История страницы

Заводская конфигурация

...

терминального сервера

При отгрузке устройства потребителю на маршрутизатор cервере загружена заводская конфигурация, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.

Описание заводской конфигурации

Для подключения к сетям в конфигурации описаны 2 зоны безопасности с наименованиями «Trusted» для локальной сети и «Untrusted» для публичной сети. Все интерфейсы разделены между двух зон безопасности:

Блок кода
syslog max-files 3 syslog file-size 512 syslog file tmpsys:syslog/default severity info exit interface gigabitethernet 1/0/1 ip address 192.168.1.1/24 exit interface gigabitethernet 1/0/2 shutdown exit interface tengigabitethernet 1/0/1 shutdown exit interface tengigabitethernet 1/0/2 shutdown exit security passwords default-expired ip ssh server ntp enable ntp broadcast-client enable

Для подключения к сетям в конфигурации описаны 2 зоны безопасности с наименованиями «Trusted» для локальной сети и «Untrusted» для публичной сети. Все интерфейсы разделены между двух зон безопасности:

1. Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены.
   

   В данную зону безопасности входят интерфейсы:

   • для scs-10/12V: GigabitEthernet 1/0/1;

   • для scs-12VF

   Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены.
   

   В данную зону безопасности входят интерфейсы:

   • для ESR-10/12V: GigabitEthernet 1/0/1;

   • для ESR-12VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9;

   • для ESR-15(R): GigabitEthernet1/0/1; GigabitEthernet1/0/6; 
   • для ESR-15VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/10;

   • для ESR-20: GigabitEthernet 1/0/1;

   • для ESR-21: GigabitEthernet 1/0/1;

   • для ESR-30/31: GigabitEthernet 1/0/1; TengigabitEthernet 1/0/1-2;

   • для ESR-100/200: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9;

   • для ESR-1000/1500/3100: GigabitEthernet 1scs-15(R): GigabitEthernet1/0/1, TengigabitEthernet 1; GigabitEthernet1/0/1-26; 
   • для ESRscs-1200/170015VF: GigabitEthernet 1/0/1, TengigabitEthernet ; GigabitEthernet 1/0/10;

   • для scs-20: GigabitEthernet 1, TengigabitEthernet 1/0/21;

   • для

     ESR

     scs-

     1511

     21: GigabitEthernet 1/0/1

     , FortygigabitEthernet 1/0/1-2

     ;

   • для ESRscs-320030/31: Twentyfivegigabitethernet  GigabitEthernet 1/0/1-2; для ESR-3200L: TengigabitEthernet 1/0/1-2, TwentyfivegigabitEthernet ;

   • для scs-100/200: GigabitEthernet 1/0/1

     -2

     ;

   • для

     ESR

     scs-

     3250

     1000/1500/

     3350

     3100:

      GigabitEthernet

     GigabitEthernet 1/0/1,

     TwentyfivegigabitEthernet

     TengigabitEthernet 1/0/1-2;

   • для

     ESR

     scs-

     3300

     1200/1700:

     TwentyfivegigabitEthernet

     GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2;

   • для scs-1511: GigabitEthernet 1/0/1, FortygigabitEthernet -2, HundredgigabitEthernet 1/0/1-2.
     Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 2.

     Scroll Pagebreak

   Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.
   

   В данную зону безопасности входят интерфейсы:

2. для ESR-10: GigabitEthernet 1/0/2-6;

3. для ESR-12V(F): GigabitEthernet 1/0/2-8;

4. для ESR-15(R): GigabitEthernet 1/0/2-5;
5. для ESR-15VF: GigabitEthernet 1/0/2-9;

6. для ESR-20: GigabitEthernet 1/0/2-4;

7. для ESR-21: GigabitEthernet 1/0/2-12;

8. для ESR-30: GigabitEthernet 1/0/2-4;
9. для ESR-31: GigabitEthernet 1/0/2-14;

10. для ESR-100: GigabitEthernet 1/0/2-4;

