor)# remote-as 20
esr-200(config-bgp-neighbor)# update-source 185.0.0.1
esr-200(config-bgp-neighbor)# enable
esr-200(config-bgp-neighbor)# exit
esr-200(config-bgp-af)# enable
esr-200(config-bgp-af)# exit
esr-200(config-bgp)# exit
Далее создадим необходимые правила для фильтрации маршрутов:
esr-200(config)# route-map in
esr-200(config-route-map)# rule 10
esr-200(config-route-map-rule)# match ip address 198.51.100.0/24 eq 28
esr-200(config-route-map-rule)# action set local-preference 200
esr-200(config-route-map-rule)# action permit
esr-200(config-route-map-rule)# exit
esr-200(config-route-map)#rule 20
esr-200(config-route-map-rule)# match ip address 203.0.113.0/24 ge 30
esr-200(config-route-map-rule)# action set local-preference 200
esr-200(config-route-map-rule)# action permit
esr-200(config-route-map-rule)# exit
esr-200(config-route-map)#rule 30
esr-200(config-route-map-rule)# match ip address 203.0.100.0/20 le 24
esr-200(config-route-map-rule)# action set local-preference 200
esr-200(config-route-map-rule)# action permit
esr-200(config-route-map-rule)# exit
esr-200(config-route-map-rule)# exit
esr-200(config-route-map)# exit
Теперь осталось прикрепить route-map к BGP:
esr-200(config)# router bgp 2500
esr-200(config-bgp)# address-family ipv4
esr-200(config-bgp-af)# neighbor 185.0.0.2
esr-200(config-bgp-neighbor)# route-map in in
esr-200(config-bgp-neighbor)# end
esr-200# commit
esr-200# confirm
Источник:
docs.eltex-co.ru
Два устройства согласовывают и устанавливают BFD сессию, отправляют друг другу hello-сообщения, Если hello-сообщения перестают поступать от соседа, BFD-сессия разрывается и система оповещается о неполадках в коммуникациях.
BFD может определить неисправность линка менее чем за 1 секунду (для маршрутизаторов Eltex ESR этот параметр можно регулировать в диапазоне от 200 до 65535 миллисекунд).
В реализации ПО начиная с версии 1.4.0 включительно, поддержаны протоколы BGP и OSPF и статических маршрутов.
В разработке находится реализация использования BFD для статических маршрутов.
Настройка механизма BFD сводится к двум шагам:
ШАГ 1. Настройка параметров BFD производится как в глобальном режиме, так и в режимах конфигурирования интерфейсов и туннелей (если параметры различаются по направлениям):
# configure
# configure-if-view
# configure-tunnel-view
[no] ip bfd min-rx-interval <TIME> - Минимальный интервал приёма для обнаружения ошибки
[no] ip bfd min-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки
[no] ip bfd idle-tx-interval <TIME> - Минимальный интервал передачи для обнаружения ошибки, когда сессия неактивна
[no] ip bfd multiplier <MULTIPLIER> - Число пропущенных пакетов, после которого сессия будет объявлена неактивной
[no] ip bfd passive - Не отправлять BFD-пакеты, пока не будет получен пакет от соседнего устройства
MULTIPLIER := 5 .. 100
TIME := время в миллисекундах 200 .. 65535
Если пропустить этот шаг, то будут использоваться параметры по умолчанию:
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No
ШАГ 2. Активация протокола BFD.
Для протокола BGP производится в режиме конфигурирования BGP соседа:
# bgp-neighbor-view
[no] bfd enable - Включение/Выключение BFD для данного соседа BGP
Обязательно при использовании BFD указываем upadate-source для указания source IP процессу BFD:
# update-source <A.B.C.D>
[no] update-source - указать/убрать адрес источника для BFD процесса
Для протокола OSPF BFD активировать необходимо в режиме конфигурирования интерфеса, на котором запущен протокол OSPF:
# configure-if-view
[no] ip ospf bfd-enable
Для статических маршрутов активация BFD происходит указанием после указания шлюза:
# configure-view
[no] ip route <A.B.C.D/N> <IP_GATEWAY> bfd
После применения и подверждения конфигурации протокол BFD запустится в работу:
esr #commit
esr #confirm
Текущие значение параметров BFD для глобального режима:
esr# show ip bfd
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No
Текущие значение параметров BFD для конкретного интерфеса и туннеля:
esr# sh ip bfd interface gigabitethernet 1/0/1
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No
esr# sh ip bfd interface gre 1
Minimum RX interval: 200 ms
Minimum TX interval: 200 ms
Idle TX interval: 1000 ms
Multiplier: 5 packets
Passive: No
Источник:
docs.eltex-co.ru
Решение:
Шаг 1. Настройка FreeRADIUS - сервера.
