Оглавление | ||
---|---|---|
|
Настройка DHCP-сервера
Встроенный DHCP-сервер маршрутизатора может быть использован для настройки сетевых параметров устройств в локальной сети. DHCP-сервер маршрутизаторов способен передавать дополнительные опции на сетевые устройства, например:
- default-router – IP-адрес маршрутизатора, используемого в качестве шлюза по умолчанию;
- domain-name – доменное имя, которое должен будет использовать клиент при разрешении имен хостов через Систему Доменных Имен (DNS);
- dns-server – список адресов серверов доменных имен в данной сети, о которых должен знать клиент. Адреса серверов в списке располагаются в порядке убывания предпочтения.
Алгоритм настройки
...
esr(config)# ip dhcp-server [vrf <VRF>]
...
esr(config)# ipv6 dhcp-server [vrf <VRF>]
...
esr(config)# ip dhcp-server dscp <DSCP>
...
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию: 61.
...
esr(config)# ip dhcp-server pool <NAME> [vrf <VRF>]
...
<NAME> – имя пула IPv4/IPv6-адресов DHCP-сервера, задаётся строка до 31 символа.
<VRF> – имя экземпляра VRF, в рамках которого будет работать данный пул IP-адресов DHCP-сервера. Задается строкой до 31 символа.
...
esr(config)# ipv6 dhcp-server pool <NAME> [vrf <VRF>]
...
esr(config-dhcp-server)# network <ADDR/LEN>
...
esr(config-ipv6-dhcp-server)# network <IPV6-ADDR/LEN>
...
<IPV6-ADDR/LEN> – IP-адрес и префикс подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].
...
5
...
Добавить диапазон IPv4/IPv6-адресов к пулу адресов, конфигурируемого DHCP-сервера.
...
esr(config-dhcp-server)# address-range <FROM-ADDR>-<TO-ADDR>
...
<FROM-ADDR> – начальный IP-адрес диапазона;
<TO-ADDR> – конечный IP-адрес диапазона.
Адреса задаются в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Можно указать до 32 диапазонов IP-адресов, список задаётся через запятую.
...
esr(config-ipv6-dhcp-server)# address-range <FROM-ADDR>-<TO-ADDR>
...
<FROM-ADDR> – начальный IPv6-адрес диапазона;
<TO-ADDR> – конечный IP-адрес диапазона;
Адреса задаются в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
...
6
...
Добавить IPv4/IPv6-адрес для определенного физического адреса к пулу адресов конфигурируемого DHCP-сервера (не обязательно).
...
esr(config-dhcp-server)# address <ADDR>
{mac-address <MAC> | client-identifier <CI>}
...
<ADDR> – IP-адрес клиента, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<MAC> – МАС-адрес клиента, которому будет выдан IP-адрес, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
<CI> – идентификатор клиента согласно DHCPOption61. Может быть задан в одном из следующих видов:
- HH:HH:HH:HH:HH:HH:HH: – идентификатор клиента в шестнадцатеричной форме и mac-адрес клиента;
- STRING – текстовая строка длиной от 1 до 64 символов.
...
esr(config-ipv6-dhcp-server)# address <ADDR> mac-address <MAC>
...
<IPV6-ADDR> – IPv6-адрес клиента, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<MAC> – МАС-адрес клиента, которому будет выдан IPv6-адрес, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
...
7
...
Задать список IPv4-адресов шлюзов по умолчанию, которые DHCP-сервер будет сообщать клиентам, используя DHCP-опцию 3.
...
esr(config-dhcp-server)# default-router <ADDR>
...
<ADDR> – IP-адрес шлюза по умолчанию, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Можно указать до 8 IP-адресов, список задаётся через запятую.
...
8
...
Задать DNS-имя сетевого домена. Имя домена передаётся клиентам в составе DHCP-опции 15 (не обязательно).
...
esr(config-dhcp-server)# domain-name <NAME>
...
<NAME> – DNS-имя домена клиента, задаётся строкой до 255 символов.
...
esr(config-ipv6-dhcp-server)# domain-name <NAME>
...
9
...
Задать список IPv4/IPv6-адресов DNS-серверов. Список передаётся клиентам в составе DHCP-опции 6 (не обязательно).
...
esr(config-dhcp-server)# dns-server <ADDR>
...
<ADDR> – IP-адрес DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Можно указать до 8 IP-адресов, список задаётся через запятую.
...
esr(config-ipv6-dhcp-server)# dns-server <IPV6-ADDR>
...
<IPV6-ADDR> – IPv6-адрес DNS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. Можно указать до 8 IPv6-адресов, список задаётся через запятую.
...
10
...
Задать максимальное время аренды IP-адресов (не обязательно).
Если DHCP-клиент запрашивает время аренды, превосходящее максимальное значение, то будет установлено время, заданное этой командой.
...
esr(config-dhcp-server)# max-lease-time <TIME>
...
<TIME> – максимальное время аренды IP-адреса, задаётся в формате DD:HH:MM, где:
- DD – количество дней, принимает значения [0..364];
- HH – количество часов, принимает значения [0..23];
- MM – количество минут, принимает значения [0..59].
Значение по умолчанию: 1 день.
...
esr(config-ipv6-dhcp-server)# max-lease-time <TIME>
...
11
...
Задать время аренды, на которое клиенту будет выдан IP-адрес (не обязательно).
Данное время будет использоваться если клиент не запрашивал определенное время аренды.
...
esr(config-dhcp-server)# default-lease-time <TIME>
...
<TIME> – максимальное время аренды IP-адреса, задаётся в формате DD:HH:MM, где:
- DD – количество дней, принимает значения [0..364];
- HH – количество часов, принимает значения [0..23];
- MM – количество минут, принимает значения [0..59].
Значение по умолчанию: 12 часов.
...
esr(config-ipv6-dhcp-server)# default-lease-time <TIME>
...
12
...
Создать идентификатор класса поставщика (DHCP Опция 60) (не обязательно).
...
esr(config)# ip dhcp-server vendor-class-id <NAME>
...