11. для ESR-200: GigabitEthernet 1/0/2-8;

12. для ESR-1000: GigabitEthernet 1/0/2-24;

13. для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;

14. для ESR-1500: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;

15. для ESR-1511: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/1-4;

16. для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12;

17. для ESR-3100: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-8;

18. для ESR-3200: Twentyfivegigabitethernet 1/0/3-12;

19. для ESR-3200L: TengigabitEthernet 1/0/3-8, TwentyfivegigabitEthernet 1/0/3-4;
20. для ESR-3250/3350: GigabitEthernet 1/0/2-8, Twentyfivegigabitethernet 1/0/3-4;
для ESR-3300: TwentyfivegigabitEthernet 1/0/3-4, HundredgigabitEthernet 1/0/3-4.
Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.

На интерфейсе Bridge 2 включен DHCP-клиент для получения динамического IP-адреса от провайдера. На интерфейсе Bridge 1 сконфигурирован статический IP-адрес 192.168.1.1/24. Созданный IP-интерфейс выступает в качестве шлюза для клиентов локальной сети. Для клиентов локальной сети настроен DHCP-пул адресов 192.168.1.2-192.168.1.254 с маской 255.255.255.0. Для получения клиентами локальной сети доступа к Internet на маршрутизаторе включен сервис Source NAT.

Политики зон безопасности настроены следующим образом:

Таблица 80 – Описание политик зон безопасности

...

Зона, из которой идет трафик

...

Зона, в которую идет трафик

...

Тип трафика

...

Действие

...

Trusted

...

Untrusted

...

TCP, UDP, ICMP

...

разрешен

...

Trusted

...

Trusted

...

TCP, UDP, ICMP

...

разрешен

...

Trusted

...

self

...

TCP/22 (SSH), ICMP, UDP/67 (DHCP Server), UDP/123 (NTP)

...

разрешен

...

Untrusted

...

self

...

UDP/68 (DHCP Client)

...

разрешен

1. • ;
   • для scs-3200: Twentyfivegigabitethernet 1/0/1-2;
   • для scs-3200L: TengigabitEthernet 1/0/1-2, TwentyfivegigabitEthernet 1/0/1-2;
   • для scs-3250/3350: GigabitEthernet 1/0/1, TwentyfivegigabitEthernet 1/0/1-2;
   • для scs-3300: TwentyfivegigabitEthernet 1/0/1-2, HundredgigabitEthernet 1/0/1-2.
     
     
     
     

Предупреждение
Для обеспечения возможности конфигурирования устройства при первом включении в конфигурации маршрутизатора создана учётная запись администратора "admin" с паролем "password". Пользователю будет предложено изменить пароль администратора при начальном конфигурировании маршрутизатора.

Предупреждение
Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический IP-адрес на интерфейсе gigabitethernet 1/0/1– 192.168.1.1/24.

Подключение и конфигурирование маршрутизатора

Маршрутизаторы серии scs предназначены для выполнения функций пограничного шлюза и обеспечения безопасности сети пользователя при подключении ее к публичным сетям передачи данных.

Базовая настройка маршрутизатора должна включать:

• назначение IP-адресов (статических или динамических) интерфейсам, участвующим в маршрутизации данных;
• создание зон безопасности и распределение интерфейсов по зонам;
• создание политик, регулирующих прохождение данных между зонами;
• настройка сервисов, сопутствующих маршрутизации данных (NAT, Firewall и прочие).

Расширенные настройки зависят от требований конкретной схемы применения устройства и легко могут быть добавлены или изменены с помощью имеющихся интерфейсов управления.

Подключение к маршрутизатору

Предусмотрены следующие способы подключения к устройству:

Подключение по локальной сети Ethernet

Подключите сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону «Trusted», и к компьютеру, предназначенному для управления.

В заводской конфигурации маршрутизатора активирован DHCP-сервер с пулом IP-адресов в подсети 192.168.1.0/24.

При подключении сетевого интерфейса управляющего компьютера он должен получить сетевой адрес от сервера.

Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.

Подключение через консольный порт RS-232

При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» маршрутизатора с портом RS-232 компьютера.

Запустите терминальную программу (например, HyperTerminal или Minicom) и создайте новое подключение. Должен быть использован режим эмуляции терминала VT100.

Выполните следующие настройки интерфейса RS-232:

Применение изменения конфигурации

Любые изменения, внесенные в конфигурацию, вступят в действие только после применения команды:

scs# commit
Configuration has been successfully committed

После применения данной команды запускается таймер "отката" конфигурации. Для остановки таймера и механизма "отката" используется команда:

scs# confirm
Configuration has been successfully confirmed

Значение таймера "отката" по умолчанию – 600 секунд. Для изменения данного таймера используется команда:

scs(config)# system config-confirm timeout <TIME>

• <TIME> – интервал времени ожидания подтверждения конфигурации, принимает значение в секундах [120..86400].

Базовая настройка cервера

Процедура настройки SCS-32 при первом включении состоит из следующих этапов:

• Изменение пароля пользователя «admin» при первой авторизации.
• Создание новых пользователей.
• Назначение имени устройства (Hostname).
• Установка параметров подключения к сети в соответствии с требованиями компании.
• Применение базовых настроек.

  Scroll Pagebreak

Изменение пароля пользователя «admin» при первой авторизации

При первом входе в систему необходимо сменить пароль по умолчанию привилегированного пользователя «admin». До смены пароля пользовательская настройка устройства недоступна.

После указания нового пароля необходимо применить изменения в конфигурации командой commit и подтвердить изменения командой confirm:

scs(change-expired-password)# password <new password>
scs(change-expired-password)# commit 
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
scs(change-expired-password)# confirm
Configuration has been confirmed. Commit timer canceled.
scs#

Создание новых пользователей

Для управления устройством SCS существует возможность создавать пользовательские учетные записи, у которых администратор может индивидуально задать:

• пароль;
• уровень привилегий;
• режим работы учетной записи.

Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий и режима работы – используются команды:

scs(config)# username <name>
scs(config-user)# password <password>
scs(config-user)# privilege <privilege>
scs(config-user)# mode <mode>
scs(config-user)# exit

Пример команд для создания нескольких учетных записей – пользователя «netmaster» с уровнем привилегий 15 для управления оборудованием, пользователя «watcher» с уровнем привилегий 1 для ограниченного просмотра оперативной информации, а также пользователя «techsup» для отладки устройства совместно с сотрудниками технической поддержки:

scs# configure
scs(config)# username netmaster
scs(config-user)# password P@ssW0rd
scs(config-user)# privilege 15
scs(config-user)# exit
scs(config)# username watcher
scs(config-user)# password password
scs(config-user)# privilege 1
scs(config-user)# exit
scs(config)# username techsup
scs(config-user)# password PsWdTs
scs(config-user)# mode techsupport
scs(config-user)# exit
scs(config)#

Назначение имени устройства

Для назначения имени устройства используются следующие команды:

scs# configure
scs(config)# hostname <new-name>

После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.

Настройка параметров публичной сети

Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить устройству параметры, определённые провайдером сети – IP-адрес, маска подсети и адрес шлюза по умолчанию.

Пример команд настройки статического IP-адреса для саб-интерфейса Gigabit Ethernet 1/0/2.150 для доступа к маршрутизатору через VLAN 150.

Параметры интерфейса:

• IP-адрес – 192.168.16.144;
• Маска подсети – 255.255.255.0;
• IP-адрес шлюза по умолчанию – 192.168.16.1.

scs# configure
scs(config)# interface gigabitethernet 1/0/2.150
scs(config-if-sub)# ip address 192.168.16.144/24
scs(config-if-sub)# exit
scs(config)# ip route 0.0.0.0/0 192.168.16.1

Для того чтобы убедиться, что адрес был назначен интерфейсу, после применения конфигурации введите следующую команду:

scs# show ip interfaces
IP address                                            Interface              Admin   Link    Type      Precedence    
---------------------------------------------------   --------------------   -----   -----   -------   -----------   
192.168.16.144/24                                     gi1/0/2.150            Up      Up      static    primary 

Провайдер может использовать динамически назначаемые адреса в своей сети. Для получения IP-адреса может использоваться протокол DHCP, если в сети присутствует сервер DHCP.