Для FreeRADIUS сервера нужно задать подсеть, из которой могут приходить запросы и добавить список пользователей. Для этого в файл users в директории с файлами конфигурации FreeRADIUS сервера нужно добавить:
Профиль пользователя:
<MACADDR> Cleartext-Password := <MACADDR>
# Имя пользователя
User-Name = <USER_NAME>,
# Максимальное время жизни сессии
Session-Timeout = <SECONDS>,
# Максимальное время жизни сесиии при бездействии пользователя
Idle-Timeout = <SECONDS>,
# Время на обновление статистики по сессии
Acct-Interim-Interval = <SECONDS>,
# Имя сервиса для сессии (A - сервис включен, N - сервис выключен)
Cisco-Account-Info = "{A|N}<SERVICE_NAME>"
Профиль сервиса:
<SERVICE_NAME> Cleartext-Password := <MACADDR>
# Соответствует имени class-map в настройках ESR
Cisco-AVPair = "subscriber:traffic-class=<CLASS_MAP>",
# Действие, которое применяет ESR к трафику (permit, deny, redirect)
Cisco-AVPair = "subscriber:filter-default-action=<ACTION>",
# Возможность прохождения IP потоков (enabled-uplink, enabled-downlink, enabled, disabled)
Cisco-AVPair = "subscriber:flow-status=<STATUS>"
В файл clients.conf нужно добавить подсеть, в которой находится ESR:
client ESR {
ipaddr = <SUBNET>
secret = <RADIUS_KEY>
}
Шаг 2. Настройка ESR - нужно сконфигурировать:
radius-server host <IP_ADDRESS>
key ascii-text <RADIUS_KEY>
exit
aaa radius-profile bras_radius
radius-server host <IP_ADDRESS>
exit
das-server das
key ascii-text <RADIUS_KEY>
exit
aaa das-profile bras_das
das-server das
exit
ip access-list extended user_acl
rule 1
action permit
enable
exit
exit
subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
nas-ip-address <IP_ADDRESS>
session mac-authentication
default-service default-action redirect <URL>
exit
enable
exit
На интерфейсах, для которых требуется работа BRAS настроить (для успешного запуска требуется как минимум один интерфейс):
service-subscriber-control {object-group <NAME> | any}
location <L2LOCATION>
!!! Настройка действие фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:
- Создаем локальный список URL (можно указать свои URL, на которые неавторизованные пользователи смогут проходить без авторизации и без редиректа, например локальные сервисы вашей сети и ваш сайт):
object-group url defaultserv
url http://eltex.nsk.ru
url http://ya.ru
url https://ya.ru
exit
- Добавим действие фильтрации для локального списка URL в BRAS:
subscriber-control
default-service
filter-name local defaultserv
filter-action permit
end
Теперь неавторизированные пользователи будут иметь доступ к URL defaultserv без редирект, а при попытке пройти на другие сайты для них отработает редирект:
default-service
default-action redirect http://192.168.16.54:8080/eltex_portal/
Пример настройки:
Дано:
Шаг 1. Настройка FreeRADIUS - сервера:
подсеть с клиентами 10.10.0.0/16, подсеть для работы с FreeRADIUS сервером 192.168.16.140/23. Настраиваем FreeRADIUS сервер. В файл «clients.conf» добавляем строки:
client BRAS {
ipaddr = 192.168.16.140
secret = password
}
В файл «users» добавляем строки (вместо <MAC> нужно указать MAC адрес клиента):
"00-00-00-33-96-3D" Cleartext-Password := "00-00-00-33-96-3D"
User-Name = "Bras_user",
Session-Timeout = 259200,
Idle-Timeout = 259200,
Cisco-AVPair += "subscriber:policer-rate-in=1000",
Cisco-AVPair += "subscriber:policer-rate-out=1000",
Cisco-AVPair += "subscriber:policer-burst-in=188",
Cisco-AVPair += "subscriber:policer-burst-out=188",
Cisco-Account-Info = "AINTERNET"
INTERNET Cleartext-Password := "INTERNET"
User-Name = "INTERNET",
Cisco-AVPair = "subscriber:traffic-class=INTERNET",
Cisco-AVPair += "subscriber:filter-default-action=permit"
Для traffic-class в настройках сервиса нужно указать access-list из настроек ESR. Он нужен для определения какой трафик пользователя считать за трафик этого сервиса.
