ESR-series Documentation 1.24
Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

ШагОписаниеКомандаКлючи
1Включить IPv4/IPv6 DHCP-сервер.

esr(config)# ip dhcp-server [vrf <VRF>]

<VRF> – имя экземпляра VRF, в рамках которого будет работать DHCP-сервер. Задается строкой до 31 символа.

esr(config)# ipv6 dhcp-server [vrf <VRF>]

2Задать значение кода DSCP для использования в IP-заголовке исходящих пакетов DHCP-сервера (не обязательно).

esr(config)# ip dhcp-server dscp <DSCP>

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 61.

3Создать пул IPv4/IPv6-адресов DHCP-сервера и перейти в режим его конфигурирования.

esr(config)# ip dhcp-server pool <NAME> [vrf <VRF>]

<NAME> – имя пула IPv4/IPv6-адресов DHCP-сервера, задаётся строка до 31 символа.

<VRF> – имя экземпляра VRF, в рамках которого будет работать данный пул IP-адресов DHCP-сервера. Задается строкой до 31 символа

esr(config)# ipv6 dhcp-server pool <NAME> [vrf <VRF>]

4Задать IPv4/IPv6-адрес и маску для подсети, из которой будет выделен пул IPv4/IPv6-адресов.

esr(config-dhcp-server)# network <ADDR/LEN>

<ADDR/LEN> – IP-адрес и префикс подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

esr(config-ipv6-dhcp-server)# network <IPV6-ADDR/LEN>

<IPV6-ADDR/LEN> – IP-адрес и префикс подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].

5

Добавить диапазон IPv4/IPv6-адресов к пулу адресов, конфигурируемого DHCP-сервера.

esr(config-dhcp-server)# address-range <FROM-ADDR>-<TO-ADDR>

<FROM-ADDR> – начальный IP-адрес диапазона;

<TO-ADDR> – конечный IP-адрес диапазона,

Адреса задаются в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Можно указать до 32 диапазонов IP-адресов, список задаётся через запятую.

esr(config-ipv6-dhcp-server)# address-range <FROM-ADDR>-<TO-ADDR>

<FROM-ADDR> – начальный IPv6-адрес диапазона;

<TO-ADDR> – конечный IP-адрес диапазона;

Адреса задаются в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

6

Добавить IPv4/IPv6-адрес для определенного физического адреса к пулу адресов конфигурируемого DHCP-сервера (не обязательно).

esr(config-dhcp-server)# address <ADDR>
{mac-address <MAC> | client-identifier <CI>}

<ADDR> – IP-адрес клиента, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<MAC> – МАС-адрес клиента, которому будет выдан IP-адрес, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

<CI> – идентификатор клиента согласно DHCP Option 61. Может быть задан в одном из следующих видов:

  • HH:HH:HH:HH:HH:HH:HH: – идентификатор клиента в шестнадцатеричной форме и MAC-адрес клиента;
  • STRING – текстовая строка длиной от 1 до 64 символов.

esr(config-ipv6-dhcp-server)# address <ADDR> mac-address <MAC>

<IPV6-ADDR> – IPv6-адрес клиента, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<MAC> – МАС-адрес клиента, которому будет выдан IPv6-адрес, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

7

Задать список IPv4-адресов шлюзов по умолчанию, которые DHCP-сервер будет сообщать клиентам, используя DHCP-опцию 3.

esr(config-dhcp-server)# default-router <ADDR>

<ADDR> – IP-адрес шлюза по умолчанию, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Можно указать до 8 IP-адресов, список задаётся через запятую.

8

Задать DNS-имя сетевого домена. Имя домена передаётся клиентам в составе DHCP-опции 15 (не обязательно).

esr(config-dhcp-server)# domain-name <NAME>

<NAME> – DNS-имя домена клиента, задаётся строкой до 255 символов.

esr(config-ipv6-dhcp-server)# domain-name <NAME>

9

Задать список IPv4/IPv6-адресов DNS-серверов. Список передаётся клиентам в составе DHCP-опции 6 (не обязательно).

esr(config-dhcp-server)# dns-server <ADDR>

<ADDR> – IP-адрес DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Можно указать до 8 IP-адресов, список задаётся через запятую.

esr(config-ipv6-dhcp-server)# dns-server <IPV6-ADDR>

<IPV6-ADDR> – IPv6-адрес DNS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. Можно указать до 8 IPv6-адресов, список задаётся через запятую.

10

Задать максимальное время аренды IP-адресов (не обязательно).

