Сравнение версий

Старая версия 1

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление
maxLevel4

Заводская конфигурация

...

консольного сервера

При отгрузке устройства потребителю на маршрутизатор нем загружена заводская конфигурация, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.

Описание заводской конфигурации

Для подключения к сетям в конфигурации описаны 2 зоны безопасности с наименованиями «Trusted» для локальной сети и «Untrusted» для публичной сети. Все интерфейсы разделены между двух зон безопасности:

...

В данную зону безопасности входят интерфейсы:

...

для ESR-10/12V: GigabitEthernet 1/0/1;

...

для ESR-12VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9;

...

для ESR-20: GigabitEthernet 1/0/1;

...

для ESR-21: GigabitEthernet 1/0/1;

...

для ESR-100/200: GigabitEthernet 1/0/1;

...

для ESR-1000/1500/3100: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;

...

для ESR-1200/1700: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2;

...

Блок кода
syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
  severity info
exit

interface gigabitethernet 1/0/1
  ip address 192.168.1.1/24
exit
interface gigabitethernet 1/0/2
  shutdown
exit
interface tengigabitethernet 1/0/1
  shutdown
exit
interface tengigabitethernet 1/0/2
  shutdown
exit

security passwords default-expired

ip ssh server

ntp enable
ntp broadcast-client enable

Для подключения к локальной сети настроен интерфейс Gigabitethernet 1/0/1 с адресом

...

Scroll Pagebreak

...

В данную зону безопасности входят интерфейсы:

...

для ESR-10: GigabitEthernet 1/0/2-6;

...

для ESR-12V(F): GigabitEthernet 1/0/2-8;

...

для ESR-20: GigabitEthernet 1/0/2-4;

...

для ESR-21: GigabitEthernet 1/0/2-12;

...

для ESR-100: GigabitEthernet 1/0/2-4;

...

для ESR-200: GigabitEthernet 1/0/2-8;

...

для ESR-1000: GigabitEthernet 1/0/2-24;

...

для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;

...

для ESR-1500: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;

...

для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12;

...

для ESR-3100: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-8;

...

для ESR-3200: Twentyfivegigabitethernet 1/0/3-12;

...

На интерфейсе Bridge 2 включен DHCP-клиент для получения динамического IP-адреса от провайдера. На интерфейсе Bridge 1 сконфигурирован статический IP-адрес 192.168.1.1/24. Созданный IP-интерфейс выступает в качестве шлюза для клиентов локальной сети. Для клиентов локальной сети настроен DHCP-пул адресов 192.168.1.2-192.168.1.254 с маской 255.255.255.0. Для получения клиентами локальной сети доступа к Internet на маршрутизаторе включен сервис Source NAT.

Политики зон безопасности настроены следующим образом:

Таблица 80 – Описание политик зон безопасности

...

Зона, из которой идет трафик

...

Зона, в которую идет трафик

...

Тип трафика

...

Действие

...

Trusted

...

Untrusted

...

TCP, UDP, ICMP

...

разрешен

...

Trusted

...

Trusted

...

TCP, UDP, ICMP

...

разрешен

...

Trusted

...

self

...

TCP/22 (SSH), ICMP, UDP/67 (DHCP Server), UDP/123 (NTP)

...

разрешен

...

Untrusted

...

self

...

UDP/68 (DHCP Client)

...

разрешен

Остальные интерфейсы находятся в выключенном состоянии. Для сетевого доступа к серверу включен протокол SSH. Также для синхронизации времени преднастроен NTP-клиент в широковещательном режиме. Активировано логирование со следующими параметрами: максимальное количество файлов для логирования — 3, размер каждого — 512 КБ, уровень логирования — info.

Предупреждение

Для обеспечения возможности конфигурирования устройства при первом включении в конфигурации маршрутизатора сервера создана учётная учетная запись администратора "admin" с паролем "password".

Пользователю будет предложено изменить пароль администратора при начальном конфигурировании маршрутизатора.

Предупреждение

Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический IP-адрес на интерфейсе Bridge 1 – 192.168.1.1/24.

устройства.

Подключение и конфигурирование

...

Маршрутизаторы серии ESR предназначены для выполнения функций пограничного шлюза и обеспечения безопасности сети пользователя при подключении ее к публичным сетям передачи данных.

Базовая настройка маршрутизатора должна включать:

  • назначение IP-адресов (статических или динамических) интерфейсам, участвующим в маршрутизации данных;
  • создание зон безопасности и распределение интерфейсов по зонам;
  • создание политик, регулирующих прохождение данных между зонами;
  • настройка сервисов, сопутствующих маршрутизации данных (NAT, Firewall и прочие).