Шаг 2. Конфигурация ESR:
configure
object-group url defaultserv
url http://eltex.nsk.ru
url http://ya.ru
url https://ya.ru
exit
radius-server host 192.168.16.54
key ascii-text encrypted 8CB5107EA7005AFF
source-address 192.168.16.140
exit
aaa radius-profile bras_radius
radius-server host 192.168.16.54
exit
aaa radius-profile bras_radius_servers
radius-server host 192.168.16.54
exit
das-server das
key ascii-text encrypted 8CB5107EA7005AFF
exit
aaa das-profile bras_das
das-server das
exit
vlan 10
exit
ip access-list extended BYPASS
rule 1
action permit
match protocol udp
match source-port 68
match destination-port 67
enable
exit
rule 2
action permit
match protocol udp
match destination-port 53
enable
exit
rule 3
exit
exit
ip access-list extended INTERNET
rule 1
action permit
enable
exit
exit
ip access-list extended WELCOME
rule 10
action permit
match protocol tcp
match destination-port 443
enable
exit
rule 20
action permit
match protocol tcp
match destination-port 8443
enable
exit
rule 30
action permit
match protocol tcp
match destination-port 80
enable
exit
rule 40
action permit
match protocol tcp
match destination-port 8080
enable
exit
exit
subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
aaa services-radius-profile bras_radius_servers
nas-ip-address 192.168.16.140
session mac-authentication
bypass-traffic-acl BYPASS
default-service
class-map BYPASS
filter-name local defaultserv
filter-action permit
default-action redirect http://192.168.16.54/eltex_portal
session-timeout 121
exit
enable
exit
bridge 10
vlan 10
ip firewall disable
ip address 10.10.0.1/16
ip helper-address 192.168.16.54
service-subscriber-control any
location USER
protected-ports
protected-ports exclude vlan
enable
exit
interface gigabitethernet 1/0/2
ip firewall disable
ip address 192.168.16.140/23
exit
interface gigabitethernet 1/0/3.10
bridge-group 10
ip firewall disable
exit
interface gigabitethernet 1/0/4
ip firewall disable
ip address 30.30.30.2/24
exit
interface tengigabitethernet 1/0/1
ip firewall disable
exit
interface tengigabitethernet 1/0/1.10
bridge-group 10
exit
interface tengigabitethernet 1/0/1.20
ip firewall disable
ip address 20.20.20.1/24
exit
interface tengigabitethernet 1/0/1.30
bridge-group 10
exit
interface tengigabitethernet 1/0/1.40
bridge-group 10
exit
nat source
ruleset factory
to interface gigabitethernet 1/0/2
rule 10
description "replace 'source ip' by outgoing interface ip address"
match source-address any
action source-nat interface
enable
exit
exit
ip route 0.0.0.0/0 192.168.16.145
ip telnet server
Источник:
docs.eltex-co.ru
Destanation NAT
Для начала создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.
- Net_pub – профиль адресов публичной сети;
- Srv_http – профиль портов;
- Server_ip – профиль адресов локальной сети.
esr-100(config)# object-group network Net_pub
esr-100(config-object-group-network)# ip address 185.185.11.54
esr-100(config-object-group-network)# exit
esr-100(config)# object-group service Srv_http
esr-100(config-object-group-service)# port-range 80
esr-100(config-object-group-service)# exit
esr-100(config)# object-group network Server_ip
esr-100(config-object-group-network)# ip address 192.168.0.5
esr-100(config-object-group-network)# exit
Далее приступим к настройке самого NAT. Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 185.185.11.54 из внешней сети.
esr-100(config)# nat destination
esr-100(config-dnat)# pool Server_ip
esr-100(config-dnat-pool)# ip address 192.168.0.5
esr-100(config-dnat-pool)# ip port 80
esr-100(config-dnat-pool)# exit
Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «untrusted». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».
esr-100(config-dnat)# ruleset DNAT
esr-100(config-dnat-ruleset)# from zone untrusted
esr-100(config-dnat-ruleset)# rule 1
esr-100(config-dnat-rule)# match destination-address Net_pub
esr-100(config-dnat-rule)# match protocol tcp
esr-100(config-dnat-rule)# match destination-port Srv_http
esr-100(config-dnat-rule)# action destination-nat pool Server_ip
esr-100(config-dnat-rule)# enable
esr-100(config-dnat-rule)# exit
esr-100(config-dnat-ruleset)# exit
esr-100(config-dnat)# exit
Для пропуска трафика, идущего из зоны «untrusted» в «trusted», создадим соответствующее правило. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP» и прошедший преобразование DNAT.
