Сравнение версий

Старая версия 2

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.
A Shared Block
hiddentrue


Metadata list
hiddentrue
|| DeviceType | Сервисные маршрутизаторы серии ESR |
|| DeviceName1 |  ESR-10, ESR-12V, ESR-12VF, ESR-15, ESR-15R, ESR-15VF, ESR-20, ESR-21, ESR-30, ESR-31, ESR-100, ESR-200, ESR-1000, ESR-1200, ESR-1500, ESR-1511, ESR-1511 rev.B, ESR-1700, ESR-3100, ESR-3200, ESR-3200L, ESR-3250, ESR-3300, ESR-3350 |
|| DocTitleAdditional | Руководство по установке и быстрому запуску |
|| fwversion | 1.34 |


...

  1. Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены.

    В данную зону безопасности входят интерфейсы:

    • для ESR-10/12V: GigabitEthernet 1/0/1;

    • для ESR-12VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9;

    • для ESR-15(R): GigabitEthernet1/0/1; GigabitEthernet1/0/6; 
    • для ESR-15VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/10;

    • для ESR-20: GigabitEthernet 1/0/1;

    • для ESR-21: GigabitEthernet 1/0/1;

    • для ESR-30/31: GigabitEthernet 1/0/1; TengigabitEthernet 1/0/1-2;

    • для ESR-100/200: GigabitEthernet 1/0/1;

    • для ESR-1000/1500/3100: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;

    • для ESR-1200/1700: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2;

    • для ESR-1511: GigabitEthernet 1/0/1, FortygigabitEthernet 1/0/1-2;
    • для ESR-3200: Twentyfivegigabitethernet 1/0/1-2;
    • для ESR-3200L: TengigabitEthernet 1/0/1-2, TwentyfivegigabitEthernet 1/0/1-2;
    • для ESR-3250/3350: GigabitEthernet 1/0/1, TwentyfivegigabitEthernet 1/0/1-2;
    • для ESR-3300: TwentyfivegigabitEthernet 1/0/1-2, HundredgigabitEthernet 1/0/1-2.

      Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 2.
  2. Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов Telnet и SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.

    В данную зону безопасности входят интерфейсы:

    • для ESR-10: GigabitEthernet 1/0/2-6;

    • для ESR-12V(F): GigabitEthernet 1/0/2-8;

    • для ESR-15(R): GigabitEthernet 1/0/2-5;
    • для ESR-15VF: GigabitEthernet 1/0/2-9;

    • для ESR-20: GigabitEthernet 1/0/2-4;

    • для ESR-21: GigabitEthernet 1/0/2-12;

    • для ESR-30: GigabitEthernet 1/0/2-4;
    • для ESR-31:  GigabitEthernet GigabitEthernet 1/0/32-414;

    • для ESR-100: GigabitEthernet 1/0/2-4;

    • для ESR-200: GigabitEthernet 1/0/2-8;

    • для ESR-1000: GigabitEthernet 1/0/2-24;

    • для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;

    • для ESR-1500: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;

    • для ESR-1511: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/1-4;

    • для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12;

    • для ESR-3100: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-8;

    • для ESR-3200: Twentyfivegigabitethernet 1/0/3-12;

    • для ESR-3200L: TengigabitEthernet 1/0/3-8, TwentyfivegigabitEthernet 1/0/3-4;
    • для ESR-3250/3350: GigabitEthernet 1/0/2-8, Twentyfivegigabitethernet 1/0/3-4;

    • для ESR-3300: TwentyfivegigabitEthernet 1/0/3-4, HundredgigabitEthernet 1/0/3-4.

      Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.

...

Политики зон безопасности настроены следующим образом:

Таблица 70 1 – Описание политик зон безопасности

...

При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» «Console» маршрутизатора с портом RS-232 компьютера.

...

Блок кода
esr# confirm
Configuration has been successfully confirmed

Значение таймера "отката" «отката» по умолчанию – 600 секунд. Для изменения данного таймера используется команда:

...

