1

Создать VLAN.

esr(config)# vlan <VID>

<VID> – идентификатор VLAN, задаётся в диапазоне [2..4094].

Также есть возможность создания нескольких vlan (через запятую) или диапазона vlan (через дефис).

2

Задать имя vlan (не обязательно).

esr(config-vlan)# name <vlan-name>

<vlan-name> – до 255 символов.

3

Отключить отслеживание состояния интерфейсов, на которых разрешена обработка Ethernet-фреймов данного VLAN (не обязательно)

esr(config-vlan)# force-up

4

Отключить обработку входящих не тегированных Ethernet-фреймов на основе таблицы коммутации VLAN'а по умолчанию (VLAN-ID – 1) (не обязательно)

esr(config-if-gi)# no switchport forbidden default-vlan

5

Установить режим работы физического интерфейса в L2-режим

esr(config-if-gi)# mode switchport

6

Задать режим работы L2 интерфейса.

esr(config-if-gi)# switchport access

Только для ESR-10/12V(F)/14VF/20/21/100/200.

Данный режим является режимом по умолчанию и не отображается в конфигурации.

esr(config-if-gi)# switchport trunk

Только для ESR-10/12V(F)/14VF/20/21/100/200.

esr(config-gi)# switchport general

Только для ESR-1000/1200/1500/1510/1700.

Данный режим является режимом по умолчанию и не отображается в конфигурации.

Для ESR-10/12V(F)/14VF/20/21/100/200.

<VID> – идентификатор VLAN, задаётся в диапазоне [2..4094].

Также есть возможность создания нескольких vlan (через запятую) или диапазона vlan (через дефис).

Для ESR-1000/1200/1500/1510/1700.

<VID> – идентификатор VLAN, задаётся в диапазоне [2..4094].

Также есть возможность создания нескольких vlan (через запятую) или диапазона vlan (через дефис).

Для ESR-10/12V(F)/14VF/20/21/100/200.

<VID> – идентификатор VLAN, задаётся в диапазоне [2..4094].

esr(config-if-gi)# switchport general allowed vlan add <VID> untagged

Для ESR-1000/1200/1500/1510/1700.

<VID> – идентификатор VLAN, задаётся в диапазоне [2..4094].

Только для ESR-1000/1200/1500/1510/1700.

1

Активировать LLDP на маршрутизаторе

esr(config)# lldp enable

2

Установить период, в течение которого маршрутизатор хранит информацию, полученную по LLDP (не обязательно).

esr(config)# lldp hold-multiplier <SEC>

<SEC> – период времени в секундах, принимает значение [1..10].

3

Установить IP-адрес, который будет передаваться в LLDP TLV в качестве management-address (не обязательно).

esr(config)# lldp management-address <ADDR>

<ADDR> – IP-адрес, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

По умолчанию задается один из существующих

4

Установить поле system-description, которое будет передаваться в LLDP TLV в качестве system-description (не обязательно).

esr(config)# lldp system-description <DESCRIPTION>

<DESCRIPION> – описание системы, задаётся строкой до 255 символов.

По умолчанию содержит информацию о модели и версии ПО маршрутизатора.

5

Установить поле system-name, которое будет передаваться в LLDP TLV в качестве system-name (не обязательно).

esr(config)# lldp system-name <NAME>

<NAME> – имя системы, задается строкой до 255 символов.

По умолчанию совпадает с заданным hostname

6

Установить период отправки LLDPDU (не обязательно).

esr(config)# lldp timer <SEC>

<SEC> – период времени в секундах, принимает значение [1..32768].

7

Включить прием и обработку LLDPDU на физическом интерфейсе.

esr(config-if-gi)# lldp receive

8

Включить отправку LLDPDU на физическом интерфейсе.

esr(config-if-gi)# lldp transmit

1

Активировать LLDP на маршрутизаторе

esr(config)# lldp enable

2

Активировать расширение MED LLDP на маршрутизаторе

esr(config)# lldp med fast-start enable

3

Создать сетевую политику

esr(config)# network-policy <NAME>

<NAME> – имя network-policy, задается строкой до 31 символа.

4

Указать тип приложения

esr(config-net-policy)# application <APP_TYPE>

<APP-TYPE> – тип приложения, для которого будет срабатывать network-policy.
Принимает значения:

• voice,
  
• voice-signaling,
  
• guest-voice,
  
• guest-voice-signaling,
  
• softphone-voice,
• video-conferencing,
  
• streaming-video,
  
• video-signaling.

5

Установить значение DSCP

esr(config-net-policy)# dscp <DSCP>

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

6

Установить значение COS

esr(config-net-policy)# priority  <PRIORITY>

<COS> – значение приоритета, принимает значения:

• best-effort – COS0;
• background – COS1;
• excellent-effort – COS2;
• critical-applications – COS3;
• video – COS4;
• voice – COS5;
• internetwork-control – COS6;
• network-control – COS7.

7

Установить значение
VLAN ID

esr(config-net-policy)# vlan <VID> [tagged]

<VID> – идентификационный номер VLAN, принимает значения [1…4094];

• tagged – ключ, при установке которого абонентское устройство будет отправлять Ethernet-фреймы указанного приложения в тегированном виде.

