...
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
1 | Создать профиль WireGuard-сервера. | esr(config)# remote-access wireguard <NAME> | <NAME> - – имя профиля WireGuard-сервера, задаётся строкой до 31 символа. |
2 | Указать описание конфигурируемого сервера (не обязательно). | esr(config-wireguard-server)# description <DESCRIPTION> | <DESCRIPTION> – описание WireGuard-сервера, задаётся строкой до 255 символов. |
3 | Определить статический IP-адрес конфигурируемого сервера (обязательно). | esr(config-wireguard-server)# local-address <ADDR/LEN> | <ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. |
| 4 | Указать UDP-порт, который будет прослушиваться WireGuard-сервером (не обязательно). | esr(config-wireguard-server)# port <PORT> | <PORT> – UDP-порт, принимает значения [1..65535]. |
| 5 | Отключить функции Firewall или включить WireGuard-сервер в зону безопасности и настроить правила взаимодействия между зонами (см. раздел Конфигурирование Firewall). | esr(config-wireguard-server)# ip firewall disable | |
| esr(config-wireguard-server)# security-zone <NAME> | <NAME> – имя зоны безопасности, задаётся строкой до 31 символа. | ||
| 6 | Задать MTU (не обязательно). | esr(config-wireguard-server)# mtu <COUNT><MTU> | <COUNT> <MTU> – 552–10000. Значение по умолчанию: 1500. |
| 7 | Указать приватный ключ WireGuard-сервера (обязательно). | esr(config-wireguard-server)# private-key <NAME> | <NAME> – имя приватного ключа, задаётся строкой до 31 символа. |
| 8 | Указать список DNS-серверов, которые будут использовать удаленные пользователи (не обязательно). | esr(config-wireguard-server)# dns-server <ADDR | ADDR, ADDR> | <ADDR | ADDR, ADDR> – IP-адрес или IP-адреса DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Можно указать до двух DNS-серверов. |
| 9 | Включить профиль WireGuard-сервера. | esr(config-wireguard-server)# enable | |
| 10 | Перейти к настройке разрешённых туннелей WireGuard-сервера. | esr(config-wireguard-server)# peer <COUNT> | <COUNT> – номер соответствующего пира, принимает значения [1..16]. |
| 11 | Указать описание туннеля (не обязательно). | esr(config-wireguard-server-peer)# description <DESCRITPION> | <DESCRIPTION> – описание WireGuard-сервера, задаётся строкой до 255 символов. |
| 12 | Указать публичный ключ туннеля (обязательно). | esr(config-wireguard-server-peer)# public-key <NAME> | <NAME> – имя публичного ключа, задаётся строкой до 31 символа. |
| 13 | Указать список IP-адресов, которым будет разрешено находиться внутри туннеля (обязательно). | esr(config-wireguard-server-peer)# subnet <OBJ-GROUP-NETWORK-NAME> | <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, содержащего префиксы подсетей назначения, задается строкой до 31 символа. |
| 14 | Включить туннель (обязательно). | esr(config-wireguard-server-peer)# enable |
...
- адресация внутри туннеля – 10.10.10.0/24;
- порт подключения к серверу – 43020;
- адрес WireGuard-сервера внутри туннеля – 10.10.10.1;
- DNS-серверы: 8.8.8.8, 8.8.8.4.
| Scroll Pagebreak |
|---|
Решение:
Предварительно нужно выполнить следующие действия:
...
Укажем приватный ключ сервера и отключим FireWallFirewall:
| Блок кода |
|---|
esr(config-wireguard-server)# private-key server.priv esr(config-wireguard-server)# ip firewall disable |
...
| Блок кода |
|---|
esr# show remote-access counters wireguard server WG |
| Scroll Pagebreak |
|---|
Очистить счётчики сессий WireGuard-сервера можно командой:
...