<NAME> – идентификатор класса поставщика, задаётся строкой до 31 символа.
...
esr(config)# ipv6 dhcp-server vendor-class-id <NAME>
...
13
...
Задать специфическую информацию поставщика (DHCP Опция 43).
...
esr(config-dhcp-vendor-id)# vendor-specific-options <HEX>
...
<HEX> – специфическая информация поставщика, задаётся в шестнадцатеричном формате до 128 символов.
...
esr(config-ipv6-dhcp-vendor-id)# vendor-specific-options <HEX>
...
14
...
Задать IP-адрес NetBIOS-сервера (DHCP опция 44) (не обязательно).
...
esr(config-dhcp-server)# netbios-name-server <ADDR>
...
<ADDR> – IP-адрес NetBIOS-сервера задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Можно задать до 4 IP-адресов.
...
15
...
Задать IP-адрес tftp-сервера (DHCP Option 150) (не обязательно).
...
esr(config-dhcp-server)# tftp-server <ADDR>
...
<ADDR> – IP-адрес DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Scroll Pagebreak |
---|
Задача:
Настроить работу DHCP-сервера в локальной сети, относящейся к зоне безопасности «trusted». Задать пул IP-адресов из подсети 192.168.1.0/24 для раздачи клиентам. Задать время аренды адресов 1 день. Настроить передачу клиентам маршрута по умолчанию, доменного имени и адресов DNS-серверов с помощью DHCP-опций.
Решение:
Создадим зону безопасности «trusted» и установим принадлежность используемых сетевых интерфейсов к зонам:
Блок кода |
---|
esr# configure
esr(config)# security zone trusted
esr(config-zone)# exit |
Создадим пул адресов с именем «Simple» и добавим в данный пул адресов диапазон IP-адресов для выдачи в аренду клиентам сервера. Укажем параметры подсети, к которой принадлежит данный пул, и время аренды для выдаваемых адресов:
Блок кода |
---|
esr# configure
esr(config)# ip dhcp-server pool Simple
esr(config-dhcp-server)# network 192.168.1.0/24
esr(config-dhcp-server)# address-range 192.168.1.100-192.168.1.125
esr(config-dhcp-server)# default-lease-time 1:00:00 |
Сконфигурируем передачу клиентам дополнительных сетевых параметров:
- маршрут по умолчанию: 192.168.1.1;
- имя домена: eltex.loc;
- список DNS-серверов: DNS1: 172.16.0.1, DNS2: 8.8.8.8.
Блок кода |
---|
esr(config-dhcp-server)# domain-name "eltex.loc"
esr(config-dhcp-server)# default-router 192.168.1.1
esr(config-dhcp-server)# dns-server 172.16.0.1,8.8.8.8
esr(config-dhcp-server)# exit |
Для того чтобы DHCP-сервер мог раздавать IP-адреса из конфигурируемого пула, на маршрутизаторе должен быть создан IP-интерфейс, принадлежащий к той же подсети, что и адреса пула.
Блок кода |
---|
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# security-zone trusted
esr(config-if-gi)# ip address 192.168.1.1/24
esr(config-if-gi)# exit |
Для разрешения прохождения сообщений протокола DHCP к серверу необходимо создать соответствующие профили портов, включающие порт источника 68 и порт назначения 67, используемые протоколом DHCP, и создать разрешающее правило в политике безопасности для прохождения пакетов протокола UDP:
Блок кода |
---|
esr(config)# object-group service dhcp_server
esr(config-object-group-service)# port-range 67
esr(config-object-group-service)# exit
esr(config)# object-group service dhcp_client
esr(config-object-group-service)# port-range 68
esr(config-object-group-service)# exit
esr(config)# security zone-pair trusted self
esr(config-zone-pair)# rule 30
esr(config-zone-rule)# match protocol udp
esr(config-zone-rule)# match source-port dhcp_client
esr(config-zone-rule)# match destination-port dhcp_server
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit |
Разрешим работу сервера:
Блок кода |
---|
esr(config)# ip dhcp-server
esr(config)# exit |
Просмотреть список арендованных адресов можно с помощью команды:
Блок кода |
---|
esr# show ip dhcp binding |
Просмотреть сконфигурированные пулы адресов можно командами:
Блок кода |
---|
esr# show ip dhcp server pool
esr# show ip dhcp server pool Simple |
Примечание |
---|
Конфигурирование настроек для IPv6 производится по аналогии с IPv4. |
Конфигурирование Destination NAT
Функция Destination NAT (DNAT) состоит в преобразовании IP-адреса назначения у пакетов, проходящих через сетевой шлюз.
DNAT используется для перенаправления трафика, идущего на некоторый «виртуальный» адрес в публичной сети, на «реальный» сервер в локальной сети, находящийся за сетевым шлюзом. Эту функцию можно использовать для организации публичного доступа к серверам, находящимся в частной сети и не имеющим публичного сетевого адреса.
Алгоритм настройки
...
Шаг
...
Описание
...
Команда
...
Ключи
...
1
...
Перейти в режим настройки сервиса трансляции адресов получателя.
...
esr(config)# nat destination
...
2
...
Cоздать пул IP-адресов и/или TCP/UDP-портов с определённым именем (не обязательно).
...
esr(config-dnat)# pool <NAME>
...
<NAME> – имя пула NAT-адресов, задаётся строкой до 31 символа.
...
3
...
Установить внутренний IP-адрес, на который будет заменяться IP-адрес получателя.
...
esr(config-dnat-pool)# ip address <ADDR>
...
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
...
4
...
Установить внутренний TCP/UDP-порт, на который будет заменяться TCP/UDP-порт получателя.
...
esr(config-dnat-pool)# ip port <PORT>
...
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
...
5
...
Создать группу правил с определённым именем.
...
esr(config-dnat)# ruleset <NAME>
...
<NAME> – имя группы правил, задаётся строкой до 31 символа.
...
6
...
Указать экземпляр VRF, в котором будет работать данная группа правил (не обязательно).
...
esr(config-dnat-ruleset)# ip vrf forwarding <VRF>
...
