Сравнение версий

Старая версия 5

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.
A Shared Block
hiddentrue


Metadata list
hiddentrue
|| DeviceType | Сервисные маршрутизаторы серии ESR |
|| DeviceName1 |  ESR-10, ESR-12V, ESR-12VF, ESR-15, ESR-15R, ESR-15VF, ESR-20, ESR-21, ESR-30, ESR-31, ESR-100, ESR-200, ESR-1000, ESR-1200, ESR-1500, ESR-1511, ESR-1511 rev.B, ESR-1700, ESR-3100, ESR-3200, ESR-3200L, ESR-3300 |
|| DocTitleAdditional | Руководство по установке и быстрому запуску |
|| fwversion | 1.28 |


Оглавление
maxLevel63
printablefalse

Аннотация

В настоящем руководстве приводится заводская конфигурация устройства и рекомендации по начальной настройке маршрутизаторов серии ESR (далее устройство).

...

  1. Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены.

    В данную зону безопасности входят интерфейсы:

    • для ESR-10/12V: GigabitEthernet 1/0/1;

    • для ESR-12VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9;

    • для ESR-15(R): GigabitEthernet1/0/1; GigabitEthernet1/0/6; 
    • для ESR-15VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/10;

    • для ESR-20: GigabitEthernet 1/0/1;

    • для ESR-21: GigabitEthernet 1/0/1;

    • для ESR-30/31: GigabitEthernet 1/0/1; TengigabitEthernet 1/0/1-2;

    • для ESR-100/200: GigabitEthernet 1/0/1;

    • для ESR-1000/1500/3100: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;

    • для ESR-1200/1700: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2;

    • для ESR-1511: GigabitEthernet 1/0/1, FortygigabitEthernet 1/0/1-2;
    • для ESR-3200: Twentyfivegigabitethernet 1/0/1-2;
    • для ESR-3200L: TengigabitEthernet 1/0/1-2, TwentyfivegigabitEthernet 1/0/1-2;
    • для ESR-3300: TwentyfivegigabitEthernet 1/0/1-2, HundredgigabitEthernet 1/0/1-2.

      Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 2.
  2. Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов Telnet и SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.

    В данную зону безопасности входят интерфейсы:

    • для ESR-10: GigabitEthernet 1/0/2-6;

    • для ESR-12V(F): GigabitEthernet 1/0/2-8;

    • для ESR-15(R): GigabitEthernet 1/0/2-5;
    • для ESR-15VF: GigabitEthernet 1/0/2-9;

    • для ESR-20: GigabitEthernet 1/0/2-4;

    • для ESR-21: GigabitEthernet 1/0/2-12;

    • для ESR-30/31: GigabitEthernet 1/0/3-4;

    • для ESR-100: GigabitEthernet 1/0/2-4;

    • для ESR-200: GigabitEthernet 1/0/2-8;

    • для ESR-1000: GigabitEthernet 1/0/2-24;

    • для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;

    • для ESR-1500: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;

    • для ESR-1511: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/1-4;

    • для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12;

    • для ESR-3100: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-8;

    • для ESR-3200: Twentyfivegigabitethernet 1/0/3-12;

    • для ESR-3200L: TengigabitEthernet 1/0/3-8, TwentyfivegigabitEthernet 1/0/3-4;

    • для ESR-3300: TwentyfivegigabitEthernet 1/0/3-4, HundredgigabitEthernet 1/0/3-4.

      Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.

На интерфейсе Bridge 2 включен DHCP-клиент для получения динамического IP-адреса от провайдера. На интерфейсе Bridge 1 сконфигурирован статический IP-адрес 192.168.1.1/24. Созданный IP-интерфейс выступает в качестве шлюза для клиентов локальной сети. Для клиентов локальной сети настроен DHCP-пул адресов 192.168.1.2-192.168.1.254 с маской 255.255.255.0. Для получения клиентами локальной сети доступа к Internet на маршрутизаторе включен сервис Source NAT.

...

Таблица 70 – Описание политик зон безопасности

Зона, из которой идет трафик

Зона, в которую идет трафик

Тип трафика

Действие

Trusted

Untrusted

TCP, UDP, ICMP

разрешен

Trusted

Trusted

TCP, UDP, ICMP

разрешен

Trusted

self

TCP/22 (SSH), ICMP, UDP/67 (DHCP Server), UDP/123 (NTP)

разрешен

Untrusted

self

UDP/68 (DHCP Client)

разрешен

Предупреждение

Для обеспечения возможности конфигурирования устройства при первом включении в конфигурации маршрутизатора создана учётная запись администратора "admin" с паролем "password".