  • Изменение пароля пользователя «admin» при первой авторизации.
  • Создание новых пользователей.
  • Назначение имени устройства (Hostname).
  • Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
  • Настройка удаленного доступа к маршрутизатору.
  • Применение базовых настроек.

Изменение пароля пользователя «admin»

...

при первой авторизации

При первом входе Для защищенного входа в систему необходимо сменить пароль по умолчанию привилегированного пользователя «admin».

Примечание

Учетная запись techsupport необходима для удаленного обслуживания сервисным центром;

Учетная запись remote – аутентификация RADIUS, TACACS+, LDAP;

Удалить пользователей admin, techsupport, remote нельзя. Можно только сменить пароль и уровень привилегий.

Предупреждение

Если информация о пользователе «admin» не отображается в конфигурации, значит параметры данного пользователя настроены по умолчанию (пароль «password», уровень привилегий 15).

Имя пользователя и пароль вводится при входе в систему во время сеансов администрирования устройства.

Scroll Pagebreak

Для изменения пароля пользователя «admin» используются следующие команды:

До смены пароля пользовательская настройка устройства недоступна.

После указания нового пароля необходимо применить изменения в конфигурации командой commit и подтвердить изменения командой confirm:

Блок кода
esr(change-expired-password
Блок кода
esr# configure
esr(config)# username admin
esr(config-user)# password <new- password>
esr(configchange-expired-userpassword)# exit

Создание новых пользователей

Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий, – используются команды:

Блок кода
esr(config)# username <name>
esr(config-user)# password <password>
esr(config-user)# privilege <privilege>
esr(config-user)# exit
Примечание

Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.

 commit 
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
esr(change-expired-password)# confirm
Configuration has been confirmed. Commit timer canceled.
esr#

Scroll Pagebreak

Создание новых пользователей

Для управления устройством на сервисных маршрутизаторах ESR существует возможность создавать пользовательские учетные записи, у которых администратор может индивидуально задать:

  • пароль;
  • уровень привилегий;
  • режим работы учетной записи.

Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий и режима работы – используются команды:

Блок кода
esr(config)# username <name>
esr(config-user)# password <password>
esr(config-user)# privilege <privilege>
esr(config-user)# mode <mode>
esr(config-user)# exit
Примечание

Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.

Примечание

У учетных записей есть несколько режимов работы:

  • cli – режим работы по умолчанию, пользователь получает доступ к интерфейсу командной строки, предназначенному для управления, просмотра состояния и мониторинга устройства;
  • techsupport – пользователь получает доступ к командной оболочке, в которой выполняется процедура отладки устройства совместно с специалистами технической поддержки;
  • sftp – пользователь используется для организации доступа к встроенному SFTP-серверу, возможность работы в какой-либо командой оболочке при этом у пользователя отсутствует.
Предупреждение

Пользователь «admin» является единственным предустановленным пользователем в конфигурации устройства. Это приводит к определенным особенностям работы с ним:

1) Применение команды no username admin не удаляет пользователя «admin» из конфигурации, а приводит его к настройкам по умолчанию – паролю «password» и 15 уровню привилегий.
2) Отключить возможность авторизации пользователя «admin» можно командой no admin login enable.
3) Пользователь «admin» с настройками по умолчанию (пароль «password», уровень привилегий 15) не отображается в выводах команд show running-config и show candidate-config без модификатора «full».

Scroll Pagebreak

Пример команд для создания нескольких учетных записей – пользователя «netmaster» с уровнем привилегий 15 для управления оборудованием, пользователя «watcher» с уровнем привилегий 1 для ограниченного просмотра оперативной информации, а также пользователя «techsup» для отладки устройства совместно с сотрудниками технической поддержкиПример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:

Блок кода
esr# configure
esr(config)# username fedornetmaster
esr(config-user)# password 12345678P@ssW0rd
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username ivanwatcher
esr(config-user)# password password
esr(config-user)# privilege 1
esr(config-user)# exit
esr(config)# username techsup
esr(config-user)# password PsWdTs
esr(config-user)# mode techsupport
esr(config-user)# exit
esr(config)#

Назначение имени устройства

...