8

Установить сетевую политику на интерфейс

esr(config-if-gi)# lldp network-policy <NAME>

<NAME> – имя network-policy, задается строкой до 31 символа.

9

Включить отправку LLDPDU на физическом интерфейсе.

esr(config-if-gi)# lldp transmit

1

Создать саб-интерфейс физического интерфейса (возможно только если физичесикий интерфейс в режиме routeport).

esr(config)# interface gigabitethernet <PORT>.<S-VLAN>

или

interface tengigabitethernet <PORT>.<S-VLAN>

или

interface port-channel <CH>.<S-VLAN>

<PORT> – номер физического интерфейса.

<CH> – номер агрегированного интерфейса.

<S-VLAN> – идентификатор создаваемого S-VLAN.

Если физический интерфейс включен в bridge-group, создать саб-интерфейс будет невозможно.

2

Задать описание саб-интерфейса (не обязательно).

esr(config-subif)# description <DESCRIPTION>

<DESCRIPTION> – описание интерфейса, задаётся строкой до 255 символов.

3

Указать экземпляр VRF, в котором будет работать данный саб-интерфейс (не обязательно).

esr(config- subif )# ip vrf forwarding <VRF>

<VRF> – имя VRF, задается строкой до 31 символа.

4

Установить интервал времени, в течение которого собирается статистика о нагрузке на саб-интерфейс (не обязательно).

esr(config-subif)# load-average <TIME>

<TIME> – интервал в секундах, принимает значения [5..150].

5

Включить саб-интерфейс bridge-group (не обязательно).

esr(config-subif)#bridge-group <BRIDGE-ID>

<BRIDGE-ID> – идентификационный номер моста.

6

Установить время жизни IPv4/IPv6 записей в ARP-таблице, изученных на данном интерфейсе (не обязательно).

esr(config-subif)# ip arp reachable-time <TIME>

или

ipv6 nd reachable-time <TIME>

<TIME> – время жизни динамических MAC-адресов, в миллисекундах. Допустимые значения от 5000 до 100000000 миллисекунд. Реальное время обновления записи варьируется от [0,5;1,5]*<TIME>.

1

Создать саб-интерфейс физического интерфейса (возможно только если физичесикй интерфейс в режиме routeport).

esr(config)# interface gigabitethernet <PORT>.<S-VLAN>

или

interface tengigabitethernet <PORT>.<S-VLAN>

или

interface port-channel <CH>.<S-VLAN>

<PORT> – номер физического интерфейса.

<CH> – номер агрегированного интерфейса.

<S-VLAN> – идентификатор создаваемого S-VLAN.

2

Создать Q-in-Q интерфейс.

esr(config)# interface gigabitethernet <PORT>.<S-VLAN>.<C-VLAN>

или

esr(config)# interface tengigabitethernet <PORT>.<S-VLAN>.<C-VLAN>

или

esr(config)# interface port-channel <CH>.<S-VLAN>.<C-VLAN>

<PORT> – номер физического интерфейса.

<CH> – номер агрегированного интерфейса.

<S-VLAN> – идентификатор создаваемого S-VLAN.

<C-VLAN> – идентификатор создаваемого C-VLAN.

Если физический или саб-интерфейс включен в bridge-group, создать саб-интерфейс будет невозможно.

3

Задать описание Q-in-Q интерфейс (не обязательно).

esr(config-qinq-if)# description <DESCRIPTION>

<DESCRIPTION> – описание интерфейса, задаётся строкой до 255 символов.

esr(config-qinq-if)# ip arp reachable-time <TIME>

или

ipv6 nd reachable-time <TIME>

1

После подключения USB-модема дождаться, когда система обнаружит подключенное устройство

2

Определить, какой номер устройства назначен на подключенный USB-модем

esr# show cellulars status modem

В поле "USB port" будет указан идентификатор подключенного устройства.

3

Создать профиль настроек для USB-модема и перейти в режим конфигурирования профиля

esr(config)# cellular profile <ID>

<ID> – идентификатор профиля настроек для USB-модема в системе [1..10].

4

Задать описание профиля настроек (не обязательно)

esr(config-cellular-profile)# description <DESCRIPTION>

<DESCRIPTION> – описание интерфейса, задаётся строкой до 255 символов.

5

Задать точку доступа мобильной сети

esr(config-cellular-profile)# apn <NAME>

<NAME> – точка доступа мобильной сети, задаётся строкой до 31 символа.

6

Задать имя пользователя мобильной сети (если мобильный оператор требует данное поле)

esr(config-cellular-profile)# user <NAME>

<NAME> – имя пользователя, задаётся строкой до 31 символа.

7

Установить пароля для пользователя мобильной сети (если мобильный оператор требует данное поле)

esr(config-user)# password ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

<CLEAR-TEXT> – пароль в открытой форме, задаётся строкой [1 .. 64] символов, может включать символы [0-9a-fA-F];

<ENCRYPTED-TEXT> – пароль в зашифрованной форме, задаётся строкой [2..128] символов.

8

Установить номер дозвона для подключения к мобильной сети

esr(config-cellular-profile)# number <WORD>

<WORD> – номер дозвона для подключения к мобильной сети, задаётся строкой до 15 символов.