Расширенные настройки зависят от требований конкретной схемы применения устройства и легко могут быть добавлены или изменены с помощью имеющихся интерфейсов управления.

консольного сервера

Консольный сервер предназначен для обеспечения централизованного удаленного доступа к консольным портам сетевого и серверного оборудования. Он используется для управления устройствами через последовательные (console) интерфейсы, независимо от состояния их основной сети. Основной функцией консольного сервера является предоставление администраторам возможности подключаться к оборудованию (маршрутизаторам, коммутаторам, серверам) через консольные порты, что важно при первичной настройке, диагностике и восстановлении после сбоев. Даже при недоступности устройства по IP-сети доступ через консоль остается возможным.

Подключение к консольному серверу

...

Предусмотрены следующие способы подключения к устройству:

Подключение по локальной сети Ethernet

Примечание

При первоначальном старте маршрутизатор устройство загружается с заводской конфигурацией. Описание заводской конфигурации приведено в разделе Начальная настройка маршрутизатора разделе Заводская конфигурация консольного сервера данного руководства.

Подключите Для работы достаточно подключить сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону «Trusted», и к компьютеру, предназначенному для управления.

В заводской конфигурации маршрутизатора активирован DHCP-сервер с пулом IP-адресов в подсети 192.168.1.0/24.

При подключении сетевого интерфейса управляющего компьютера он должен получить сетевой адрес от сервера.

Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.порту Gigabitethernet 1/0/1.

Подключение через консольный порт RS-232

При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» маршрутизатора консольного сервера с портом RS-232 компьютера.

Запустите терминальную программу (например, HyperTerminal или Minicom) и создайте новое подключение. Должен быть использован режим эмуляции терминала VT100.scroll-pagebreak

Выполните следующие настройки интерфейса RS-232:

панель
Скорость: 115200 бит/с
Биты данных: 8 бит
Четность: нет
Стоповые биты: 1
Управление потоком: нет

Scroll Pagebreak

Применение изменения конфигурации

Любые изменения, внесенные в конфигурацию, вступят в действие только после применения команды:

Блок кода
esr#scs# commit
Configuration has been successfully committed

После применения данной команды запускается таймер "отката" конфигурации. Для остановки таймера и механизма "отката" используется команда:

Блок кода
esr#scs# confirm
Configuration has been successfully confirmed

Значение таймера "отката" по умолчанию 600 секунд. Для изменения данного таймера используется команда:

Блок кода
esrscs(config)# system config-confirm timeout <TIME>
  • <TIME> интервал времени ожидания подтверждения конфигурации, принимает значение в секундах [120..86400].

Базовая настройка

...

cервера

Процедура настройки маршрутизатора SCS-32 при первом включении состоит из следующих этапов:

  • Изменение пароля пользователя «admin» при первой авторизации.
  • Создание новых пользователей.
  • Назначение имени устройства (Hostname).
  • Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
  • Настройка удаленного доступа к маршрутизатору.
  • Применение базовых настроек.scroll-pagebreak

Изменение пароля пользователя «admin» при первой авторизации

При первом входе в систему необходимо сменить пароль по умолчанию привилегированного пользователя «admin». До смены пароля пользовательская настройка устройства недоступна.

После указания нового пароля необходимо применить изменения в конфигурации командой commit и подтвердить изменения командой confirm:

Блок кода
esrscs(change-expired-password)# password <new password>
esrscs(change-expired-password)# commit 
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
esrscs(change-expired-password)# confirm
Configuration has been confirmed. Commit timer canceled.
esr#scs#

Создание новых пользователей

Для управления устройством на сервисных маршрутизаторах ESR SCS существует возможность создавать пользовательские учетные записи, у которых администратор может индивидуально задать:

...

Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий и режима работы используются команды:

Блок кода
esrscs(config)# username <name>
esrscs(config-user)# password <password>
esrscs(config-user)# privilege <privilege>
esrscs(config-user)# mode <mode>
esrscs(config-user)# exit
Примечание

Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.

Примечание

У учетных записей есть несколько режимов работы:

  • cli режим работы по умолчанию, пользователь получает доступ к интерфейсу командной строки, предназначенному для управления, просмотра состояния и мониторинга устройства;
  • techsupport пользователь получает доступ к командной оболочке, в которой выполняется процедура отладки устройства совместно с специалистами технической поддержки;
  • sftp пользователь используется для организации доступа к встроенному SFTP-серверу, возможность работы в какой-либо командой оболочке при этом у пользователя отсутствует.

...