<VRF> – имя VRF, задается строкой до 31 символа.
...
7
...
Задать область применения группы правил. Правила будут применяться только для трафика, идущего из определенной зоны или интерфейса.
...
esr(config-dnat-ruleset)# from { zone <NAME>
| interface <IF> | tunnel <TUN> | default }
...
<NAME> – имя зоны изоляции;
<IF> – имя интерфейса устройства;
<TUN> – имя туннеля устройства;
default – обозначает группу правил для всего трафика, источник которого не попал под критерии других групп правил.
...
8
...
Задать правило c определённым номером. Правила обрабатываются в порядке возрастания.
...
esr(config-dnat-ruleset)# rule <ORDER>
...
<ORDER> – номер правила, принимает значения [1..10000].
...
9
...
Задать профиль IP-адресов {отправителя | получателя}, для которых должно срабатывать правило.
...
esr(config-dnat-rule)# match [not]
{source|destination}-address <OBJ-GROUP-NETWORK-NAME>
...
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Значение «any» указывает на любой IP-адрес отправителя.
...
10
...
Задать профиль сервисов (tcp/udp-портов) {отправителя | получателя}, для которых должно срабатывать правило (не обязательно).
...
esr(config-dnat-rule)# match [not]
{source|destination}-port <PORT-SET-NAME>
...
<PORT-SET-NAME> – имя профиля порта, задаётся строкой до 31 символа. Значение «any» указывает на любой TCP/UDP-порт отправителя.
...
esr(config-dnat-rule)# match [not]
{protocol <TYPE> | protocol-id <ID> }
...
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre. Значение «any» указывает на любой тип протокола.
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
...
esr(config-dnat-rule)# match [not]
icmp {<ICMP_TYPE><ICMP_CODE> | <TYPE-NAME>}
...
<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255].
<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. Значение «any» указывает на любой код сообщения.
<TYPE-NAME> – имя типа ICMP-сообщения.
...
esr(config-dnat-rule)# action destination-nat
{ off | pool <NAME> | netmap <ADDR/LEN> }
...
off – трансляция отключена;
pool <NAME> – имя пула, содержащего набор IP-адресов и/или TCP/UDP-портов;
netmap <ADDR/LEN> – IP-адрес и маска подсети, используемые при трансляции. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
...
esr(config-dnat-rule)# enable
...
esr(config)# ip firewall sessions tracking
{<PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> ] | all}
...
all – включает функцию отслеживания сессий уровня приложений для всех доступных протоколов;
<PROTOCOL> – протокол уровня приложений, сессии которого должны отслеживаться, принимает значения [ftp, h323, pptp, netbios-ns];
<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sip-сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет осуществляться для порта 5060.
...
esr(config)# nat alg {<PROTOCOL> | all}
...
all – включает трансляцию IP-адресов в заголовках всех доступных протоколов;
<PROTOCOL> – протокол уровня приложений, в заголовках которого должна работать трансляция адресов, принимает значения [ftp, h323, pptp, netbios-ns, gre, sip, tftp].
...
Примечание |
---|
1 При использовании ключа not правило будет срабатывать для значений, которые не входят в указанный профиль. Каждая команда «match» может содержать ключ «not». При использовании данного ключа под правило будут подпадать пакеты, не удовлетворяющие заданному критерию. Более подробная информация о командах для настройки маршрутизатора содержится в справочнике команд CLI. |
Пример настройки Destination NAT
Задача:
Организовать доступ из публичной сети, относящейся к зоне «UNTRUST», к серверу локальной сети в зоне «TRUST». Адрес сервера в локальной сети – 10.1.1.100. Сервер должен быть доступным извне по адресу 1.2.3.4, доступный порт 80.
Решение:
Создадим зоны безопасности «UNTRUST» и «TRUST». Установим принадлежность используемых сетевых интерфейсов к зонам. Одновременно назначим IP-адреса интерфейсам.
Блок кода |
---|
esr# configure
esr(config)# security zone UNTRUST
esr(config-zone)# exit
esr(config)# security zone TRUST
esr(config-zone)# exit
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# security-zone TRUST
esr(config-if-gi)# ip address 10.1.1.1/25
esr(config-if-gi)# exit
esr(config)# interface tengigabitethernet 1/0/1
esr(config-if-te)# ip address 1.2.3.4/29
esr(config-if-te)# security-zone UNTRUST
esr(config-if-te)# exit |
Создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.
- NET_UPLINK – профиль адресов публичной сети;
- SERVER_IP – профиль адресов локальной сети;
- SRV_HTTP – профиль портов.
Блок кода |
---|
esr(config)# object-group network NET_UPLINK
esr(config-object-group-network)# ip address 1.2.3.4
esr(config-object-group-network)# exit |
Блок кода |
---|
esr(config)# object-group service SRV_HTTP
esr(config-object-group-service)# port 80
esr(config-object-group-service)# exit |
Блок кода |
---|
esr(config)# object-group network SERVER_IP
esr(config-object-group-network)# ip address 10.1.1.100
esr(config-object-group-network)# exit |
Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 1.2.3.4 из внешней сети.
Блок кода |
---|
esr(config)# nat destination
esr(config-dnat)# pool SERVER_POOL
esr(config-dnat-pool)# ip address 10.1.1.100
esr(config-dnat-pool)# ip port 80
esr(config-dnat-pool)# exit |
Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «UNTRUST». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».
Блок кода |
---|
esr(config-dnat)# ruleset DNAT
esr(config-dnat-ruleset)# from zone UNTRUST
esr(config-dnat-ruleset)# rule 1
esr(config-dnat-rule)# match destination-address NET_UPLINK
esr(config-dnat-rule)# match protocol tcp
esr(config-dnat-rule)# match destination-port SRV_HTTP
esr(config-dnat-rule)# action destination-nat pool SERVER_POOL
esr(config-dnat-rule)# enable
esr(config-dnat-rule)# exit
esr(config-dnat-ruleset)# exit
esr(config-dnat)# exit |
Для пропуска трафика, идущего из зоны «UNTRUST» в «TRUST», создадим соответствующую пару зон. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP» и прошедший преобразование DNAT.