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
1 | Создать PPPoE-туннель и перейти в режим конфигурирования PPPoE-клиента. | esr(config)# tunnel pppoe <PPPoE> | <PPPoE> – порядковый номер туннеля от 1 до 10. |
2 | Указать описание конфигурируемого клиента (не обязательно). | esr(config-pppoe)# description <DESCRIPTION> | <DESCRIPTION> – описание PPPoE-туннеля, задаётся строкой до 255 символов. |
3 | Указать имя экземпляра VRF, в котором будут использоваться PPPoE-клиент (не обязательно). | esr(config-pppoe)# ip vrf forwarding <VRF> | <VRF> – имя VRF, задается строкой до 31 символа. |
4 | Указать интерфейс, через который будет устанавливаться PPPoE соединение. | esr(config-pppoe)# interface <IF> | <IF> – интерфейс или группа интерфейсов. |
5 | Указать имя пользователя и пароль для подключения к PPPoE-серверу. | esr(config-pppoe)# username <NAME> password ascii-text | <NAME> – имя пользователя, задаётся строкой до 31 символа; <CLEAR-TEXT> – пароль, задаётся строкой [8 .. 64] символов; <ENCRYPTED-TEXT> – зашифрованный пароль, задаётся строкой [16..128] символов. |
6 | Включить PPPoE-туннель в зону безопасности и настроить правила взаимодействия между зонами (см. раздел Конфигурирование Firewall). | esr(config-pppoe)# security-zone <NAME> | <NAME> – имя зоны безопасности, задаётся строкой до 31 символа. |
7 | Активировать конфигурируемый профиль. | esr(config-pppoe)# enable | |
8 | Указать метод аутентификации (не обязательно). | esr(config-pppoe)# authentication method <METHOD> | <METHOD> – метод аутентификации, возможные значения: chap, mschap, mschap-v2, eap, pap. Значение по умолчанию: chap. |
9 | Включить отказ от получения маршрута по умолчанию от PPPoE-сервера (не обязательно). | esr(config-pppoe)# ignore-default-route | |
10 | Указать интервал времени, за который усредняется статистика о нагрузке (не обязательно). | esr(config-pppoe)# load-average <TIME> | <TIME> – интервал времени в секундах от 5 до 150 (по умолчанию 5 с). |
11 | Указать размер MTU (MaximumTransmitionUnit) для PPPOE-туннеля. | esr(config-pppoe)# mtu <MTU> | <MTU> – значение MTU, принимает значения в диапазоне [552..1500]. Значение по умолчанию: 1500. |
| 12 | Изменить количество неудачных data-link тестов перед разрывом сессии (не обязательно). | esr(config-pppoe)# ppp failure-count <NUM> | <NUM> – количество неудачных data-link тестов, задается в диапазоне [1..100]. Значение по умолчанию: 10. |
| 13 | Изменить интервал времени в секундах, по истечении которого маршрутизатор отправляет keepalive-сообщение (не обязательно). | esr(config-pppoe)# ppp timeout keepalive <TIME > | <TIME> – время в секундах, задается в диапазоне [1..32767]. Значение по умолчанию: 10. |
| 14 | Переопределить значение поля MSS (Maximum segment size) во входящих TCP-пакетах (не обязательно). | esr(config-pppoe)# ip tcp adjust-mss <MSS> | <MSS> – значение MSS, принимает значения в диапазоне [500..1460]. Значение по умолчанию: 1460. |
| 15 | Включить запись статистики использования текущего туннеля (не обязательно). | esr(config-pppoe)# history statistics | |
Также для PPPoE-клиента возможно настроить:
| |||
| Scroll Pagebreak |
|---|
Пример настройки
Задача:
Настроить PPPoE-клиент на маршрутизаторе.
...
| Примечание |
|---|
Интерфейс, с которого будет осуществляться РРРоЕ-соединение, должен работать в режиме routerport (кроме случаев использования bridge). |
Решение:
Предварительно настроить должен быть настроен PPPoE-сервер с соответствующими учетными записями. Также на устройстве должны быть настроены зоны безопасности и описаны правила их взаимодействия.
Зайдем в режим конфигурирования PPPoE-клиента и отключим межсетевой экрантуннеля и зададим пользователя и пароль для подключения к PPPoE-серверу:
| Блок кода |
|---|
esr# configure
esr(config)# tunnel pppoe 1
esr(config-pppoe)# ip firewall disable |
Укажем пользователя и пароль для подключения к PPPoE-серверу:
| Блок кода |
|---|
esr(config-pppoe)# username tester password ascii-text password |
...
| Блок кода |
|---|
esr(config-pppoe)# interface gigabitethernet 1/0/7 esr(config- pppoe)# enable |
Настроим зону безопасности,:
| Блок кода |
|---|
esr(config-pppoe)# security-zone untrust |
| Scroll Pagebreak |
|---|
Опционально для PPPoE-туннеля можно указать следующие параметры:
Изменить метод аутентификации:
Блок кода esr(config-pppoe)# authentication method METHOD Select PPP authentication method: chap mschap mschap-v2 eap papИгнорировать полученный маршрут по умолчанию, выданные РРРоЕ-сервером:
Блок кода esr(config-pppoe)# ignore-default-routeПереопределить значение поля MSS (Maximum segment size) во входящих TCP-пакетах:
Блок кода esr(config-pppoe)# ip tcp adjust-mss 1452Указать размер MTU (Maximum Transmition Unit):
Блок кода esr(config-pppoe)# mtu 1496Изменить количество неудачных data-link тестов перед разрывом сессии:
Блок кода esr(config-pppoe)# ppp failure-count 15Установить интервал времени в секундах, по истечении которого маршрутизатор отправляет keepalive-сообщение:
Блок кода esr(config-pppoe)# ppp timeout keepalive 15
Состояние PPPoE-туннеля можно посмотреть командой:
| Блок кода |
|---|
esr# show tunnels configurationstatus pppoe 1 |
Счетчики сессий PPPoE-клиента входящих и отправленных пакетов PPPoE-туннеля можно посмотреть командой:
| Блок кода |
|---|
esr# show tunnels counters pppoe 1 |
Конфигурацию PPPoE-туннеля можно посмотреть командой:
| Блок кода |
|---|
esr# show tunnels configuration pppoe 1 |
Настройка клиента удаленного доступа по протоколу PPTP
...