Предупреждение

Пользователь «admin» является единственным предустановленным пользователем в конфигурации устройства. Это приводит к определенным особенностям работы с ним:

1) Применение команды no команды no username admin не удаляет пользователя «admin» из конфигурации, а приводит его к настройкам по умолчанию паролю «password» и 15 уровню привилегий.
2) Отключить возможность авторизации пользователя «admin» можно командой no admin login enable.
3) Пользователь «admin» с настройками по умолчанию (пароль «password», уровень привилегий 15) не отображается в выводах команд show running-config и show candidate-config без модификатора «full».

Scroll Pagebreak

Пример команд для создания нескольких учетных записей пользователя «netmaster» с уровнем привилегий 15 для управления оборудованием, пользователя «watcher» с уровнем привилегий 1 для ограниченного просмотра оперативной информации, а также пользователя «techsup» для отладки устройства совместно с сотрудниками технической поддержки:

Блок кода
esr#scs# configure
esrscs(config)# username netmaster
esrscs(config-user)# password P@ssW0rd
esrscs(config-user)# privilege 15
esrscs(config-user)# exit
esrscs(config)# username watcher
esrscs(config-user)# password password
esrscs(config-user)# privilege 1
esrscs(config-user)# exit
esrscs(config)# username techsup
esrscs(config-user)# password PsWdTs
esrscs(config-user)# mode techsupport
esrscs(config-user)# exit
esrscs(config)#

Назначение имени устройства

Для назначения имени устройства используются следующие команды:

Блок кода
esr#scs# configure
esrscs(config)# hostname <new-name>

После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.

Scroll Pagebreak

Настройка параметров публичной сети

Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить устройству параметры, определённые провайдером сети – IP-адрес, маска подсети и адрес шлюза по умолчанию.

Пример команд настройки статического IP-адреса для саб-интерфейса Gigabit Ethernet 1/0/2.150 для доступа к маршрутизатору через VLAN 150.

Параметры интерфейса:

  • IP-адрес – 192.168.16.144;
  • Маска подсети – 255.255.255.0;
  • IP-адрес шлюза по умолчанию – 192.168.16.1.
Блок кода
esr# configure
esr(config)# interface gigabitethernet 1/0/2.150
esr(config-if-sub)# ip address 192.168.16.144/24
esr(config-if-sub)# exit
esr(config)# ip route 0.0.0.0/0 192.168.16.1

Для того чтобы убедиться, что адрес был назначен интерфейсу, после применения конфигурации введите следующую команду:

Блок кода
esr# show ip interfaces
IP address                                            Interface              Admin   Link    Type      Precedence    
---------------------------------------------------   --------------------   -----   -----   -------   -----------   
192.168.16.144/24                                     gi1/0/2.150            Up      Up      static    primary

Провайдер может использовать динамически назначаемые адреса в своей сети. Для получения IP-адреса может использоваться протокол DHCP, если в сети присутствует сервер DHCP.

Пример настройки, предназначенной для получения динамического IP-адреса от DHCP-сервера на интерфейсе Gigabit Ethernet 1/0/10:

Блок кода
esr# configure
esr(config)# interface gigabitethernet 1/0/10
esr(config-if)# ip address dhcp
esr(config-if)# exit

Для того чтобы убедиться, что адрес был назначен интерфейсу, введите следующую команду после применения конфигурации:

Блок кода
esr# show ip interfaces
IP address                                            Interface              Admin   Link    Type      Precedence    
---------------------------------------------------   --------------------   -----   -----   -------   -----------       
192.168.11.5/25                                       gi1/0/10               Up      Up      DHCP      --

Scroll Pagebreak

Настройка удаленного доступа к маршрутизатору

В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколу SSH из зоны «trusted». Для того чтобы разрешить удаленный доступ к маршрутизатору из других зон, например, из публичной сети, необходимо создать соответствующие правила в firewall.

При конфигурировании доступа к маршрутизатору правила создаются для пары зон:

  • source-zone – зона, из которой будет осуществляться удаленный доступ;
  • self – зона, в которой находится интерфейс управления маршрутизатором.

Для создания разрешающего правила используются следующие команды:

Блок кода
esr# configure
esr(config)# security zone-pair <source-zone> self
esr(config-zone-pair)# rule <number>
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address object-group network <network object-group>
esr(config-zone-rule)# match destination-address object-group network <network object-group>
esr(config-zone-rule)# match destination-port object-group <service object-group>
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Пример команд для разрешения пользователям из зоны «untrusted» с IP-адресами 132.16.0.5-132.16.0.10 подключаться к маршрутизатору с IP-адресом 40.13.1.22 по протоколу SSH:

...

<new-name>.