Блок кода |
---|
esr(config)# security zone-pair UNTRUST TRUST
esr(config-zone-pair)# rule 1
esr(config-zone-pair-rule)# match destination-address SERVER_IP
esr(config-zone-pair-rule)# match destination-nat
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit
esr(config)# exit |
Произведенные настройки можно посмотреть с помощью команд:
Блок кода |
---|
esr# show ip nat destination pools
esr# show ip nat destination rulesets
esr# show ip nat proxy-arp
esr# show ip nat translations |
Конфигурирование Source NAT
Функция Source NAT (SNAT) используется для подмены адреса источника у пакетов, проходящих через сетевой шлюз. При прохождении пакетов из локальной сети в публичную сеть, адрес источника заменяется на один из публичных адресов шлюза. Дополнительно к адресу источника может применяться замена порта источника. При прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта.
Функция SNAT может быть использована для предоставления доступа в Интернет компьютерам, находящимся в локальной сети. При этом не требуется назначения публичных IP-адресов этим компьютерам.
...
Алгоритм настройки
...
esr(config)# nat source
...
2
...
Создать пул IP-адресов и/или TCP/UDP-портов с определённым именем (не обязательно).
...
esr(config-snat)# pool <NAME>
...
<NAME> – имя пула NAT-адресов, задаётся строкой до 31 символа.
...
3
...
Установить диапазон IP-адресов, для которых будет заменяться IP-адрес отправителя.
...
esr(config-snat-pool)# ip address-range <IP>[-<ENDIP>]
...
<IP> – IP-адрес начала диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ENDIP> – IP-адрес конца диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для трансляции используется только IP-адрес начала диапазона.
...
4
...
Задать диапазон внешних TCP/UDP-портов, на которые будет заменяться TCP/UDP-порт отправителя.
...
esr(config-snat-pool)# ip port-range <PORT>[-<ENDPORT>]
...
<PORT> – TCP/UDP-порт начала диапазона, принимает значения [1..65535];
<ENDPORT> – TCP/UDP-порт конца диапазона, принимает значения [1..65535]. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для трансляции используется только TCP/UDP-порт начала диапазона.
...
5
...
Установить внешний TCP/UDP-порт, на который будет заменяться TCP/UDP-порт отправителя.
...
esr(config-snat-pool)# ip port <PORT>
...
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
...
6
...
Включить функции NAT persistent.
...
esr(config-snat-pool)# persistent
...
7
...
Создать группу правил с определённым именем.
...
esr(config-snat)# ruleset <NAME>
...
<NAME> – имя группы правил, задаётся строкой до 31 символа.
...
8
...
Указать экземпляр VRF, в котором будет работать данная группа правил (не обязательно).
...
esr(config-snat-ruleset)# ip vrf forwarding <VRF>
...
<VRF> – имя VRF, задается строкой до 31 символа.
...
9
...
Задать область применения группы правил. Правила будут применяться только для трафика, идущего в определенную зону или интерфейс.
...
esr(config-snat-ruleset)# to { zone <NAME> |
interface <IF> tunnel <TUN> | | default }
...
<NAME> – имя зоны изоляции;
<IF> – имя интерфейса устройства;
<TUN> – имя туннеля устройства:
default – обозначает группу правил для всего трафика, источник которого не попал под критерии других групп правил.
...
10
...
Задать правило c определённым номером. Правила обрабатываются в порядке возрастания.
...
esr(config-snat-ruleset)# rule <ORDER>
...
<ORDER> – номер правила, принимает значения [1..10000].
...
11
...
Задать профиль IP-адресов {отправителя | получателя}, для которых должно срабатывать правило.
...
esr(config-snat-rule)# match [not]
{source|destination}-address <OBJ-GROUP-NETWORK-NAME>
...
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Значение «any» указывает на любой IP-адрес отправителя.
...
12
...
Задать профиль IP-адресов {отправителя | получателя}, для которых должно срабатывать правило (не обязательно).
...
esr(config-snat-rule)# match [not]
{source | destination}-port <PORT-SET-NAME>
...
<PORT-SET-NAME> – имя профиля порта, задаётся строкой до 31 символа. Значение «any» указывает на любой TCP/UDP-порт отправителя.
...
13
...
Установить имя или номер IP-протокола, для которого должно срабатывать правило (не обязательно).
...
esr(config-snat-rule)# match [not]
{protocol|protocol-id} <TYPE>
...
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre. Значение «any» указывает на любой тип протокола;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
...
14
...
Задать тип и код сообщений протокола ICMP, для которых должно срабатывать правило (не обязательно).
...
esr(config-snat-rule)# match [not]
icmp {<ICMP_TYPE><ICMP_CODE> | <TYPE-NAME>}
...
<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255];
<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. Значение «any» указывает на любой код сообщения;
<TYPE-NAME> – имя типа ICMP-сообщения.
...
15
...
Задать действие «трансляция адреса и порта отправителя» для трафика, удовлетворяющего критериям, заданным командами «match».
...
esr(config-snat-rule)# action source-nat { off |
pool <NAME> | netmap <ADDR/LEN> [static] |
interface [FIRST_PORT – LAST_PORT] }
...
off – трансляция отключена;
pool<NAME> – имя пула, содержащего набор IP-адресов и/или TCP/UDP-портов;
netmap <ADDR/LEN> – IP-адрес и маска подсети, используемые при трансляции; static – опция для организации статического NAT.
Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
interface [FIRST_PORT – LAST_PORT] – задаёт трансляцию в IP-адрес интерфейса. Если дополнительно задан диапазон TCP/UDP-портов, то трансляция будет происходить только для TCP/UDP- портов отправителя, входящих в указанный диапазон.
...
16
...
Активировать конфигурируемое правило.