9

Задать метод аутентификации пользователя в мобильной сети (не обязательно)

esr(config-cellular-profile)# allowed-auth <TYPE>

<TYPE> – метод аутентификации пользователя в мобильной сети [none, PAP, CHAP, MSCHAP, MSCHAPv2, EAP].

10

Ограничить возможность использования семейств IP-адресов в мобильной сети.

esr(config-cellular-profile)# ip-version
{ ipv4 | ipv6 }

• ipv4 – семейство IPv4;
• ipv6 – семейство IPv6;

11

Создать USB-модем в конфигурации маршрутизатора и перейти в режим конфигурирования модема

esr(config)# cellular modem <ID>

<ID> – идентификатор USB-модема в системе [1..10].

12

Указать экземпляр VRF, в котором будет работать данный модем (не обязательно).

esr(config-cellular-modem)# ip vrf forwarding <VRF>

<VRF> – имя VRF, задается строкой до 31 символа.

13

Задать идентификатор USB-модема, назначенного системой (определен в пункте 2.)

esr(config-cellular-modem)# device <WORD>

<WORD> – идентификатор USB-порта подключенного модема [1..12].

14

Назначить ранее созданный профиль настроек для USB-модема

esr(config-cellular-modem)# profile <ID>

<ID> – идентификатор профиля настроек для USB-модема в системе [1..10].

15

Задать код разблокировки SIM-карты (в случае необходимости)

esr(config-cellular-modem)# pin <WORD>

<WORD> – код разблокировки SIM-карты [4..8]. Возможно использование только цифр.

16

Разрешить использование того или иного режима работы USB-модема (не обязательно)

esr(config-cellular-modem)# allowed-mode <MODE>

<MODE> – допустимый режим работы USB-модема [2g, 3g, 4g].

По умолчанию: разрешены все режимы, поддерживаемые модемом.

17

Задать размер максимального принимаемого пакета (не обязательно)

esr(config-cellular-modem)# mru { <MRU> }

<MRU> – значение MRU, принимает значения в диапазоне [128..16383].

18

Задать предпочтительный режим работы USB-модема в мобильной сети (не обязательно)

esr(config-cellular-modem)# preferred-mode { <MODE> }

<MODE> – предпочтительный режим работы USB-модема [2g, 3g, 4g]

19

Активировать USB-модем

esr(config-cellular-modem)# enable

1

Указать local в качестве метода аутентификации.

esr(config)# aaa authentication login { default | <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> – имя списка, задаётся строкой до 31 символа.

Способы аутентификации:

• local – аутентификация с помощью локальной базы пользователей;
• tacacs – аутентификация по списку TACACS-серверов;
• radius – аутентификация по списку RADIUS-серверов;
• ldap – аутентификация по списку LDAP-серверов.

2

Указать enable в качестве способа аутентификации повышения привилегий пользователей.

esr(config)# aaa authentication enable <NAME><METHOD 1>

[ <METHOD 2> ]

[ <METHOD 3> ]

[ <METHOD 4> ]

<NAME> – имя списка, задаётся строкой до 31 символа.

Способы аутентификации:

• local – аутентификация с помощью локальной базы пользователей;
• tacacs – аутентификация по списку TACACS-серверов;
• radius – аутентификация по списку RADIUS-серверов;
• ldap – аутентификация по списку LDAP-серверов.

3

Указать способ перебора методов аутентификации в случае отказа (не обязательно).

esr(config)# aaa authentication mode <MODE>

<MODE> – способы перебора методов:

• chain – если сервер вернул FAIL, перейти к следующему в цепочке методу аутентификации;
• break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.

Значение по умолчанию: chain.

4

Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (не обязательно)

esr(config)# aaa authentication attempts max-fail <COUNT> <TIME>

<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> – интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию:
<COUNT> – 5; <TIME> – 300

5

Включить запрос на смену пароля по умолчанию для пользователя admin (не обязательно)

esr(config)# security passwords default-expired

6

Включить режим запрета на использование ранее установленных паролей локальных пользователей (не обязательно)

esr(config)# security passwords history <COUNT>

<COUNT> – количество паролей сохраняемых в памяти маршрутизатора. Принимает значение в диапазоне [1..15].

Значение по умолчанию: 0

7

Установить время действия пароля локального пользователя (не обязательно)

esr(config)# security passwords lifetime <TIME>

<TIME> – интервал времени действия пароля в днях. Принимает значение в диапазоне [1..365].

По умолчанию: Время действия пароля локального пользователя неограниченно.

8

Установить ограничение на минимальную длину пароля локального пользователя и ENABLE-пароля (не обязательно)

esr(config)# security passwords min-length <NUM>

<NUM> – минимальное количество символов в пароле. Принимает значение в диапазоне [8..128].

Значение по умолчанию: 0

9

Установить ограничение на максимальную длину пароля локального пользователя и ENABLE-пароля (не обязательно)

esr(config)# security passwords max-length <NUM>

<NUM> – максимальное количество символов в пароле. Принимает значение в диапазоне [8..128].

Значение по умолчанию: не ограничено.

10

Установить минимальное количество типов символов, которые должны присутствовать в пароле локального пользователя и ENABLE-пароле (не обязательно)

esr(config)# security passwords symbol-types <COUNT>

<COUNT> – минимальное количество типов символов в пароле. Принимает значение в диапазоне [1..4].