esr-100(config)# security zone-pair untrusted trusted
esr-100(config-zone-pair)# rule 1
esr-100(config-zone-pair-rule)# match source-address any
esr-100(config-zone-pair-rule)# match destination-address Server_ip
esr-100(config-zone-pair-rule)# match protocol any
esr-100(config-zone-pair-rule)# match destination-nat
esr-100(config-zone-pair-rule)# action permit
esr-100(config-zone-pair-rule)# enable
esr-100(config-zone-pair-rule)# exit
esr-100(config-zone-pair)# exit
esr-100# commit
esr-100# confirm
Теперь R1 будет перенаправлять обращегия как требуется. Команды для просмотра состояния и настройки NAT:
esr-100# show ip nat destination pools
esr-100# show ip nat destination rulesets
esr-100# show ip nat proxy-arp
esr-100# show ip nat translations
NAT Hairpinning
На рисунке в начале статьи видно, что в локальной сети R1 имеются свои клиенты(client), которые тоже пользуются web-сервером. Однако когда client введет в браузере доменное имя сервера, DNS перенаправит его на адрес 185.185.11.54. Для этого настроим NAT Hairpinning.
Добавим еще один профиль для внутренней сети.
esr-100(config)# object-group network LAN
esr-100(config-object-group-network)# ip prefix 192.168.0.0/24
esr-100(config-object-group-network)# exit
Добавим еще один ruleset в конфигурацию DNAT.
esr-100(config)# nat destination
esr-100(config-dnat)# ruleset loopback
esr-100(config-dnat-ruleset)# from zone trusted
esr-100(config-dnat-ruleset)# rule 10
esr-100(config-dnat-rule)# match protocol tcp
esr-100(config-dnat-rule)# match destination-address Net_pub
esr-100(config-dnat-rule)# match destination-port Srv_http
esr-100(config-dnat-rule)# action destination-nat pool Server_ip
esr-100(config-dnat-rule)# enable
esr-100(config-dnat-rule)# exit
esr-100(config-dnat-ruleset)# exit
esr-100(config-dnat)# exit
Сконфигурируем Source NAT.
esr-100(config)# nat source
esr-100(config-snat)# ruleset loopback
esr-100(config-snat-ruleset)# to zone trusted
esr-100(config-snat-ruleset)# rule 10
esr-100(config-snat-rule)# match source-address LAN
esr-100(config-snat-rule)# action source-nat interface
esr-100(config-snat-rule)# enable
esr-100(config-snat-rule)# exit
esr-100(config-snat-ruleset)# exit
esr-100(config-snat)# exit
esr-100(config)# exit
esr-100# commit
esr-100# confirm
Теперь пользователи локальной сети R1 будут попадать на web-сервер по внутреннему адресу.
Источник:
docs.eltex-co.ru
Рисунок 1 - Схема сети
Предварительно необходимо сконфигурировать интерфейсы:
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip address 10.0.0.1/24
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)# ip address 192.168.0.1/24
Настройки DHCP-ретранслятора на ESR сводятся к:
1. Включению DHCP relay глобально на устройстве командой
esr(config)# ip dhcp-relay
2. Указанию на интерфейсе со стороны DHCP-клинта IP адреса DHCP-сервера, на который будут перенаправляться клиентские запросы.
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)# ip helper-address 10.0.0.2
Чтобы изменения вступили в силу, необходимо ввести следующие команды:
esr# commit
Configuration has been commited
esr# confirm
Configuration has been confirmed
Источник:
docs.eltex-co.ru
Основная функция SLA - выполнение тестов, нацеленных на вычисление параметров канала связи:
- односторонние задержки;
- круговые задержки;
- джиттер;
- потери пакетов;
- изменение порядка следования пакетов.
Протокол IP SLA состоит из 2х фаз:
- фазы контроля;
- фазы измерений.
Предполагает наличие 2х ролей:
- sender (инициирует запуск теста с установленными параметрами);
- responder (ожидает входящих соедиений).