После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.scroll-pagebreak

Настройка параметров публичной сети

...

Блок кода
esr# configure
esr(config)# interface gigabitethernet 1/0/2.150
esr(config-if-sub)# ip address 192.168.16.144/24
esr(config-if-sub)# exit
esr(config)# ip route 0.0.0.0/0 192.168.16.1

Scroll Pagebreak

Для того чтобы убедиться, что адрес был назначен интерфейсу, после применения конфигурации введите следующую команду:

...

Блок кода
esr# configure
esr(config)# interface gigabitethernet 1/0/10
esr(config-if)# ip address dhcp
esr(config-if)# exit

Scroll Pagebreak

Для того чтобы убедиться, что адрес был назначен интерфейсу, введите следующую команду после применения конфигурации:

Блок кода
esr# show ip interfaces
IP address                                            Interface              Admin   Link    Type      Precedence    
---------------------------------------------------   --------------------   -----   -----   -------   -----------       
192.168.11.5/25                                       gi1/0/10               Up      Up      DHCP      --

Scroll Pagebreak

Настройка удаленного доступа к маршрутизатору

...

Блок кода
esr# configure
esr(config)# security zone-pair <source-zone> self
esr(config-zone-pair)# rule <number>
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address <network object-group>
esr(config-zone-rule)# match destination-address <network object-group>
esr(config-zone-rule)# match destination-port object-group <service object-group>
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

...

Пример команд для разрешения пользователям из зоны зоны «untrusted» с IP-адресами 132.16.0.5-132.16.0.10 подключаться к маршрутизатору с IP-адресом 40.13.1.22 по протоколу SSH:
...
  • Рекомендуется использовать ролевую модель доступа на устройство.
  • Рекомендуется использовать персональные учетные записи для аутентификации на устройстве.
  • Рекомендуется включать логирование вводимых пользователем команд.
  • Рекомендуется использовать несколько методов аутентификации для входа на устройства через консоль, удалённого входа на устройства и повышения привилегий. Оптимальной считается комбинация из аутентификации по одному из протоколов RADIUS/TACACS/LDAP и локальной аутентификации.
  • Рекомендуется понизить уровень привилегий встроенной учётной записи admin до 1отключить встроенную учётную запись admin.
  • Рекомендуется настроить логирование изменений локальных учётных записей.
  • Рекомендуется настроить логирование изменений политики AAA.
...
  • Встроенную учётную запись admin удалить нельзя, только отключить авторизацию для неё командой no admin login enable.
  • Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
  • Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
  • Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь отключением авторизации для пользователя admin в конфигурацию устройства необходимо настроить пользователя с уровнем привилегий 15 или задан ENABLE-пароль.
Пример настройки
Задача:
Настроить политику AAA:
  • Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
  • Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
  • Использовать ENABLE-пароль, заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
  • Установить пользователю admin пониженный уровень привилегийОтключить авторизацию пользователя admin.
  • Настроить логирование изменений локальных учётных записей.
  • Настроить логирование изменений политик ААА.
  • Настроить логирование вводимых команд.
...
 Блок  кода
esr(config)# enable password $6e5c4r3e2t!
Далее необходимо понизить привилегии отключить авторизацию у пользователя admin:
 Блок  кода
esr(config)# usernameno admin
esr(config-user)# privilege 1 
esr(config-user)# exit login enable
 Scroll Pagebreak
Настройте связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:
...
 Блок  кода
esr(config)# aaa authentication login CONSOLE radius local 
esr(config)# aaa authentication login SSH radius 
esr(config)# aaa authentication enable default radius enable
esr(config)# aaa authentication mode break
esr(config)# line console
esr(config-line-console)# login authentication CONSOLE 
esr(config-line-console)# exit 
esr(config)# line ssh 
esr(config-line-ssh)# login authentication SSH 
esr(config-line-ssh)# exit
...