Значение по умолчанию: 1

11

Установить минимальное количество строчных букв в пароле локального пользователя и ENABLE-пароле (не обязательно)

esr(config)# security passwords lower-case <COUNT>

<COUNT> – минимальное количество строчных букв в пароле локального пользователя и ENABLE-пароле. Принимает значение в диапазоне [0..128].

Значение по умолчанию: 0

12

Установить минимальное количество прописных (заглавных) букв в пароле локального пользователя и ENABLE-пароле (не обязательно)

esr(config)# security passwords upper-case <COUNT>

<COUNT> – минимальное количество прописных (заглавных) букв в пароле. Принимает значение в диапазоне [0..128].

Значение по умолчанию: 0

13

Установить минимальное количество цифр в пароле локального пользователя и ENABLE-пароле (не обязательно)

esr(config)# security passwords numeric-count <COUNT>

<COUNT> – минимальное количество цифр в пароле. Принимает значение в диапазоне [0..128].

Значение по умолчанию: 0

14

Установить минимальное количество специальных символов в пароле локального пользователя и ENABLE-пароле (не обязательно)

esr(config)# security passwords special-case <COUNT>

<COUNT> – минимальное количество специальных символов в пароле. Принимает значение в диапазоне [0..128].

Значение по умолчанию: 0

15

Добавить пользователя в локальную базу и перейти в режим настройки параметров пользователя

esr(config)# username <NAME>

<NAME> – имя пользователя, задаётся строкой до 31 символа.

16

Установить пароль пользователя

esr(config-user)# password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }

<CLEAR-TEXT> – пароль, задаётся строкой [8 .. 32] символов, принимает значения [0-9a-fA-F];

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.

17

Установить уровень привилегий пользователя

esr(config-user)# privilege <PRIV>

<PRIV> – необходимый уровень привилегий. Принимает значение [1..15].

18

Перейти в режим конфигурирования соответствующего терминала

esr(config)# line console

или

esr(config)# line telnet

или

esr(config)# line ssh

19

Активировать список аутентификации входа пользователей в систему

esr(config-line-ssh)# login authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа.

20

Активировать список аутентификации повышения привилегий пользователей

esr(config-line-ssh)# enable authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа.

21

Задать интервал, по истечении которого будет разрываться бездействующая сессия

esr(config-line-ssh)# exec-timeout <SEC>

<SEC> – период времени в минутах, принимает значения [1..65535].

1

Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов RADIUS-сервера (не обязательно).

esr(config)# radius-server dscp <DSCP>

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 63.

2

Задать глобальное значение количества перезапросов к последнему активному RADIUS-серверу (не обязательно).

esr(config)# radius-server retransmit <COUNT>

<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].

Значение по умолчанию: 1.

3

Задать глобальное значение интервала, по истечении которого маршрутизатор считает, что RADIUS-сервер недоступен (не обязательно).

esr(config)# radius-server timeout <SEC>

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию: 3 секунды.

4

Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования.

esr(config)# radius-server host { <IP-ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
esr(config-radius-server)#

<IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

5

Указать количество неудачных попыток аутентификации для блокировки логина пользователя и времени блокировки (не обязательно).

aaa authentication attempts max-fail <COUNT> <TIME>

<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> – интервал времени в секундах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию:

<COUNT> – 5; <TIME> – 300

6

Задать пароль для аутентификации на удаленном RADIUS-сервере.

esr(config-radius-server)# key ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }

<TEXT> – строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

7

Задать приоритет использования удаленного RADIUS-сервера (не обязательно).

esr(config-radius-server)# priority <PRIORITY>

<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].

Чем ниже значение, тем приоритетнее сервер.

Значение по умолчанию: 1.

8

Задать интервал, по истечении которого маршрутизатор считает, что данный RADIUS-сервер недоступен (не обязательно).

esr(config-radius-server)# timeout <SEC>

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию: используется значение глобального таймера.

9

Задать IPv4/IPv6-адрес, который будет использоваться в качестве IP/IPv6-адреса источника в отправляемых RADIUS-пакетах.

esr(config-radius-server)# source-address { <ADDR> | <IPV6-ADDR> }

<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес источника, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

10

Указать radius в качестве метода аутентификации.

esr(config)# aaa authentication login { default | <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> – имя списка, задаётся строкой до 31 символа.

Способы аутентификации:

• local – аутентификация с помощью локальной базы пользователей;
• tacacs – аутентификация по списку TACACS-серверов;
• radius – аутентификация по списку RADIUS-серверов;
• ldap – аутентификация по списку LDAP-серверов.

11

Указать radius в качестве способа аутентификации повышения привилегий пользователей.

esr(config)# aaa authentication enable <NAME><METHOD 1>
[ <METHOD 2> ]
[ <METHOD 3> ]
[ <METHOD 4> ]

<NAME> – имя списка строка до 31 символа;

• default – имя списка по умолчанию.

<METHOD> – способы аутентификации:

• enable – аутентификация с помощью enable-паролей;
• tacacs – аутентификация по протоколу TACACS;
• radius – аутентификация по протоколу RADIUS;
• ldap – аутентификация по протоколу LDAP.

12

Указать способ перебора методов аутентификации в случае отказа (не обязательно).

esr(config)# aaa authentication mode <MODE>

<MODE> – способы перебора методов:

• chain – если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации;
• break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.