Если DHCP-клиент запрашивает время аренды, превосходящее максимальное значение, то будет установлено время, заданное этой командой.

esr(config-dhcp-server)# max-lease-time <TIME>

<TIME> – максимальное время аренды IP-адреса, задаётся в формате DD:HH:MM, где:

  • DD – количество дней, принимает значения [0..364];
  • HH – количество часов, принимает значения [0..23];
  • MM – количество минут, принимает значения [0..59].

Значение по умолчанию: 1 день.

esr(config-ipv6-dhcp-server)# max-lease-time <TIME>

11

Задать время аренды, на которое клиенту будет выдан IP-адрес (не обязательно).

Данное время будет использоваться если клиент не запрашивал определенное время аренды.

esr(config-dhcp-server)# default-lease-time <TIME>

<TIME> – максимальное время аренды IP-адреса, задаётся в формате DD:HH:MM, где:

  • DD – количество дней, принимает значения [0..364];
  • HH – количество часов, принимает значения [0..23];
  • MM – количество минут, принимает значения [0..59].

Значение по умолчанию: 12 часов.

esr(config-ipv6-dhcp-server)# default-lease-time <TIME>

12

Создать идентификатор класса поставщика (DHCP Опция 60) (не обязательно).

esr(config)# ip dhcp-server vendor-class-id <NAME>

<NAME> – идентификатор класса поставщика, задаётся строкой до 31 символа.

esr(config)# ipv6 dhcp-server vendor-class-id <NAME>

13

Задать специфическую информацию поставщика (DHCP Опция 43).

esr(config-dhcp-vendor-id)# vendor-specific-options <HEX>

<HEX> – специфическая информация поставщика, задаётся в шестнадцатеричном формате до 128 символов.

esr(config-ipv6-dhcp-vendor-id)# vendor-specific-options <HEX>

14

Задать IP-адрес NetBIOS-сервера (DHCP опция 44) (не обязательно).

esr(config-dhcp-server)# netbios-name-server <ADDR>

<ADDR> – IP-адрес NetBIOS-сервера задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Можно задать до 4 IP-адресов.

15

Задать IP-адрес tftp-сервера (DHCPOption 150) (не обязательно).

esr(config-dhcp-server)# tftp-server <ADDR>

<ADDR> – IP-адрес DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].


Примечание

Для продления ресурса внутреннего flash-накопителя информация о выданных сервером IP-адресах хранится в энергозависимой памяти. Поэтому стоит учитывать, что при перезагрузке маршрутизатора сервер начинает выдавать адреса заново. Занятость адресов будет проверяться с помощью ICMP-запросов.

Пример настройки

Задача:

Настроить работу DHCP-сервера в локальной сети, относящейся к зоне безопасности «trusted». Задать пул IP-адресов из подсети 192.168.1.0/24 для раздачи клиентам. Задать время аренды адресов 1 день. Настроить передачу клиентам маршрута по умолчанию, доменного имени и адресов DNS-серверов с помощью DHCP-опций.

...

Блок кода
esr# show ip dhcp server pool 
esr# show ip dhcp server pool Simple


Примечание

Конфигурирование настроек для IPv6 производится по аналогии с IPv4.

Конфигурирование Destination NAT

...

Якорь
Destination_NAT_desc
Destination_NAT_desc

Примечание

При использовании ключа not правило будет срабатывать для значений, которые не входят в указанный профиль.

Каждая команда «match» может содержать ключ «not». При использовании данного ключа под правило будут подпадать пакеты, не удовлетворяющие заданному критерию.

Более подробная информация о командах для настройки маршрутизатора содержится в справочнике команд CLI.

Пример настройки Destination NAT

...

Якорь
Source_NAT_desc
Source_NAT_desc

Примечание

При использовании ключа not правило будет срабатывать для значений, которые не входят в указанный профиль.

Каждая команда «match» может содержать ключ «not». При использовании данного ключа под правило будут подпадать пакеты, не удовлетворяющие заданному критерию.

Более подробная информация о командах для настройки маршрутизатора содержится в справочнике команд CLI.

Scroll Pagebreak

Пример настройки 1

...

Шаг

Описание

Команда

Ключи

1

Cоздать объект с URL.

esr(config)# object-group url <NAME>


2

Указать набор.

esr(config-object-group-url)# url <URL>

<URL> адрес веб страницы, сайта.

3

Создать профиль проксирования.

esr(config)# ip http profile <NAME>

<NAME> название профиля.

4

Выбрать действие по умолчанию.

esr(config-profile)# default action {deny|permit|redirect}
[redirect-url <URL>]

<URL> адрес хоста, на который будут передаваться запросы.