Пример конфигурации
Конфигурация ESR-SENDER
interface gigabitethernet 1/0/1
ip firewall disable
ip address 12.0.0.1/24
exit
ip route 0.0.0.0/0 12.0.0.2
clock timezone gmt +7
ntp enable
ntp server 192.168.1.1
minpoll 4
exit
ip sla logging
ip sla logging level error
ip sla
ip sla test 1
udp-jitter 24.0.0.3 20001 source-ip 12.0.0.1 control enable num-packets 100 interval 20
frequency 25
packet-size 64
dscp 30
cos 3
timeout 4000
thresholds losses high 15
thresholds losses forward high 5
thresholds losses reverse high 10
thresholds jitter forward high 7
thresholds jitter reverse high 15
thresholds delay high 150
thresholds delay forward high 100
thresholds delay reverse high 50
enable
exit
ip sla schedule 1 life forever start-time now
Конфигурация ESR-RESPONDER
interface gigabitethernet 1/0/1
ip firewall disable
ip address 24.0.0.3/24
ip sla responder eltex
exit
ip route 0.0.0.0/0 24.0.0.2
clock timezone gmt +7
ntp enable
ntp server 192.168.1.1
minpoll 4
exit
Просмотр статистики
ESR# show ip sla test statistics 1
Test number: 1
Transmitted packets: 100
Lost packets: 8 (8%)
Lost packets in forward direction: 4 (4%)
Lost packets in reverse direction: 4 (4%)
One-way delay forward min/avg/max: 29/52/72 milliseconds
One-way delay reverse min/avg/max: 29/52/72 milliseconds
One-way jitter forward min/avg/max: 6/11/12 milliseconds
One-way jitter reverse min/avg/max: 6/11/12 milliseconds
Two-way delay min/avg/max: 58/104/145 milliseconds
Two-way jitter min/avg/max: 13/22/25 milliseconds
Duplicate packets: 0
Out of sequence packets in forward direction: 0
Out of sequence packets in reverse direction: 0
Мониторинг
Все сообщения о превышении порог для тестовых потоков либо снижении уровня ниже допустимого занчения журналируются.
1) SYSLOG-сообщения можно перенаправлять на SYSLOG-сервер.
Конфигурация:
syslog host test 192.168.1.1 debug udp 514
Пример сообщений SYSLOG:
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses high for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse high for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses OK for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-LOSSES: Losses reverse OK for ip sla 1: 8 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter forward high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse high for ip sla 1: 12 > 1
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: Two-way jitter OK for ip sla 1: 0 < 10
YYYY-DD-MMTHH:MM:SS+GMT %IP_SLA-I-JITTER: One-way jitter reverse OK for ip sla 1: 0 < 15
2) Опрос по SNMP.
Для IP SLA доступны MIB-OID:
ELTEX-ESR-MIB.mib
ELTEX-ESR-IPSLA-MIB.mib
Конфигурация:
snmp-server
snmp-server community "publpubl" rw
snmp-server host 192.168.1.1
exit
Пример снятия статистики по SNMP:
Name/OID: eltEsrIpSlaStatTestTransmittedPackets.1; Value (Gauge): 100
Name/OID: eltEsrIpSlaStatTestLostPackets.1; Value (Gauge): 8
Name/OID: eltEsrIpSlaStatTestLostPacketsForward.1; Value (Gauge): 4
Name/OID: eltEsrIpSlaStatTestLostPacketsReverse.1; Value (Gauge): 4
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMin.1; Value (Gauge): 29
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardMax.1; Value (Gauge): 52
Name/OID: eltEsrIpSlaStatTestOneWayDelayForwardAvg.1; Value (Gauge): 72
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMin.1; Value (Gauge): 29
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseMax.1; Value (Gauge): 52
Name/OID: eltEsrIpSlaStatTestOneWayDelayReverseAvg.1; Value (Gauge): 72
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMin.1; Value (Gauge): 6
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardMax.1; Value (Gauge): 11
Name/OID: eltEsrIpSlaStatTestOneWayJitterForwardAvg.1; Value (Gauge): 12
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMin.1; Value (Gauge): 6
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseMax.1; Value (Gauge): 11
Name/OID: eltEsrIpSlaStatTestOneWayJitterReverseAvg.1; Value (Gauge): 12
Name/OID: eltEsrIpSlaStatTestTwoWayDelayMin.1; Value (Gauge): 58
Name/OID: eltEsrIpSlaStatTestTwoWayDelayMax.1; Value (Gauge): 104
Name/OID: eltEsrIpSlaStatTestTwoWayDelayAvg.1; Value (Gauge): 145
Name/OID: eltEsrIpSlaStatTestTwoWayJitterMin.1; Value (Gauge): 13
Name/OID: eltEsrIpSlaStatTestTwoWayJitterMax.1; Value (Gauge): 22
Name/OID: eltEsrIpSlaStatTestTwoWayJitterAvg.1; Value (Gauge): 025
Name/OID: eltEsrIpSlaStatTestDuplicatePackets.1; Value (Gauge): 0
Name/OID: eltEsrIpSlaStatTestOutOfSequenceForward.1; Value (Gauge): 0
Name/OID: eltEsrIpSlaStatTestOutOfSequenceReverse.1; Value (Gauge): 0
3) SYSLOG в SNMP-Traps.