...
esr(config-snat-rule)# enable
...
esr(config)# ip firewall sessions tracking
{<PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> ] | all}
...
all – включает функцию отслеживания сессий уровня приложений для всех доступных протоколов;
<PROTOCOL> – протокол уровня приложений, сессии которого должны отслеживаться, принимает значения [ftp, h323, pptp, netbios-ns];
<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sip-сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет осуществляться для порта 5060.
...
esr(config)# nat alg {<PROTOCOL> | all}
...
all – включает трансляцию IP-адресов в заголовках всех доступных протоколов.
<PROTOCOL> – протокол уровня приложений, в заголовках которого должна работать трансляция адресов, принимает значения [ftp, h323, pptp, netbios-ns, gre, sip, tftp].
...
Примечание |
---|
1 При использовании ключа not правило будет срабатывать для значений, которые не входят в указанный профиль. Каждая команда «match» может содержать ключ «not». При использовании данного ключа под правило будут подпадать пакеты, не удовлетворяющие заданному критерию. Более подробная информация о командах для настройки маршрутизатора содержится в справочнике команд CLI. |
Scroll Pagebreak
Пример настройки 1
Задача:
Настроить доступ пользователей локальной сети 10.1.2.0/24 к публичной сети с использованием функции Source NAT. Задать диапазон адресов публичной сети для использования SNAT 100.0.0.100-100.0.0.249.
Решение:
Конфигурирование начнем с создания зон безопасности, настройки сетевых интерфейсов и определения их принадлежности к зонам безопасности. Создадим доверенную зону «TRUST» для локальной сети и зону «UNTRUST» для публичной сети.
Блок кода |
---|
esr# configure
esr(config)# security zone UNTRUST
esr(config-zone)# exit
esr(config)# security zone TRUST
esr(config-zone)# exit
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip address 10.1.2.1/24
esr(config-if-gi)# security-zone TRUST
esr(config-if-gi)# exit
esr(config)# interface tengigabitethernet 1/0/1
esr(config-if-te)# ip address 100.0.0.99/24
esr(config-if-te)# security-zone UNTRUST
esr(config-if-te)# exit |
Для конфигурирования функции SNAT и настройки правил зон безопасности потребуется создать профиль адресов локальной сети «LOCAL_NET», включающий адреса, которым разрешен выход в публичную сеть, и профиль адресов публичной сети «PUBLIC_POOL».
Блок кода |
---|
esr(config)# object-group network LOCAL_NET
esr(config-object-group-network)# ip address-range 10.1.2.2-10.1.2.254
esr(config-object-group-network)# exit
esr(config)# object-group network PUBLIC_POOL
esr(config-object-group-network)# ip address-range 100.0.0.100-100.0.0.249
esr(config-object-group-network)# exit |
Scroll Pagebreak |
---|
Блок кода |
---|
esr(config)# security zone-pair TRUST UNTRUST
esr(config-zone-pair)# rule 1
esr(config-zone-pair-rule)# match source-address LOCAL_NET
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit |
Конфигурируем сервис SNAT. Первым шагом создаётся пул адресов публичной сети, используемых для сервиса SNAT.
Блок кода |
---|
esr(config)# nat sourсe
esr(config-snat)# pool TRANSLATE_ADDRESS
esr(config-snat-pool)# ip address-range 100.0.0.100-100.0.0.249
esr(config-snat-pool)# exit |
Вторым шагом создаётся набор правил SNAT. В атрибутах набора укажем, что правила применяются только для пакетов, направляющихся в публичную сеть – в зону «UNTRUST». Правила включают проверку адреса источника данных на принадлежность к пулу «LOCAL_NET».
Блок кода |
---|
esr(config-snat)# ruleset SNAT
esr(config-snat-ruleset)# to zone UNTRUST
esr(config-snat-ruleset)# rule 1
esr(config-snat-rule)# match source-address LOCAL_NET
esr(config-snat-rule)# action source-nat pool TRANSLATE_ADDRESS
esr(config-snat-rule)# enable
esr(config-snat-rule)# exit
esr(config-snat-ruleset)# exit |
Для того чтобы маршрутизатор отвечал на запросы протокола ARP для адресов, входящих в публичный пул, необходимо запустить сервис ARP Proxy. Сервис ARP Proxy настраивается на интерфейсе, которому принадлежит IP-адрес из подсети профиля адресов публичной сети «PUBLIC_POOL».
Блок кода |
---|
esr(config)# interface tengigabitethernet 1/0/1
esr(config-if-te)# ip nat proxy-arp PUBLIC_POOL |
Для того чтобы устройства локальной сети могли получить доступ к публичной сети, на них должна быть настроена маршрутизация – адрес 10.1.2.1 должен быть назначен адресом шлюза.
На самом маршрутизаторе также должен быть создан маршрут для направления на публичную сеть. Этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды.
Блок кода |
---|
esr(config)# ip route 0.0.0.0/0 100.0.0.1
esr(config)# exit |
Пример настройки 2
Задача:
Настроить доступ пользователей локальной сети 21.12.2.0/24 к публичной сети с использованием функции Source NAT без использования межсетевого экрана (firewall). Диапазон адресов публичной сети для использования SNAT 200.10.0.100-200.10.0.249.
Решение:
Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого:
Блок кода |
---|
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip address 21.12.2.1/24
esr(config-if-gi)# ip firewall disable
esr(config-if-gi)# exit |
Блок кода |
---|
esr(config)# interface tengigabitethernet 1/0/1
esr(config-if-te)# ip address 200.10.0.1/24
esr(config-if-te)# ip firewall disable
esr(config-if-te)# exit |
Для конфигурирования функции SNAT потребуется создать профиль адресов локальной сети «LOCAL_NET», включающий адреса, которым разрешен выход в публичную сеть, и профиль адресов публичной сети «PUBLIC_POOL»:
Блок кода |
---|
esr(config)# object-group network LOCAL_NET
esr(config-object-group-network)# ip address-range 21.12.2.2-21.12.2.254
esr(config-object-group-network)# exit
esr(config)# object-group network PUBLIC_POOL
esr(config-object-group-network)# ip address-range 200.10.0.100-200.10.0.249
esr(config-object-group-network)# exit |
Конфигурируем сервис SNAT.