Значение по умолчанию: chain.

13

Сконфигурировать radius в списке способов учета сессий пользователей (не обязательно).

esr(config)# aaa accounting login start-stop <METHOD 1>
[ <METHOD 2> ]

<METHOD> – способы учета:

• tacacs – учет сессий по протоколу TACACS;
• radius – учет сессий по протоколу RADIUS.

14

Перейти в режим конфигурирования соответствующего терминала.

esr(config)# line <TYPE>

<TYPE> – тип консоли:

• console – локальная консоль;
• ssh – защищенная удаленная консоль.

15

Активировать список аутентификации входа пользователей в систему.

esr(config-line-console)# login authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 8.

16

Активировать список аутентификации повышения привилегий пользователей.

esr(config-line-console)# enable authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 9.

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 63.

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию: 3 секунды.

esr(config)# tacacs -server host { <IP-ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

esr(config- tacacs -server)#

<IP-ADDR> – IP-адрес TACACS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]

<IPV6-ADDR> – IPv6-адрес TACACS -сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> – интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию:

<COUNT> – 5; <TIME> – 300

<TEXT> – строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

<PORT> – номер TCP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию: 49 для TACACS-сервера.

7

Задать приоритет использования удаленного TACACS сервера (не обязательно).

esr(config-tacacs-server)# priority <PRIORITY>

<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].

Чем ниже значение, тем приоритетнее сервер.

Значение по умолчанию: 1.

8

Задать IPv4/IPv6-адрес, который будет использоваться в качестве IP/IPv6-адреса источника в отправляемых TACACS-пакетах.

esr(config-radius-tacacs)# source-address { <ADDR> | <IPV6-ADDR> }

<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

9

Указать TACACS в качестве способа аутентификации повышения привилегий пользователей.

esr(config)# aaa authentication enable <NAME><METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> – имя списка строка до 31 символа;

• default – имя списка по умолчанию.

<METHOD> – способы аутентификации:

• enable – аутентификация с помощью enable-паролей;
• tacacs – аутентификация по протоколу TACACS;
• radius – аутентификация по протоколу RADIUS;
• ldap – аутентификация по протоколу LDAP.

10

Указать способ перебора методов аутентификации в случае отказа (не обязательно).

esr(config)# aaa authentication mode <MODE>

<MODE> – способы перебора методов:

• chain – если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации;
• break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.

Значение по умолчанию: chain.

11

Сконфигуровать список способов учета команд, введённых в CLI (не обязательно).

esr(config)# aaa accounting commands stop-only tacacs

12

Сконфигурировать tacacs в списке способов учета сессий пользователей (не обязательно).

esr(config)# aaa accounting login start-stop <METHOD 1> [ <METHOD 2> ]

<METHOD> – способы учета:

• tacacs – учет сессий по протоколу TACACS;
• radius – учет сессий по протоколу RADIUS.

13

Перейти в режим конфигурирования соответствующего терминала.

esr(config)# line <TYPE>

<TYPE> – тип консоли:

• console – локальная консоль;
• ssh – защищенная удаленная консоль.

14

Активировать список аутентификации входа пользователей в систему.

esr(config-line-console)# login authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 7.

15

Активировать список аутентификации повышения привилегий пользователей.

esr(config-line-console)# enable authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 8.

2

Задать интервал, по истечении которого устройство считает, что LDAP-сервер недоступен (не обязательно).

esr(config)# ldap-server bind timeout <SEC>

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию: 3 секунды.

3

Задать DN (Distinguished name) пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.

esr(config)# ldap-server bind authenticate root-dn <NAME>

<NAME> – DN пользователя с правами администратора, задается строкой до 255 символов.

4

Задать пароль пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.

esr(config)# ldap-server bind authenticate root-password ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }

<TEXT> – строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

5

Задать имя класса объектов, среди которых необходимо выполнять поиск пользователей на LDAP-сервере (не обязательно).

esr(config)# ldap-server search filter user-object-class <NAME>

<NAME> – имя класса объектов, задаётся строкой до 127 символов.

Значение по умолчанию: posixAccount.

6

Задать область поиска пользователей в дереве LDAP-сервера (не обязательно).

esr(config)# ldap-server search scope <SCOPE>

<SCOPE> – область поиска пользователей на LDAP-сервере, принимает следующие значения:

• onelevel – выполнять поиск в объектах на следующем уровне после базового DN в дереве LDAP-сервера;
• subtree – выполнять поиск во всех объектах поддерева базового DN в дереве LDAP сервера.

Значение по умолчанию: subtree.

7

Задать интервал, по истечении которого устройство считает, что LDAP-сервер не нашел записей пользователей, подходящих под условие поиска (не обязательно).

esr(config)# ldap-server search timeout <SEC>

<SEC> – период времени в секундах, принимает значения [0..30]

Значение по умолчанию: 0 – устройство ожидает завершения поиска и получения ответа от LDAP-сервера.

8

Задать имя атрибута объекта, со значением которого идет сравнение имени искомого пользователя на LDAP-сервере (не обязательно).

esr(config)# ldap-server naming-attribute <NAME>

<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.

Значение по умолчанию: uid.

