WLC-30 Documentation 1.19.0
Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление
maxLevel4

Заводская конфигурация

...

устройств

При отгрузке устройства потребителю на маршрутизатор устройство будет загружена заводская конфигурация, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор маршрутизаторы серии ESR в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.

Описание заводской конфигурации

Для подключения к сетям в конфигурации описаны 2 зоны безопасности с наименованиями «Trusted» для локальной сети и «Untrusted» для публичной сети. Все интерфейсы разделены между двух зон безопасности:

  1. Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены.

    В данную зону безопасности входят интерфейсы:

    • для WLC-30: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;

    • для ESR-10/12V: GigabitEthernet 1/0/1;

    • для ESR-12VF/ESR-14VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9;

    • для ESR-15: GigabitEthernet1/0/1; GigabitEthernet1/0/6; 

    • для ESR-20: GigabitEthernet 1/0/1;

    • для ESR-21: GigabitEthernet 1/0/1;

    • для ESR-30: GigabitEthernet 1/0/1; TengigabitEthernet 1/0/1-2

    • для ESR-100/200: GigabitEthernet 1/0/1;

    • для ESR-1000/1500/3100: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;

    • для ESR-1200/1700: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2;

    • для ESR-1511: GigabitEthernet 1/0/1, FortygigabitEthernet 1/0/1-2;
    • для ESR-3200: Twentyfivegigabitethernet 1/0/1-2.

      Интерфейсы зоны объединены в один L2-сегмент через сетевой мост       Bridge 2.
  2. Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов Telnet и SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.

    В данную зону безопасности входят интерфейсы:

    • для WLC-30: GigabitEthernet 1/0/2-4;
    • для ESR-10: GigabitEthernet 1/0/2-6;

    • для ESR-12V(F)/ESR-14VF: GigabitEthernet 1/0/2-8;

    • для ESR-15: GigabitEthernet 1/0/2-5;

    • для ESR-20: GigabitEthernet 1/0/2-4;

    • для ESR-21: GigabitEthernet 1/0/2-12;

    • для ESR-30: GigabitEthernet 1/0/3-4;

    • для ESR-100: GigabitEthernet 1/0/2-4;

    • для ESR-200: GigabitEthernet 1/0/2-8;

    • для ESR-1000: GigabitEthernet 1/0/2-24;

    • для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;

    • для ESR-1500: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;

    • для ESR-1511: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/1-4;

    • для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12;

    • для ESR-3100: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-8;

    • для ESR-3200: Twentyfivegigabitethernet 1/0/3-12.

      Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.

...

Политики зон безопасности настроены следующим образом:

Таблица 44 59 – Описание политик зон безопасности

...

Предупреждение

Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический IP-адрес на интерфейсе Bridge 1 – 192.168.1.1/24.

Scroll Pagebreak

Подключение и конфигурирование

...

устройства

Маршрутизаторы серии ESR и контроллер беспроводного доступа WLC предназначены для выполнения функций пограничного шлюза и обеспечения безопасности сети пользователя при подключении ее к публичным сетям передачи данных.

Базовая настройка маршрутизатора данных устройств должна включать:

  • назначение IP-адресов (статических или динамических) интерфейсам, участвующим в маршрутизации данных;
  • создание зон безопасности и распределение интерфейсов по зонам;
  • создание политик, регулирующих прохождение данных между зонами;
  • настройка сервисов, сопутствующих маршрутизации данных (NAT, Firewall и прочие).

Расширенные настройки зависят от требований конкретной схемы применения устройства и легко могут быть добавлены или изменены с помощью имеющихся интерфейсов управления.

Подключение к

...

устройству

Предусмотрены следующие способы подключения к устройству:

Подключение по локальной сети Ethernet

Примечание

При первоначальном старте маршрутизатор устройство загружается с заводской конфигурацией. Описание заводской конфигурации приведено в разделе Начальная настройка маршрутизатора Заводская конфигурация устройств данного руководства.

Подключите сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону «Trusted», и к компьютеру, предназначенному для управления.

...

Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.

Подключение через консольный порт RS-232

При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» маршрутизатора с портом RS-232 компьютера.

...

панель
Скорость: 115200 бит/с
Биты данных: 8 бит
Четность: нет
Стоповые биты: 1
Управление потоком: нет

Применение изменения конфигурации

Любые изменения, внесенные в конфигурацию, вступят в действие только после применения команды:

...

  • <TIME> – интервал времени ожидания подтверждения конфигурации, принимает значение в секундах [120..86400].

Базовая настройка

...

устройств

Процедура настройки маршрутизатора устройств при первом включении состоит из следующих этапов:

  • Изменение пароля пользователя «admin».
  • Создание новых пользователей.
  • Назначение имени устройства (Hostname).
  • Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
  • Настройка удаленного доступа к маршрутизатору.
  • Применение базовых настроек.

Изменение пароля пользователя «admin»

Для защищенного входа в систему необходимо сменить пароль привилегированного пользователя «admin».

...

Блок кода
esr# configure
esr(config)# username admin
esr(config-user)# password <new-password>
esr(config-user)# exit

Создание новых пользователей

Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий, – используются команды:

...

Примечание

Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.

Scroll Pagebreak


Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:

Блок кода
esr# configure
esr(config)# username fedor
esr(config-user)# password 12345678
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username ivan
esr(config-user)# password password
esr(config-user)# privilege 1
esr(config-user)# exit

Назначение имени устройства

Для назначения имени устройства используются следующие команды:

...

После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.

Настройка параметров публичной сети

Для настройки сетевого интерфейса маршрутизатора или контроллера в публичной сети необходимо назначить устройству параметры, определённые провайдером сети – IP-адрес, маска подсети и адрес шлюза по умолчанию.

...

Блок кода
esr# configure
esr(config)# interface gigabitethernet 1/0/10
esr(config-if)# ip address dhcp
esr(config-if)# exit

Scroll Pagebreak
Для того чтобы убедиться, что адрес был назначен интерфейсу, введите следующую команду после применения конфигурации:

Блок кода
esr# show ip interfaces
IP address            Interface                           Type
-------------------   ---------------------------------   -------
192.168.11.5/25       gigabitethernet 1/0/10              DHCP

Настройка удаленного доступа к

...

устройству

В заводской конфигурации разрешен удаленный доступ к маршрутизатору или контроллеру по протоколам Telnet или SSH из зоны «trusted». Для того чтобы разрешить удаленный доступ к маршрутизатору или контроллеру из других зон, например, из публичной сети, необходимо создать соответствующие правила в firewall.

При конфигурировании доступа к маршрутизатору или контроллеру правила создаются для пары зон:

  • source-zone – зона, из которой будет осуществляться удаленный доступ;
  • self – зона, в которой находится интерфейс управления маршрутизаторомустройством.

Для создания разрешающего правила используются следующие команды:

Блок кода
esr# configure
esr(config)# security zone-pair <source-zone> self
esr(config-zone-pair)# rule <number>
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address <network object-group>
esr(config-zone-rule)# match destination-address <network object-group>
esr(config-zone-rule)# match destination-port <service object-group>
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Scroll Pagebreak

Пример команд для разрешения пользователям из зоны «untrusted» с IP-адресами 132.16.0.5-132.16.0.10 подключаться к маршрутизатору или контроллеру с IP-адресом 40.13.1.22 по протоколу SSH:

...