Первым шагом создаётся пул адресов публичной сети, используемых для сервиса SNAT:
Блок кода |
---|
esr(config)# nat source
esr(config-snat)# pool TRANSLATE_ADDRESS
esr(config-snat-pool)# ip address-range 200.10.0.100-200.10.0.249
esr(config-snat-pool)# exit |
Scroll Pagebreak |
---|
Блок кода |
---|
esr(config-snat)# ruleset SNAT
esr(config-snat-ruleset)# to interface te1/0/1
esr(config-snat-ruleset)# rule 1
esr(config-snat-rule)# match source-address LOCAL_NET
esr(config-snat-rule)# action source-nat pool TRANSLATE_ADDRESS
esr(config-snat-rule)# enable
esr(config-snat-rule)# exit
esr(config-snat-ruleset)# exit |
Для того чтобы маршрутизатор отвечал на запросы протокола ARP для адресов, входящих в публичный пул, необходимо запустить сервис ARP Proxy. Сервис ARP Proxy настраивается на интерфейсе, которому принадлежит IP-адрес из подсети профиля адресов публичной сети «PUBLIC_POOL»:
Блок кода |
---|
esr(config)# interface tengigabitethernet 1/0/1
esr(config-if-te)# ip nat proxy-arp PUBLIC_POOL |
Для того чтобы устройства локальной сети могли получить доступ к публичной сети, на них должна быть настроена маршрутизация – адрес 21.12.2.1 должен быть назначен адресом шлюза.
На самом маршрутизаторе также должен быть создан маршрут для направления на публичную сеть. Этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды:
Блок кода |
---|
esr(config)# ip route 0.0.0.0/0 200.10.0.254
esr(config)# exit |
Конфигурирование Static NAT
Static NAT — статический NAT задает однозначное соответствие одного адреса другому. Иными словами, при прохождении через маршрутизатор, адрес меняется на другой строго заданный адрес, один-к-одному. Запись о такой трансляции хранится неограниченно долго, пока не будет произведена перенастройка NAT на маршрутизаторе.
Алгоритм настройки
Настройка Static NAT осуществляется средствами Source NAT, алгоритм настройки которой описан в разделе Конфигурирование Source NAT, алгоритм настройки настоящего руководства.
Пример настройки Static NAT
Задача:
Настроить двухстороннюю и постоянную трансляцию из локальной сети для диапазона адресов 21.12.2.100-21.12.2.150 в публичную сеть 200.10.0.0/24. Диапазон адресов публичной сети для использования трансляции – 200.10.0.100-200.10.0.150.
Scroll Pagebreak |
---|
Начнем конфигурирование с настройки сетевых интерфейсов и отключения межсетевого экрана:
Блок кода |
---|
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip address 21.12.2.1/24
esr(config-if-gi)# ip firewall disable
esr(config-if-gi)# exit |
Блок кода |
---|
esr(config)# interface tengigabitethernet 1/0/1
esr(config-if-te)# ip address 200.10.0.1/24
esr(config-if-te)# ip firewall disable
esr(config-if-te)# exit |
Для конфигурирования Static NAT потребуется создать профиль адресов локальной сети «LOCAL_NET», включающий локальную подсеть, и профиль адресов публичной сети «PUBLIC_POOL»:
Блок кода |
---|
esr(config)# object-group network LOCAL_NET
esr(config-object-group-network)# ip prefix 21.12.2.0/24
esr(config-object-group-network)# exit |
Блок кода |
---|
esr(config)# object-group network PUBLIC_POOL
esr(config-object-group-network)# ip prefix 200.10.0.0/24
esr(config-object-group-network)# exit |
Диапазон адресов публичной сети для использования Static NAT задаем в профиле «PROXY»:
Блок кода |
---|
esr(config)# object-group network PROXY
esr(config-object-group-network)# ip address-range 200.10.0.100-200.10.0.150
esr(config-object-group-network)# exit |
Конфигурируем сервис Static NAT в режиме конфигурирования SNAT. В атрибутах набора укажем, что правила применяются только для пакетов, направляющихся в публичную сеть через порт te1/0/1. Правила включают проверку адреса источника данных на принадлежность к пулу «LOCAL_NET» и проверку адресов назначения на принадлежность к пулу «PUBLIC_POOL».
Блок кода |
---|
esr(config)# nat source
esr(config-snat)# ruleset SNAT
esr(config-snat-ruleset)# to interface te1/0/1
esr(config-snat-ruleset)# rule 1
esr(config-snat-rule)# match source-address LOCAL_NET
esr(config-snat-rule)# action source-nat netmap 200.10.0.0/24 static
esr(config-snat-rule)# enable
esr(config-snat-rule)# exit
esr(config-snat-ruleset)# exit |
Для того чтобы маршрутизатор отвечал на запросы протокола ARP для адресов, входящих в пул трансляции «PROXY», необходимо запустить сервис ARP Proxy. Сервис ARP Proxy настраивается на интерфейсе, которому принадлежит IP-адрес из подсети профиля адресов «PROXY».
Блок кода |
---|
esr(config)# interface tengigabitethernet 1/0/1
esr(config-if-te)# ip nat proxy-arp PROXY |
Для того чтобы устройства локальной сети могли получить доступ к cети 200.10.0.0/24, на них должна быть настроена маршрутизация – адрес 21.12.2.1 должен быть назначен адресом шлюза.
Изменения конфигурации вступают в действие по команде применения.
Блок кода |
---|
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed |
Посмотреть активные трансляции можно с помощью команды:
Блок кода |
---|
esr# show ip nat translations |
...
Алгоритм настройки
...
Шаг
...
Описание
...
Команда
...
Ключи
...
1
...
Cоздать объект с URL.
...
esr(config)# object-group url <NAME>
...
2
...
Указать набор.
...
esr(config-object-group-url)# url <URL>
...
<URL> – адрес веб страницы, сайта.
...
3
...
Создать профиль проксирования.
...
esr(config)# ip http profile <NAME>
...