Конфигурация
snmp-server host 192.168.1.1
source-address 12.0.0.1
exit
snmp-server enable traps syslog
Источник:
docs.eltex-co.ru
Решение: По умолчанию на port-channel установлен режим: speed 1000M, необходимо выставить: speed 10Gесли в port-channel включаем XG интерфейсы.
esr(config)# interface port-channel 1
esr(config-port-channel)# speed 10G
Изменения конфигурации вступают в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Источник:
docs.eltex-co.ru
Данные:
IP-address интерфейса ESR1 - 180.10.0.1/30
P-address интерфейса ESR2 - 80.66.0.1/30
Локальные подсети:
LAN1: 1.1.1.0/24
LAN2: 2.2.2.0/24
Параметры IKE:
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5;
группа Диффи-Хэллмана: 2.
Параметры IPSec:
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5;
группа Диффи-Хэллмана: 2.
Решение:
Конфигурирование ESR1
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
ESR1(config)# interface gigabitethernet 1/0/1
ESR1(config-if-gi)# security-zone untrusted
ESR1(config-if-gi)# ip address 180.10.0.1/30
ESR1(config-if-gi)# exit
Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:
ESR1(config)# tunnel gre 1
ESR1(config-gre)# ttl 16
ESR1(config-gre)# security-zone trusted
ESR1(config-gre)# local address 180.10.0.1
ESR1(config-gre)# remote address 80.66.0.1
ESR1(config-gre)# ip address 10.10.10.1/30
ESR1(config-gre)# enable
ESR1(config-gre)# exit
Создадим статический маршрут для подсети 80.66.0.0/30:
ESR1(config)# ip route 80.66.0.0/30 180.10.0.2
Создадим статический маршрут подсети LAN2 - 2.2.2.0/24 через tunnel gre 1:
ESR1(config)# ip route 2.2.2.0/24 tunnel gre 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
ESR1(config)# security ike proposal ike_prop1
ESR1(config-ike-proposal)# authentication algorithm md5
ESR1(config-ike-proposal)# encryption algorithm aes128
ESR1(config-ike-proposal)# dh-group 2
ESR1(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
ESR1(config)# security ike policy ike_pol1
ESR1(config-ike-policy)# pre-shared-key ascii-text password
ESR1(config-ike-policy)# proposal ike_prop1
ESR1(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
ESR1(config)# security ike gateway ike_gw1
ESR1(config-ike-gw)# ike-policy ike_pol1
ESR1(config-ike-gw)# local address 180.10.0.1
ESR1(config-ike-gw)# local network 180.10.0.1/32 protocol gre
ESR1(config-ike-gw)# remote address 80.66.0.1
ESR1(config-ike-gw)# remote network 80.66.0.1/32 protocol gre
ESR1(config-ike-gw)# mode policy-based
ESR1(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
ESR1(config)# security ipsec proposal ipsec_prop1
ESR1(config-ipsec-proposal)# authentication algorithm md5
ESR1(config-ipsec-proposal)# encryption algorithm aes128
ESR1(config-ipsec-proposal)# pfs dh-group 2
ESR1(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
ESR1(config)# security ipsec policy ipsec_pol1
ESR1(config-ipsec-policy)# proposal ipsec_prop1
ESR1(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
ESR1(config)# security ipsec vpn ipsec1
ESR1(config-ipsec-vpn)# mode ike
ESR1(config-ipsec-vpn)# ike establish-tunnel route
ESR1(config-ipsec-vpn)# ike gateway ike_gw1
ESR1(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
ESR1(config-ipsec-vpn)# enable
ESR1(config-ipsec-vpn)# exit
Дополнительно в security zone-pair untrusted self необходимо разрешить протоколы для GRE over IPSec туннеля:
ESR1(config)# security zone-pair untrusted self
ESR1(config-zone-pair)# rule 10
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol gre
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# rule 11
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol esp
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# rule 12
ESR1(config-zone-pair-rule)# action permit
ESR1(config-zone-pair-rule)# match protocol ah
ESR1(config-zone-pair-rule)# enable
ESR1(config-zone-pair-rule)# exit
ESR1(config-zone-pair)# exit
Конфигурирование ESR2
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
ESR2(config)# interface gigabitethernet 1/0/1
ESR2(config-if-gi)# security-zone untrusted
ESR2(config-if-gi)# ip address 80.66.0.1/30
ESR2(config-if-gi)# exit
Настроим GRE туннель, определим принадлежность к зоне безопасности и включим туннель командой enable:
ESR2(config)# tunnel gre 1
ESR2(config-gre)# ttl 16
ESR2(config-gre)# security-zone trusted
ESR2(config-gre)# local address 80.66.0.1
ESR2(config-gre)# remote address 180.10.0.1
ESR2(config-gre)# ip address 10.10.10.2/30
ESR2(config-gre)# enable
ESR2(config-gre)# exit
Создадим статический маршрут для подсети 180.10.0.0/30:
ESR2(config)# ip route 180.10.0.0/30 80.66.0.2
Создадим статический маршрут подсети LAN1 - 1.1.1.0/24 через tunnel gre 1:
ESR2(config)# ip route 1.1.1.0/24 tunnel gre 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
ESR2(config)# security ike proposal ike_prop1
ESR2(config-ike-proposal)# authentication algorithm md5
ESR2(config-ike-proposal)# encryption algorithm aes128
ESR2(config-ike-proposal)# dh-group 2
ESR2(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
ESR2(config)# security ike policy ike_pol1
ESR2(config-ike-policy)# pre-shared-key ascii-text password
ESR2(config-ike-policy)# proposal ike_prop1
ESR2(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
ESR2(config)# security ike gateway ike_gw1
ESR2(config-ike-gw)# ike-policy ike_pol1
ESR2(config-ike-gw)# local address 80.66.0.1
ESR2(config-ike-gw)# local network 80.66.0.1/32 protocol gre
ESR2(config-ike-gw)# remote address 180.10.0.1
ESR2(config-ike-gw)# remote network 180.10.0.1/32 protocol gre
ESR2(config-ike-gw)# mode policy-based
ESR2(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
ESR2(config)# security ipsec proposal ipsec_prop1
ESR2(config-ipsec-proposal)# authentication algorithm md5
ESR2(config-ipsec-proposal)# encryption algorithm aes128
ESR2(config-ipsec-proposal)# pfs dh-group 2
ESR2(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
ESR2(config)# security ipsec policy ipsec_pol1
ESR2(config-ipsec-policy)# proposal ipsec_prop1
ESR2(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
ESR2(config)# security ipsec vpn ipsec1
ESR2(config-ipsec-vpn)# mode ike
ESR2(config-ipsec-vpn)# ike establish-tunnel route
ESR2(config-ipsec-vpn)# ike gateway ike_gw1
ESR2(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
ESR2(config-ipsec-vpn)# enable
ESR2(config-ipsec-vpn)# exit
Источник:
docs.eltex-co.ru
При настройке IPSec на ESR включен способ установления соединения ike establish-tunnel route, при таком режиме IPSec туннель поднимется при наличии транзитного трафика. Loopback интерфейсы необходимы для проверки работоспособности IPSec туннеля (передачи транзитного трафика) и в конфигурации не обязательны.
ESR:
1) Конфигурация:
esr# show running-config
router ospf log-adjacency-changes
router ospf 1
router-id 10.110.0.66
area 0.0.0.1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
ip firewall disable
ip address 100.100.0.2/24
exit
interface loopback 1
ip address 2.2.2.2/32
exit
tunnel gre 1
mtu 1476
ip firewall disable
local address 100.100.0.2
remote address 10.10.0.13
ip address 10.110.0.66/30
ip ospf instance 1
ip ospf area 0.0.0.1
ip ospf
enable
exit
security ike proposal IKEPROP
encryption algorithm aes128
dh-group 2
exit
security ike policy IKEPOL
lifetime seconds 86400
pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
proposal IKEPROP
exit
security ike gateway IKEGW
ike-policy IKEPOL
local address 100.100.0.2
local network 100.100.0.2/32 protocol gre
remote address 10.10.0.13
remote network 10.10.0.13/32 protocol gre
mode policy-based
exit
security ipsec proposal IPPROP
encryption algorithm aes128
exit
security ipsec policy IPPOL
proposal IPPROP
exit
security ipsec vpn IPSEC
mode ike
ike establish-tunnel route
ike gateway IKEGW
ike ipsec-policy IPPOL
enable
exit
ip route 0.0.0.0/0 tunnel gre 1
ip route 10.10.0.0/24 100.100.0.1
2) Информация о состоянии протокола OSPF и IPSec туннеля:
esr# show ip ospf neighbors
Router ID Pri State DTime Interface Router IP
--------- --- ----- ----- ----------------- ---------
10.110.0.65 1 Full/BDR 00:35 gre 1 10.110.0.65
esr# show security ipsec vpn status IPSEC
Currently active IKE SA:
Name: IPSEC
State: Established
Version: v1-only
Unique ID: 3
Local host: 100.100.0.2
Remote host: 10.10.0.13
Role: Initiator
Initiator spi: 0x15dc63f5881abbb0
Responder spi: 0xd45e86e5abb121d9
Encryption algorithm: des
Authentication algorithm: sha1
Diffie-Hellman group: 2
Established: 12 minutes and 34 seconds ago
Rekey time: 12 minutes and 34 seconds
Reauthentication time: 23 hours, 32 minutes and 7 seconds
Child IPsec SAs:
Name: IPSEC
State: Installed
Protocol: esp
Mode: Tunnel
Encryption algorithm: aes128
Authentication algorithm: sha1
Rekey time: 32 minutes
Life time: 47 minutes and 26 seconds
Established: 12 minutes and 34 seconds ago
Traffic statistics:
Input bytes: 540
Output bytes: 540
Input packets: 5
Output packets: 5
Cisco:
1) Конфигурация:
crypto isakmp policy 2
encr aes
authentication pre-share
group 2
crypto isakmp key password address 100.100.0.2
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set strong esp-aes esp-sha-hmac
!