Пользователю будет предложено изменить пароль администратора при начальном конфигурировании маршрутизатора.

Предупреждение

Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический IP-адрес на интерфейсе Bridge 1 – 192.168.1.1/24.

...

Подключение и конфигурирование маршрутизатора

...

После применения данной команды запускается таймер "отката" «отката» конфигурации. Для остановки таймера и механизма "отката" «отката» используется команда:

Блок кода
esr# confirm
Configuration has been successfully confirmed

...

Блок кода
esr# configure
esr(config)# username fedor
esr(config-user)# password 12345678
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username ivan
esr(config-user)# password password
esr(config-user)# privilege 1
esr(config-user)# exit

Scroll Pagebreak

Назначение имени устройства

...

После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.

Scroll Pagebreak

Настройка параметров публичной сети

...

  • Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды 
    shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
  • Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP настоящего руководства по эксплуатации. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
  • Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
  • Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall настоящего руководства по эксплуатации. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI.

Scroll Pagebreak
Настройка системы логирования событий

Алгоритмы настройки системы логирования событий приведены в подразделе «Настройка Syslog» раздела Мониторинг настоящего руководства по эксплуатации.

Подробная информация о командах для настройки системы логирования событий приведена в разделе 
Управление SYSLOG справочника команд CLI.

...

Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт. Включить ротацию 3 файлов. Включить нумерацию сообщений syslog.

Решение:

Настраиваем Настройте хранение syslog-сообщений в файле:

Блок кода
esr(config)# syslog file tmpsys:syslog/default
esr((config-syslog-file)# severity info
esr((config-syslog-file)# exit

Настраиваем Настройте ограничение размера и ротацию файлов:

Блок кода
esr(config)# syslog max-files 3
esr(config)# syslog file-size 512

Настраиваем Настройте передачу сообщений на внешний сервер:

Блок кода
esr(config)# syslog host mylog 
esr(config-syslog-host)# remote-address 92.168.1.2
esr(config-syslog-host)# transport udp
esr(config-syslog-host)# port 514
esr(config-syslog-host)# severity info
esr(config-syslog-host)# exit

Scroll Pagebreak

Включаем Включите нумерацию сообщений syslog:

...

Алгоритмы настройки политики использования паролей приведены в разделе Настройка ААА настоящего руководства по эксплуатации.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.

...

  • Настроить парольную политику с обязательным требованием смены пароля по умолчанию, временем действия пароля 1 месяц и запретом на использование 12 последних паролей.
  • Задать минимальную длину пароля 16 символов, максимальную — 64 символа.
  • Пароль должен содержать не менее 3 прописных букв, не менее 5 строчных букв, не менее 4 цифр и не менее 2 спецсимволов. Пароль в обязательном порядке должен содержать все 4 типа символов.
Решение:

Включаем Включите запрос на смену пароля по умолчанию для пользователя admin:

Блок кода
esr(config)# security passwords default-expired

Устанавливаем Установите время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:

Блок кода
esr(config)# security passwords lifetime 30
esr(config)# security passwords history 12

Устанавливаем Установите ограничения на длину пароля:

Блок кода
esr(config)# security passwords min-length 16
esr(config)# security passwords max-length 24

Scroll Pagebreak

Устанавливаем Установите ограничения по минимальному количеству символов соответствующих типов:

...

Алгоритмы настройки политики ААА приведены в разделе Настройка ААА настоящего руководства по эксплуатации.

Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.

...

  • Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
  • Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
  • Использовать ENABLE-пароль, заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
  • Установить пользователю admin пониженный уровень привилегий.scroll-pagebreak
  • Настроить логирование изменений локальных учётных записей.
  • Настроить логирование изменений политик ААА.
  • Настроить логирование вводимых команд.
Решение:

Создаем Создайте локального пользователя local-operator с уровнем привилегий 8:

Блок кода
esr(config)# username local-operator
esr(config-user)# password Pa$$w0rd1
esr(config-user)# privilege 8 
esr(config-user)# exit

Задаём Задайте локальный ENABLE-пароль:

Блок кода
esr(config)# enable password $6e5c4r3e2t!