9

Задать имя атрибута объекта, значение которого будет определять начальные привилегии пользователя на устройстве (не обязательно).

esr(config)# ldap-server privilege-level-attribute <NAME>

<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.

Значение по умолчанию: priv-lvl

10

Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов LDAP-сервера (не обязательно).

esr(config)# ldap-server dscp <DSCP>

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 63

11

Добавить LDAP-сервер в список используемых серверов и перейти в режим его конфигурирования.

esr(config)# ldap -server host { <IP-ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

esr(config- tacacs -server)#

<IP-ADDR> – IP-адрес LDAP-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]

<IPV6-ADDR> – IPv6-адрес TACACS -сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

12

Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (не обязательно)

aaa authentication attempts max-fail <COUNT> <TIME>

<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> – интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию:

<COUNT> – 5; <TIME> – 300

13

Задать номер порта для обмена данными c удаленным LDAP-сервером (не обязательно).

esr(config-ldap-server)# port <PORT>

<PORT> – номер TCP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию: 389 для LDAP-сервера.

14

Задать приоритет использования удаленного LDAP-сервера (не обязательно).

esr(config-ldap-server)# priority <PRIORITY>

<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].

Чем ниже значение, тем приоритетнее сервер.

Значение по умолчанию: 1.

15

Задать IPv4/IPv6-адрес, который будет использоваться в качестве IP/IPv6-адреса источника в отправляемых LDAP-пакетах.

esr(config-ldap-server)# source-address { <ADDR> | <IPV6-ADDR> }

<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес источника, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

16

Указать LDAP в качестве метода аутентификации.

esr(config)# aaa authentication login { default | <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> – имя списка, задаётся строкой до 31 символа.

Способы аутентификации:

• local – аутентификация с помощью локальной базы пользователей;
• tacacs – аутентификация по списку TACACS-серверов;
• radius – аутентификация по списку RADIUS-серверов;
• ldap – аутентификация по списку LDAP-серверов.

17

Указать LDAP в качестве способа аутентификации повышения привилегий пользователей.

esr(config)# aaa authentication enable <NAME><METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> – имя списка строка до 31 символа;

• default – имя списка по умолчанию.

<METHOD> – способы аутентификации:

• enable – аутентификация с помощью enable-паролей;
• tacacs – аутентификация по протоколу TACACS;
• radius – аутентификация по протоколу RADIUS;
• ldap – аутентификация по протоколу LDAP.

18

Указать способ перебора методов аутентификации в случае отказа.

esr(config)# aaa authentication mode <MODE>

<MODE> – способы перебора методов:

• chain – если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации;
• break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.

Значение по умолчанию: chain.

19

Перейти в режим конфигурирования соответствующего терминала.

esr(config)# line <TYPE>

<TYPE> – тип консоли:

• console – локальная консоль;
• ssh – защищенная удаленная консоль.

20

Активировать список аутентификации входа пользователей в систему.

esr(config-line-console)# login authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 14.

21

Активировать список аутентификации повышения привилегий пользователей.

esr(config-line-console)# enable authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 15.

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 61.

<NAME> – имя пула IPv4/IPv6-адресов DHCP-сервера, задаётся строка до 31 символа.

<VRF> – имя экземпляра VRF, в рамках которого будет работать данный пул IP-адресов DHCP-сервера. Задается строкой до 31 символа

<IPV6-ADDR/LEN> – IP-адрес и префикс подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].

5

Добавить диапазон IPv4/IPv6-адресов к пулу адресов, конфигурируемого DHCP-сервера.

esr(config-dhcp-server)# address-range <FROM-ADDR>-<TO-ADDR>

<FROM-ADDR> – начальный IP-адрес диапазона;

<TO-ADDR> – конечный IP-адрес диапазона,

Адреса задаются в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Можно указать до 32 диапазонов IP-адресов, список задаётся через запятую.

esr(config-ipv6-dhcp-server)# address-range <FROM-ADDR>-<TO-ADDR>

<FROM-ADDR> – начальный IPv6-адрес диапазона;

<TO-ADDR> – конечный IP-адрес диапазона;

Адреса задаются в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

6

Добавить IPv4/IPv6-адрес для определенного физического адреса к пулу адресов конфигурируемого DHCP-сервера (не обязательно).

esr(config-dhcp-server)# address <ADDR> {mac-address <MAC> | client-identifier <CI>}

<ADDR> – IP-адрес клиента, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<MAC> – МАС-адрес клиента, которому будет выдан IP-адрес, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

<CI> – идентификатор клиента согласно DHCPOption61. Может быть задан в одном из следующих видов:

• HH:HH:HH:HH:HH:HH:HH: – идентификатор клиента в шестнадцатеричной форме и mac-адрес клиента;
• STRING – текстовая строка длиной от 1 до 64 символов.

esr(config-ipv6-dhcp-server)# address <ADDR> mac-address <MAC>

<IPV6-ADDR> – IPv6-адрес клиента, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<MAC> – МАС-адрес клиента, которому будет выдан IPv6-адрес, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]

7

Задать список IPv4-адресов шлюзов по умолчанию, которые DHCP-сервер будет сообщать клиентам, используя DHCP-опцию 3.

esr(config-dhcp-server)# default-router <ADDR>

<ADDR> – IP-адрес шлюза по умолчанию, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Можно указать до 8 IP-адресов, список задаётся через запятую.