Пример настройки, предназначенной для получения динамического IP-адреса от DHCP-сервера на интерфейсе Gigabit Ethernet 1/0/10:

scs# configure
scs

Подключение и конфигурирование маршрутизатора

Маршрутизаторы серии ESR предназначены для выполнения функций пограничного шлюза и обеспечения безопасности сети пользователя при подключении ее к публичным сетям передачи данных.

Базовая настройка маршрутизатора должна включать:

• назначение IP-адресов (статических или динамических) интерфейсам, участвующим в маршрутизации данных;
• создание зон безопасности и распределение интерфейсов по зонам;
• создание политик, регулирующих прохождение данных между зонами;
• настройка сервисов, сопутствующих маршрутизации данных (NAT, Firewall и прочие).

Расширенные настройки зависят от требований конкретной схемы применения устройства и легко могут быть добавлены или изменены с помощью имеющихся интерфейсов управления.

Подключение к маршрутизатору

Предусмотрены следующие способы подключения к устройству:

Подключение по локальной сети Ethernet

Подключите сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону «Trusted», и к компьютеру, предназначенному для управления.

В заводской конфигурации маршрутизатора активирован DHCP-сервер с пулом IP-адресов в подсети 192.168.1.0/24.

При подключении сетевого интерфейса управляющего компьютера он должен получить сетевой адрес от сервера.

Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.

Подключение через консольный порт RS-232

При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» маршрутизатора с портом RS-232 компьютера.

Запустите терминальную программу (например, HyperTerminal или Minicom) и создайте новое подключение. Должен быть использован режим эмуляции терминала VT100.

Выполните следующие настройки интерфейса RS-232:

Применение изменения конфигурации

Любые изменения, внесенные в конфигурацию, вступят в действие только после применения команды:

esr# commit
Configuration has been successfully committed

После применения данной команды запускается таймер "отката" конфигурации. Для остановки таймера и механизма "отката" используется команда:

esr# confirm
Configuration has been successfully confirmed

Значение таймера "отката" по умолчанию – 600 секунд. Для изменения данного таймера используется команда:

esr(config)# system config-confirm timeout <TIME>

• <TIME> – интервал времени ожидания подтверждения конфигурации, принимает значение в секундах [120..86400].

Базовая настройка маршрутизатора

Процедура настройки маршрутизатора при первом включении состоит из следующих этапов:

• Изменение пароля пользователя «admin» при первой авторизации.
• Создание новых пользователей.
• Назначение имени устройства (Hostname).
• Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
• Настройка удаленного доступа к маршрутизатору.
• Применение базовых настроек.

  Scroll Pagebreak

Изменение пароля пользователя «admin» при первой авторизации

При первом входе в систему необходимо сменить пароль по умолчанию привилегированного пользователя «admin». До смены пароля пользовательская настройка устройства недоступна.

После указания нового пароля необходимо применить изменения в конфигурации командой commit и подтвердить изменения командой confirm:

esr(change-expired-password)# password <new password>
esr(change-expired-password)# commit 
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
esr(change-expired-password)# confirm
Configuration has been confirmed. Commit timer canceled.
esr#

Создание новых пользователей

Для управления устройством на сервисных маршрутизаторах ESR существует возможность создавать пользовательские учетные записи, у которых администратор может индивидуально задать:

• пароль;
• уровень привилегий;
• режим работы учетной записи.

Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий и режима работы – используются команды:

esr(config)# username <name>
esr(config-user)# password <password>
esr(config-user)# privilege <privilege>
esr(config-user)# mode <mode>
esr(config-user)# exit

Пример команд для создания нескольких учетных записей – пользователя «netmaster» с уровнем привилегий 15 для управления оборудованием, пользователя «watcher» с уровнем привилегий 1 для ограниченного просмотра оперативной информации, а также пользователя «techsup» для отладки устройства совместно с сотрудниками технической поддержки:

esr# configure
esr(config)# username netmaster
esr(config-user)# password P@ssW0rd
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username watcher
esr(config-user)# password password
esr(config-user)# privilege 1
esr(config-user)# exit
esr(config)# username techsup
esr(config-user)# password PsWdTs
esr(config-user)# mode techsupport
esr(config-user)# exit
esr(config)#

Назначение имени устройства

Для назначения имени устройства используются следующие команды:

esr# configure
esr(config)# hostname <new-name>

После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.

Настройка параметров публичной сети

Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить устройству параметры, определённые провайдером сети – IP-адрес, маска подсети и адрес шлюза по умолчанию.

Пример команд настройки статического IP-адреса для саб-интерфейса Gigabit Ethernet 1/0/2.150 для доступа к маршрутизатору через VLAN 150.

Параметры интерфейса:

• IP-адрес – 192.168.16.144;
• Маска подсети – 255.255.255.0;
• IP-адрес шлюза по умолчанию – 192.168.16.1.

esr# configure
esr(config)# interface gigabitethernet 1/0/2.15010
esrscs(config-if-sub)# ip address 192.168.16.144/24
esrdhcp
scs(config-if-sub)# exit
esr(config)# ip route 0.0.0.0/0 192.168.16.1

Для того Для того чтобы убедиться, что адрес был назначен интерфейсу, введите следующую команду после применения конфигурации введите следующую команду:

esr#scs# show ip interfaces
IP address                                            Interface              Admin   Link    Type      Precedence    
---------------------------------------------------   --------------------   -----   -----   -------   -----------   
192.168.16.144/24                                     gi1/0/2.150            Up      Up      static    primary 

Провайдер может использовать динамически назначаемые адреса в своей сети. Для получения IP-адреса может использоваться протокол DHCP, если в сети присутствует сервер DHCP.

Пример настройки, предназначенной для получения динамического IP-адреса от DHCP-сервера на интерфейсе Gigabit Ethernet 1/0/10:

esr# configure
esr(config)# interface gigabitethernet 1/0/10
esr(config-if)# ip address dhcp
esr(config-if)# exit

Для того чтобы убедиться, что адрес был назначен интерфейсу, введите следующую команду после применения конфигурации:

esr# show ip interfaces
IP address                                            Interface              Admin   Link    Type      Precedence    
---------------------------------------------------   --------------------   -----   -----   -------   -----------       
192.168.11.5/25                                       gi1/0/10               Up      Up      DHCP      -- 

Настройка удаленного доступа к маршрутизатору

В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколу SSH из зоны «trusted». Для того чтобы разрешить удаленный доступ к маршрутизатору из других зон, например, из публичной сети, необходимо создать соответствующие правила в firewall.

При конфигурировании доступа к маршрутизатору правила создаются для пары зон:

• source-zone – зона, из которой будет осуществляться удаленный доступ;
• self – зона, в которой находится интерфейс управления маршрутизатором.

Для создания разрешающего правила используются следующие команды:

esr# configure
esr(config)# security zone-pair <source-zone> self
esr(config-zone-pair)# rule <number>
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address object-group network <network object-group>
esr(config-zone-rule)# match destination-address object-group network <network object-group>
esr(config-zone-rule)# match destination-port object-group <service object-group>
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Пример команд для разрешения пользователям из зоны «untrusted» с IP-адресами 132.16.0.5-132.16.0.10 подключаться к маршрутизатору с IP-адресом 40.13.1.22 по протоколу SSH:

...

  Precedence    
---------------------------------------------------   --------------------   -----   -----   -------   -----------       
192.168.11.5/25                                       gi1/0/10               Up      Up      DHCP      --