Понижаем Далее необходимо понизить привилегии пользователя admin:

Блок кода
esr(config)# username admin
esr(config-user)# privilege 1 
esr(config-user)# exit

Scroll Pagebreak

Настройте Настраиваем связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:

Блок кода
esr(config)# radius-server host 192.168.1.11
esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esr(config-radius-server)# priority 100 esr(config-radius-server)# exit
esr(config)# radius-server host 192.168.2.12
esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esr(config-radius-server)# priority 150
esr(config-radius-server)# exit

Настраиваем Настройте политику ААА:

Блок кода
esr(config)# aaa authentication login CONSOLE radius local 
esr(config)# aaa authentication login SSH radius 
esr(config)# aaa authentication enable default radius enable
esr(config)# aaa authentication mode break
esr(config)# line console
esr(config-line-console)# login authentication CONSOLE 
esr(config-line-console)# exit esr(config)# line ssh 
esr(config-line-ssh)# login authentication SSH 
esr(config-line-ssh)# exit

Настраиваем Настройте логирование:

Блок кода
esr(config)# logging userinfo 
esr(config)# logging aaa
esr(config)# syslog cli-commands

Scroll Pagebreak
Настройка удалённого управления 

...

Сгенерировать новые ключи шифрования. Использовать криптостойкие алгоритмы.

Решение:

Scroll Pagebreak
Отключаем Отключите устаревшие и не криптостойкие алгоритмы:

Блок кода
esr(config)# ip ssh server
esr(config)# ip ssh authentication algorithm md5 disable
esr(config)# ip ssh authentication algorithm md5-96 disable
esr(config)# ip ssh authentication algorithm ripemd160 disable
esr(config)# ip ssh authentication algorithm sha1 disable
esr(config)# ip ssh authentication algorithm sha1-96 disable
esr(config)# ip ssh authentication algorithm sha2-256 disable
esr(config)# ip ssh encryption algorithm 3des disable
esr(config)# ip ssh encryption algorithm aes128 disable
esr(config)# ip ssh encryption algorithm aes128ctr disable
esr(config)# ip ssh encryption algorithm aes192 disable
esr(config)# ip ssh encryption algorithm aes192ctr disable
esr(config)# ip ssh encryption algorithm aes256 disable
esr(config)# ip ssh encryption algorithm arcfour disable
esr(config)# ip ssh encryption algorithm arcfour128 disable
esr(config)# ip ssh encryption algorithm arcfour256 disable
esr(config)# ip ssh encryption algorithm blowfish disable
esr(config)# ip ssh encryption algorithm cast128 disable
esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable
esr(config)# ip ssh host-key algorithm dsa disable
esr(config)# ip ssh host-key algorithm ecdsa256 disable
esr(config)# ip ssh host-key algorithm ecdsa384 disable
esr(config)# ip ssh host-key algorithm ecdsa521 disable
esr(config)# ip ssh host-key algorithm ed25519 disable

Генерируем Сгенерируйте новые ключи шифрования:

Блок кода
esr# update ssh-host-key rsa 2048

...

Алгоритмы настройки механизмов защиты от сетевых атак приведены в разделе Настройка логирования и защиты от сетевых настоящего руководства по эксплуатации.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.

...

Настроить механизм защиты от сетевых атак в соответствии с рекомендациями.

Решение:

Включаем Включите защиту от ip spoofing и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen spy-blocking spoofing
esr(config)# logging firewall screen spy-blocking spoofing

Включаем Включите защиту от TCP-пакетов с неправильно выставленными флагами и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen spy-blocking syn-fin
esr(config)# logging firewall screen spy-blocking syn-fin
esr(config)# ip firewall screen spy-blocking fin-no-ack
esr(config)# logging firewall screen spy-blocking fin-no-ack
esr(config)# ip firewall screen spy-blocking tcp-no-flag
esr(config)# logging firewall screen spy-blocking tcp-no-flag
esr(config)# ip firewall screen spy-blocking tcp-all-flags
esr(config)# logging firewall screen spy-blocking tcp-all-flags

Включаем Включите защиту от фрагментированных ICMP-пакетов и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen suspicious-packets icmp-fragment
esr(config)# logging firewall screen suspicious-packets icmp-fragment

Включаем Включите защиту от ICMP-пакетов большого размера и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen suspicious-packets large-icmp
esr(config)# logging firewall screen suspicious-packets large-icmp

Включаем Включите защиту от незарегистрированных IP-протоколов и логирование механизма защиты:

...