5

Указать описание (не обязательно).

esr(config-profile)# description <description>

<description> до 255 символов.

6

Указать удаленный или локальный список URL и тип операции (блокировка/пропуск трафика/перенаправление) (не обязательно).

esr(config-profile)# urls {local|remote} <URL_OBJ_GROUP_NAME>
action {deny|permit|redirect} [redirect-url <URL>]

<URL_OBJ_GROUP_NAME> указать название объекта, содержащего набор URL.

7

Указать удаленный сервер, где лежат необходимые списки URL (не обязательно).

esr(config)# ip http proxy server-url <URL> 

<URL> адрес сервера, откуда будут брать удалённые списки url.

8

Указать прослушиваемый порт для проксирования (не обязательно).

esr(config)# ip http proxy listen-ports <OBJ_GROUP_NAME>

<OBJ_GROUP_NAME> – имя профиля порта, задаётся строкой до 31 символа.

9

Указать прослушиваемый порт для проксирования (не обязательно).

esr(config)# ip https proxy listen-ports <OBJ_GROUP_NAME>

<OBJ_GROUP_NAME> имя профиля порта, задаётся строкой до 31 символа.

10

Указать базовый порт для проксирования (не обязательно).

esr(config)# ip https proxy redirect-port <PORT>

<PORT> – номер порта, указывается в диапазоне [1..65535].

Значение по умолчанию 3128.

11

Включить проксирование на интерфейсе на основе выбранного HTTP-профиля.

esr(config-if)# ip http proxy <PROFILE_NAME>

<PROFILE_NAME> название профиля.

12

Включить проксирование на интерфейсе на основе выбранного HTTPS-профиля.

esr(config-if)# ip https proxy <PROFILE_NAME>     

<PROFILE_NAME> название профиля.

13

Создать списки сервисов, которые будут использоваться при фильтрации.

esr(config)# object-group service <obj-group-name>

<obj-group-name> – имя профиля сервисов, задается строкой до 31 символа.

14

Задать описание списка сервисов (не обязательно).

esr(config-object-group-service)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

15

Внести необходимые сервисы (TCP/UDP-порты) в список.

esr(config-object-group-service)# port-range 3128-3135

Прокси-сервер ESR использует для своей работы порты, начиная с базового порта, определённого на 10 шаге.

Для http proxy используются порты, начиная с базового порта по базовый порт + количество cpu данной модели ESR - 1.

Для https proxy используются порты, начиная с базового порта + количество cpu данной модели ESR по базовый порт + количество cpu данной модели ESR * 2 - 1.

16

Создать набор правил межзонового взаимодействия.

esr(config)# security zone-pair <src-zone-name1> self

<src-zone-name> – зона безопасности, в которой находятся интерфейсы с функцией ip http proxy или ip https proxy.

self – предопределенная зона безопасности для трафика, поступающего на сам ESR.

17

Создать правило межзонового взаимодействия.

esr(config-zone-pair)# rule <rule-number>

<rule-number> – 1..10000.

18

Задать описание правила (не обязательно).

esr(config-zone-rule)# description <description>

<description> – до 255 символов.

19

Указать действие данного правила.

esr(config-zone-rule)# action <action> [ log ]

<action> – permit.

log – ключ для активации логирования сессий, которые устанавливаются согласно данному правилу.

20

Установить имя IP-протокола, для которого должно срабатывать правило.

esr(config-zone-rule)# match protocol <protocol-type>

<protocol-type> – tcp.

Прокси-сервер ESR работает по протоколу ESR.

21

Установить профиль TCP/UDP-портов получателя, для которых должно срабатывать правило (если указан протокол).

esr(config-zone-rule)# match [not]
destination-port <obj-group-name>

<obj-group-name> – имя профиля сервисов, созданного на шаге 12.

22

Включить правило межзонового взаимодействия.

esr(config-zone-rule)# enable



Примечание

Если функция Firewall на ESR принудительно не отключена, необходимо создать разрешающее правило для зоны Self.

Пример настройки HTTP-прокси

...

Примечание
titleПредварительно нужно выполнить следующие действия:
  • указать зону безопасности  для интерфейса gi1/0/1;
  • настроить IP-адрес для интерфейса gi1/0/1, чтобы обеспечить IP-связность с NTP-сервером.

Пример:

Блок кода
security zone untrust
exit
object-group service NTP
  port-range 123
exit
interface gigabitethernet 1/0/1
  security-zone untrust
  ip address 192.168.52.8/24
exit
security zone-pair untrust self
  rule 10
    action permit
    match protocol udp
    match destination-port NTP
    enable
  exit
exit


...