8

Задать DNS-имя сетевого домена. Имя домена передаётся клиентам в составе DHCP-опции 15 (не обязательно).

esr(config-dhcp-server)# domain-name <NAME>

<NAME> – DNS-имя домена клиента, задаётся строкой до 255 символов.

esr(config-ipv6-dhcp-server)# domain-name <NAME>

9

Задать список IPv4/IPv6-адресов DNS-серверов. Список передаётся клиентам в составе DHCP-опции 6 (не обязательно).

esr(config-dhcp-server)# dns-server <ADDR>

<ADDR> – IP-адрес DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Можно указать до 8 IP-адресов, список задаётся через запятую.

esr(config-ipv6-dhcp-server)# dns-server <IPV6-ADDR>

<IPV6-ADDR> – IPv6-адрес DNS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. Можно указать до 8 IPv6-адресов, список задаётся через запятую.

10

Задать максимальное время аренды IP-адресов (не обязательно).

Если DHCP-клиент запрашивает время аренды, превосходящее максимальное значение, то будет установлено время, заданное этой командой.

esr(config-dhcp-server)# max-lease-time <TIME>

<TIME> – максимальное время аренды IP-адреса, задаётся в формате DD:HH:MM, где:

• DD – количество дней, принимает значения [0..364];
• HH – количество часов, принимает значения [0..23];
• MM – количество минут, принимает значения [0..59]

Значение по умолчанию: 1 день

esr(config-ipv6-dhcp-server)# max-lease-time <TIME>

11

Задать время аренды, на которое клиенту будет выдан IP-адрес (не обязательно).

Данное время будет использоваться если клиент не запрашивал определенное время аренды.

esr(config-dhcp-server)# default-lease-time <TIME>

<TIME> – максимальное время аренды IP-адреса, задаётся в формате DD:HH:MM, где:

• DD – количество дней, принимает значения [0..364];
• HH – количество часов, принимает значения [0..23];
• MM – количество минут, принимает значения [0..59]

Значение по умолчанию: 12 часов.

esr(config-ipv6-dhcp-server)# default-lease-time <TIME>

12

Создать идентификатор класса поставщика (DHCP Опция 60) (не обязательно).

esr(config)# ip dhcp-server vendor-class-id <NAME>

<NAME> – идентификатор класса поставщика, задаётся строкой до 31 символа.

esr(config)# ipv6 dhcp-server vendor-class-id <NAME>

13

Задать специфическую информацию поставщика (DHCP Опция 43).

esr(config-dhcp-vendor-id)# vendor-specific-options <HEX>

<HEX> – специфическая информация поставщика, задаётся в шестнадцатеричном формате до 128 символов.

esr(config-ipv6-dhcp-vendor-id)# vendor-specific-options <HEX>

14

Задать IP-адрес NetBIOS-сервера (DHCP опция 44) (не обязательно).

esr(config-dhcp-server)# netbios-name-server <ADDR>

<ADDR> – IP-адрес NetBIOS-сервера задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Можно задать до 4 IP-адресов.

15

Задать IP-адрес tftp-сервера (DHCPOption 150) (не обязательно).

esr(config-dhcp-server)# tftp-server <ADDR>

<ADDR> – IP-адрес DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

1

Перейти в режим настройки сервиса трансляции адресов получателя.

esr(config)# nat destination

2

Cоздать пул IP-адресов и/или TCP/UDP-портов с определённым именем (не обязательно).

esr(config-dnat)# pool <NAME>

<NAME> – имя пула NAT-адресов, задаётся строкой до 31 символа.

3

Установить внутренний IP-адрес, на который будет заменяться IP-адрес получателя.

esr(config-dnat-pool)# ip address <ADDR>

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

4

Установить внутренний TCP/UDP порт, на который будет заменяться TCP/UDP порт получателя.

esr(config-dnat-pool)# ip port <PORT>

<PORT> – TCP/UDP порт, принимает значения [1..65535].

5

Создать группу правил с определённым именем.

esr(config-dnat)# ruleset <NAME>

<NAME> – имя группы правил, задаётся строкой до 31 символа.

6

Указать экземпляр VRF, в котором будет работать данная группа правил (не обязательно).

esr(config-dnat-ruleset)# ip vrf forwarding <VRF>

<VRF> – имя VRF, задается строкой до 31 символа.

7

Задать область применения группы правил. Правила будут применяться только для трафика, идущего из определенной зоны или интерфейса.

esr(config-dnat-ruleset)# from { zone <NAME> | interface <IF> | tunnel <TUN> | default }

<NAME> – имя зоны изоляции;

<IF> – имя интерфейса устройства;

<TUN> – имя туннеля устройства;

default – обозначает группу правил для всего трафика, источник которого не попал под критерии других групп правил.

8

Задать правило c определённым номером. Правила обрабатываются в порядке возрастания.

esr(config-dnat-ruleset)# rule <ORDER>

<ORDER> – номер правила, принимает значения [1..10000].

9

Задать профиль IP-адресов {отправителя | получателя}, для которых должно срабатывать правило.

esr(config-dnat-rule)# match [not] ¹  {source | destination}-address <OBJ-GROUP-NETWORK-NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

Значение «any» указывает на любой IP-адрес отправителя.