<NAME> – название профиля.
...
4
...
Выбрать действие по умолчанию.
...
esr(config-profile)# default action {deny|permit|redirect}
[redirect-url <URL>]
...
<URL> – адрес хоста, на который будут передаваться запросы.
...
5
...
Указать описание (не обязательно).
...
esr(config-profile)# description <description>
...
<description> – до 255 символов.
...
6
...
Указать удаленный или локальный список URL и тип операции (блокировка/ пропуск трафика/ перенаправление) (не обязательно).
...
esr(config-profile)# urls {local|remote} <URL_OBJ_GROUP_NAME>
action {deny|permit|redirect} [redirect-url <URL>]
...
<URL_OBJ_GROUP_NAME> – указать название объекта, содержащего набор URL.
...
7
...
Указать удаленный сервер, где лежат необходимые списки URL (не обязательно).
...
esr(config)# ip http proxy server-url <URL>
...
<URL> – адрес сервера, откуда будут брать удалённые списки url.
...
8
...
Указать прослушиваемый порт для проксирования (не обязательно).
...
esr(config)# ip http proxy listen-ports <OBJ_GROUP_NAME>
...
<OBJ_GROUP_NAME> – имя профиля порта, задаётся строкой до 31 символа.
...
9
...
Указать прослушиваемый порт для проксирования (не обязательно).
...
esr(config)# ip https proxy listen-ports <OBJ_GROUP_NAME>
...
<OBJ_GROUP_NAME> – имя профиля порта, задаётся строкой до 31 символа.
...
Указать базовый порт для проксирования (не обязательно).
...
esr(config)# ip https proxy redirect-port <PORT>
...
<PORT> – номер порта, указывается в диапазоне [1..65535].
Значение по умолчанию: 3128.
...
11
...
Включить проксирование на интерфейсе на основе выбранного HTTP-профиля.
...
esr(config-if)# ip http proxy <PROFILE_NAME>
...
<PROFILE_NAME> – название профиля.
...
12
...
Включить проксирование на интерфейсе на основе выбранного HTTPS-профиля.
...
esr(config-if)# ip https proxy <PROFILE_NAME>
...
<PROFILE_NAME> – название профиля.
...
13
...
Создать списки сервисов, которые будут использоваться при фильтрации.
...
esr(config)# object-group service <obj-group-name>
...
<obj-group-name> – имя профиля сервисов, задается строкой до 31 символа.
...
14
...
Задать описание списка сервисов (не обязательно).
...
esr(config-object-group-service)# description <description>
...
<description> – описание профиля, задается строкой до 255 символов.
...
15
...
Внести необходимые сервисы (tcp/udp-порты) в список.
...
esr(config-object-group-service)# port-range 3128-3135
...
Прокси-сервер ESR использует для своей работы порты начиная с базового порта определённого на 10 шаге.
Для http proxy используются порты начиная с базового порта по базовый порт + количество cpu данной модели ESR - 1.
Для https proxy используются порты начиная с базового порта + количество cpu данной модели ESR по базовый порт + количество cpu данной модели ESR * 2 - 1.
...
16
...
Создать набор правил межзонового взаимодействия.
...
esr(config)# security zone-pair <src-zone-name1> self
...
<src-zone-name> – зона безопасности, в которой находятся интерфейсы с функцией ip http proxy или ip https proxy.
self – предопределенная зона безопасности для трафика, поступающего на сам ESR.
...
17
...
Создать правило межзонового взаимодействия.
...
esr(config-zone-pair)# rule <rule-number>
...
<rule-number> – 1..10000.
...
18
...
Задать описание правила (не обязательно).
...
esr(config-zone-rule)# description <description>
...
<description> – до 255 символов.
...
19
...
Указать действие данного правила.
...
esr(config-zone-rule)# action <action> [ log ]
...
<action> – permit.
log – ключ для активации логирования сессий, которые устанавливаются согласно данному правилу.
...
20
...
Установить имя IP-протокола, для которого должно срабатывать правило.
...
esr(config-zone-rule)# match protocol <protocol-type>
...
<protocol-type> – tcp.
Прокси-сервер ESR работает по протоколу ESR.
...
21
...
Установить профиль TCP/UDP-портов получателя, для которых должно срабатывать правило (если указан протокол).
...
esr(config-zone-rule)# match [not]
destination-port <obj-group-name>
...
<obj-group-name> – имя профиля сервисов, созданного на шаге 12.
...
22
...
Включить правило межзонового взаимодействия.
...
esr(config-zone-rule)# enable
Примечание |
---|
Если функция Firewall на ESR принудительно не отключена, необходимо создать разрешающее правило для зоны Self. |
Пример настройки HTTP-прокси
Задача:
Организовать фильтрацию по URL для ряда адресов посредством прокси.
Решение:
Создадим набор URL, по которым будет осуществляться фильтрация. Настроим прокси-фильтр и укажем действия для созданного набора URL:
Блок кода |
---|
esr# configure
esr(config)# object-group url test1
esr(config-object-group-url)# url http://speedtest.net/
esr(config-object-group-url)# url http://www.speedtest.net/
esr(config-object-group-url)# url https://speedtest.net/
esr(config-object-group-url)# url https://www.speedtest.net/
esr(config-object-group-url)# exit |
Создаем профиль:
Блок кода |
---|
esr(config)# ip http profile list1
esr(config-profile)# default action permit
esr(config-profile)# urls local test1 action redirect redirect-url http://test.loc
esr(config-profile)# exit |
Включим проксирование на интерфейсе по профилю ‘list1’:
Блок кода |
---|
esr(config)# interface gi 1/0/1
esr(config-if)# ip http proxy list1
esr(config-if)# ip https proxy list1 |
Если используется Firewall, создадим для него разрешающие правила:
Допустим мы используем модель ESR-20 у которой 4 CPU.
