Сравнение версий

Старая версия 3

changes.mady.by.user Коломиец Ирина Владимировна

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Коломиец Ирина Владимировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление
maxLevel4

Якорь
factory_config
factory_config
Заводская конфигурация устройства (только для ESBC-3200)

При отгрузке устройства клиенту на устройство пограничном контроллере сессий будет загружена заводская конфигурация, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать пограничный контроллер сессий в сессий в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования. 

Заводскую конфигурацию можно сбросить командой copy system:default-config system:candidate-config. После сброса необходимо настроить ESBC-3200 с помощью консольного порта.

Описание заводской конфигурации

...

  1. Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на пограничный контроллер сессий запрещены.

    В данную зону безопасности входят интерфейсы:

    • для ESBC-3200: Twentyfivegigabitethernet 1/0/1-2.

      Интерфейсы зоны объединены в один L2-сегмент через сетевой мост       Bridge 2.
  2. Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов Telnet и SSH для удаленного доступа, ICMP-протокола для проверки доступности пограничного контроллера сессий, DHCP-протокола для получения клиентами IP-адресов от устройства. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.

    В данную зону безопасности входят интерфейсы:

    • для ESBC-3200: Twentyfivegigabitethernet 1/0/3-12.

Интерфейсы зоны объединены в один L2-сегмент через сетевой

...

мост  Bridge 1.

На интерфейсе Bridge 2 включен DHCP-клиент для получения динамического IP-адреса от провайдера. На интерфейсе Bridge 1 сконфигурирован статический IP-адрес 192.168.1.1/24. Созданный IP-интерфейс выступает в качестве шлюза для клиентов локальной сети. Для клиентов локальной сети настроен DHCP-пул адресов 192.168.1.2-192.168.1.254 с маской 255.255.255.0. Для получения клиентами локальной сети доступа к Internet на пограничном контроллере сессий включен сервис Source NAT.

Политики зон безопасности настроены следующим образом :(см. таблицу 16). 

Таблица 70 16 – Описание политик зон безопасности

...

Для создания нового пользователя системы или настройки любого из параметров : (имени пользователя, пароля, уровня привилегий, – ) используются команды:

Блок кода
esbc(config)# username <name>
esbc(config-user)# password <password>
esbc(config-user)# privilege <privilege>
esbc(config-user)# exit

...

Примечание

Уровни привилегий 1-9 1–9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 10–14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.

...

Блок кода
esbc# show ip interfaces
IP address                                            Interface              Admin   Link    Type      Precedence    
---------------------------------------------------   --------------------   -----   -----   -------   -----------   
192.168.16.144/24                                     gi1/0/2.150            Up      Up      static    primary

Провайдер может использовать динамически назначаемые адреса в своей сети. Для получения IP-адреса может использоваться протокол DHCP, если в сети присутствует сервер DHCP.

...

Блок кода
esbc# show ip interfaces
IP address                                            Interface              Admin   Link    Type      Precedence    
---------------------------------------------------   --------------------   -----   -----   -------   -----------       
192.168.11.5/25                                       gi1/0/10               Up      Up      DHCP      --

Настройка удаленного доступа к устройству

...

Блок кода
esbc# configure
esbc(config)# object-group network clients
esbc(config-addr-set)# ip address-range 132.16.0.5-132.16.0.10
esbc(config-addr-set)# exit
esbc(config)# object-group network gateway
esbc(config-addr-set)# ip address-range 40.13.1.22
esbc(config-addr-set)# exit
esbc(config)# object-group service ssh
esbc(config-port-set)# port-range 22
esbc(config-port-set)# exit
esbc(config)# security zone-pair untrusted self
esbc(config-zone-pair)# rule 10
esbc(config-zone-rule)# action permit
esbc(config-zone-rule)# match protocol tcp
esbc(config-zone-rule)# match source-address clients
esbc(config-zone-rule)# match destination-address gateway
esbc(config-zone-rule)# match destination-port ssh
esbc(config-zone-rule)# enable
esbc(config-zone-rule)# exit
esbc(config-zone-pair)# exit

Scroll Pagebreak