crypto map mymap local-address FastEthernet0/0
crypto map mymap 119 ipsec-isakmp
set peer 100.100.0.2
set transform-set strong
match address 119
!
!
interface Loopback1
ip address 1.1.1.1 255.255.255.255
!
!
interface Tunnel2
ip address 10.110.0.65 255.255.255.252
ip ospf 1 area 0.0.0.1
ip ospf network broadcast
tunnel source 10.10.0.13
tunnel destination 100.100.0.2
!
!
interface FastEthernet0/0
ip address 10.10.0.13 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
router ospf 1
router-id 10.110.0.65
log-adjacency-changes
!
ip route 100.100.0.0 255.255.255.0 10.10.0.1
ip route 0.0.0.0 0.0.0.0 Tunnel2
!
access-list 119 permit gre host 10.10.0.13 host 100.100.0.2
2) Информация о состоянии протокола OSPF и IPSec туннеля:
Router#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
10.110.0.66 0 FULL/ - 00:00:32 10.110.0.66 Tunnel2
Router#show crypto ipsec sa
interface: FastEthernet0/0
Crypto map tag: mymap, local addr 10.10.0.13
protected vrf: (none)
local ident (addr/mask/prot/port): (10.10.0.13/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (100.100.0.2/255.255.255.255/47/0)
current_peer 100.100.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.10.0.13, remote crypto endpt.: 100.100.0.2
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0xC9A1F292(3382833810)
PFS (Y/N): Y, DH group: group2
inbound esp sas:
spi: 0x7783E2D2(2005131986)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4480312/3033)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xC9A1F292(3382833810)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: FPGA:2, sibling_flags 80000046, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4480312/3033)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
Источник:
docs.eltex-co.ru
Задача:
- Выдать клиенту client1 один IP адрес.
- Выдать клиенту client2 три IP адреса.
Решение:
На маршрутизаторе R1 настроим loopback-интерфейс и повешаем наго IP адрес из пула который будем раздовать другим маршрутизаторам:
esr-200# config
esr-200(config)# interface loopback 1
esr-200(config-loopback)# ip address 10.10.10.254/24
esr-200(config-loopback)# exit
Далее настроим интерфейсы к которым подключены клиенты:
esr-200(config)# interface gigabitethernet 1/0/2
esr-200(config-if-gi)# ip unnumbered loopback 1
esr-200(config-if-gi)# ip firewall disable
esr-200(config-if-gi)# exit
esr-200(config)# interface gigabitethernet 1/0/3
esr-200(config-if-gi)# ip unnumbered loopback 1
esr-200(config-if-gi)# ip firewall disable
esr-200(config-if-gi)# exit
И последнее что осталось, это прописать маршрут до IP адресов которые отдаем клиентам:
esr-200(config)# ip route 10.10.10.1/32 interface gigabitethernet 1/0/2 name client1
esr-200(config)# ip route 10.10.10.2/32 interface gigabitethernet 1/0/3 name client2
esr-200(config)# ip route 10.10.10.3/32 interface gigabitethernet 1/0/3 name client2
esr-200(config)# ip route 10.10.10.4/32 interface gigabitethernet 1/0/3 name client2
esr-200(config)# exit
esr-200# commit
esr-200# confirm
А теперь осталось настроить у клиента IP адрес 10.10.10.1 с маской 255.255.255.0 и шлюзом 10.0.0.2 (интерфейс R1 смотрящий в интернет). Точно также делаем на всех ПК воторого клиента.
Источник:
docs.eltex-co.ru