Для http proxy нам надо открыть порты с 3128 по 3131
Для https proxy нам надо открыть порты с 3132 по 3135
Создаем профиль портов Прокси-сервера:
Блок кода |
---|
esr(config)# object-group service proxy
esr(config-object-group-service)# port-range 3128-3135
esr(config-object-group-service)# exit |
Scroll Pagebreak |
---|
Блок кода |
---|
esr(config)# security zone-pair LAN self
esr(config-zone-pair)# rule 50
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# match protocol tcp
esr(config-zone-pair-rule)# match destination-port proxy
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit |
Настройка NTP
NTP (англ. Network Time Protocol — протокол сетевого времени) — сетевой протокол для синхронизации внутренних часов оборудования с использованием IP-сетей, использует для своей работы протокол UDP, учитывает время передачи и использует алгоритмы для достижения высокой точности синхронизации времени.
Алгоритм настройки
...
1
...
Включить NTP.
...
esr(config)# ntp enable
...
2
...
Задать IP-адрес NTP-сервера, либо участника NTP-синхронизации.
...
esr(config)# ntp { server | peer } { <IP> }
<IP> – IP-адрес назначения (шлюз), задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
...
3
...
Задать ключ для аутентификации (не обязательно).
...
esr(config-ntp)# key <ID>
...
<ID> – идентификатор ключа, задается в диапазоне [1..255].
...
4
...
Установить максимальное значение интервала времени между отправкой сообщений NTP-серверу (не обязательно).
...
esr(config-ntp)# maxpoll <INTERVAL>
...
<INTERVAL> – максимальное значение интервала опроса. Параметр команды используется как показатель степени двойки при вычислении длительности интервала в секундах, вычисляется путем возведения двойки в степень, заданную параметром команды, принимает значение [10..17].
Значение по умолчанию:
10 (210= 1024 секунды или 17 минут 4 секунды).
...
5
...
Установить минимальное значение интервала времени между отправкой сообщений NTP-серверу (не обязательно).
...
esr(config-ntp)# minpoll <INTERVAL>
...
<INTERVAL> – минимальное значение интервала опроса в секундах вычисляется путем возведения двойки в степень, заданную параметром команды, принимает значение [4..6].
Значение по умолчанию:
6 (26= 64 секунды или 1 минута 4 секунды).
...
6
...
Отметить данный NTP-сервер как предпочтительный (не обязательно).
...
esr(config-ntp)# prefer
...
7
...
Определить список доверенных IP-адресов, с которыми может происходить обмен ntp-пакетами (не обязательно).
...
esr(config)# ntp access-addresses <NAME>
...
<NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
...
8
...
Указать идентификатор ключа из профиля связки ключей (не обязательно).
...
esr(config)# ntp authentication trusted-key <ID>
...
<ID> – идентификатор ключа из профиля связки ключей.
...
9
...
Указать имя профиля связки ключей (не обязательно).
...
esr(config)# ntp authentication key-chain <WORD>
...
<WORD> – имя профиля связки ключей.
...
10
...
Активировать аутентификацию для NTP по ключу (не обязательно).
...
esr(config)# ntp authentication enable
...
11
...
Включить режим приёма широковещательных сообщений NTP-серверов для глобальной конфигурации и всех существующих VRF (не обязательно).
...
esr(config)# ntp broadcast-client enable
...
12
...
Задать значение кода DSCP для использования в IP-заголовке исходящих пакетов NTP-сервера (не обязательно).
...
esr(config)# ntp dscp <DSCP>
...
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию: 46.
...
13
...
Включить режим query-only, ограничивающий взаимодействие по NTP для определенного профиля IP-адресов (не обязательно).
...
esr(config)# ntp object-group query-only <NAME>
...
<NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
...
14
...
Включить режим serve-only, ограничивающий взаимодействие по NTP для определенного профиля IP-адресов (не обязательно).
...
esr(config)# ntp object-group serve-only <NAME>
...
<NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
...
15
...
Указать source-IP-адреса для NTP-пакетов для всех peer (не обязательно).
...
esr(config)# ntp source address <ADDR>
...
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
...
16
...
Задать текущие время и дату в ручном режиме (не обязательно).
...
esr# set date <TIME> [<DAY> <MONTH> [ <YEAR> ] ]
...
<TIME> – устанавливаемое системное время, задаётся в виде HH:MM:SS, где:
- HH – часы, принимает значение [0..23];
- MM – минуты, принимает значение [0 .. 59];
- SS – секунды, принимает значение [0 .. 59];
<DAY> – день месяца, принимает значения [1..31];
<MONTH> – месяц, принимает значения [January/February/March/April/May/June/July/August/September/October/November/December];
<YEAR> – год, принимает значения [2001..2037].
Пример настройки
Задача:
Настроить синхронизацию времени от NTP-сервера.
IP-адрес маршрутизатора ESR – 192.168.52.8,
IP-адрес NTP-сервера – 192.168.52.41.
Решение:
Примечание | ||
---|---|---|
| ||
|
Scroll Pagebreak |
---|
...
Пример:
Блок кода |
---|
security zone untrust
exit
object-group service NTP
port-range 123
exit
interface gigabitethernet 1/0/1
security-zone untrust
ip address 192.168.52.8/24
exit
security zone-pair untrust self
rule 10
action permit
match protocol udp
match destination-port NTP
enable
exit
exit |
Основной этап конфигурирования:
Включение синхронизации системных часов с удаленными серверами:
Блок кода |
---|
esr(config)# ntp enable |
Настройка NTP-сервера:
Блок кода |
---|
esr-(config)# ntp server 192.168.52.41 |
Указать предпочтительность данного NTP-сервера (необязательно):
Блок кода |
---|
esr-1000(config-ntp)# prefer |
Указать интервал времени между отправкой сообщений NTP-серверу:
Блок кода |
---|
esr(config-ntp)# minpoll 4
esr(config-ntp)# end
esr# commit
esr# confirm |
Команда для просмотра текущей конфигурации протокола NTP:
Блок кода |
---|
esr# show ntp configuration |
Команда для просмотра текущего состояние NTP-серверов (пиров):
Блок кода |
---|
esr# show ntp peers |
Scroll Pagebreak |
---|