10

Задать профиль сервисов (tcp/udp-портов) {отправителя | получателя}, для которых должно срабатывать правило (не обязательно).

esr(config-dnat-rule)# match [not] ¹  {source | destination}-port <PORT-SET-NAME>

<PORT-SET-NAME> – имя профиля порта, задаётся строкой до 31 символа. Значение «any» указывает на любой TCP/UDP-порт отправителя.

<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre. Значение «any» указывает на любой тип протокола.

<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].

<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255].

<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. Значение «any» указывает на любой код сообщения.

<TYPE-NAME> – имя типа ICMP сообщения.

off – трансляция отключена;

pool <NAME> – имя пула, содержащего набор IP-адресов и/или TCP/UDP портов;

netmap <ADDR/LEN> – IP-адрес и маска подсети, используемые при трансляции. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

1

Cоздать объект с URL

esr(config)# object-group url <NAME>

2

Указать набор

esr(config-object-group-url)# url <URL>

<URL> – адрес веб страницы, сайта.

3

Создать профиль проксирования

esr(config)# ip http profile <NAME>

<NAME> – название профиля.

4

Выбрать действие по умолчанию

esr(config-profile)# default action {deny|permit|redirect} [redirect-url <URL>]

<URL> – адрес хоста, на который будут передаваться запросы.

5

Указать описание (не обязательно)

esr(config-profile)# description <description>

<description> – до 255 символов.

6

Указать удаленный или локальный список URL и тип операции (блокировка/ пропуск трафика/ перенаправление) (не обязательно)

esr(config-profile)# urls {local|remote} <URL_OBJ_GROUP_NAME> action {deny|permit|redirect} [redirect-url <URL>]

<URL_OBJ_GROUP_NAME> – указать название объекта, содержащего набор URL.

7

Указать удаленный сервер, где лежат необходимые списки URL (не обязательно)

esr(config)# ip http proxy server-url <URL> 

<URL> – адрес сервера, откуда будут брать удалённые списки url.

8

Указать прослушиваемый порт для проксирования (не обязательно)

esr(config)# ip http proxy listen-ports <OBJ_GROUP_NAME>

<OBJ_GROUP_NAME> – имя профиля порта, задаётся строкой до 31 символа.

9

Указать прослушиваемый порт для проксирования (не обязательно)

esr(config)# ip https proxy listen-ports <OBJ_GROUP_NAME>

<OBJ_GROUP_NAME> – имя профиля порта, задаётся строкой до 31 символа.

10

Включить проксирование на интерфейсе на основе выбранного HTTP-профиля

esr(config-if)# ip http proxy <PROFILE_NAME>

<PROFILE_NAME> – название профиля

11

Включить проксирование на интерфейсе на основе выбранного HTTPS-профиля

esr(config-if)# ip https proxy <PROFILE_NAME>     

<PROFILE_NAME> – название профиля

12

Создать списки сервисов, которые будут использоваться при фильтрации.

esr(config)# object-group service <obj-group-name>

<obj-group-name> – имя профиля сервисов, задается строкой до 31 символа.

13

Задать описание списка сервисов (не обязательно).

esr(config-object-group-service)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

14

Внести необходимые сервисы (tcp/udp порты) в список.

esr(config-object-group-service)# port-range 3129-3134

Прокси-сервер ESR использует для своей работы порты 3129, 3130, 3133 и 3134. 

15

Создать набор правил межзонового взаимодействия.

esr(config)# security zone-pair <src-zone-name1> self

<src-zone-name> – зона безопасности, в которой находятся интерфейсы с функцией ip http proxy или ip https proxy.

self – предопределенная зона безопасности для трафика, поступающего на сам ESR.

16

Создать правило межзонового взаимодействия.

esr(config-zone-pair)# rule <rule-number>

<rule-number> – 1..10000.

17

Задать описание правила (не обязательно).

esr(config-zone-rule)# description <description>

<description> – до 255 символов.

18

Указать действие данного правила.

esr(config-zone-rule)# action <action> [ log ]

<action> – permit

log – ключ для активации логирования сессий, которые устанавливаются согласно данному правилу.

19

Установить имя IP-протокола, для которого должно срабатывать правило

esr(config-zone-rule)# match   protocol <protocol-type>

<protocol-type> – tcp

Прокси-сервер ESR работает по протоколу ESR.

20

Установить профиль TCP/UDP-портов получателя, для которых должно срабатывать правило (если указан протокол).

esr(config-zone-rule)# match [not]¹ destination-port <obj-group-name>

<obj-group-name> – имя профиля сервисов, созданного на шаге №12

21

Включить правило межзонового взаимодействия.

esr(config-zone-rule)# enable

1

Включить защиту от ICMP flood атак.

esr(config)# ip firewall screen dos-defense icmp-threshold { <NUM> }

<NUM> – количество ICMP-пакетов в секунду задается в диапазоне [1..10000].

2

Включить защиту от land атак.

esr(config)# firewall screen dos-defense land

3

Включить ограничение количества одновременных сессий на основании адреса назначения.

esr(config)# ip firewall screen dos-defense limit-session-destination { <NUM> }

<NUM> – ограничение количества
IP-сессий задается в диапазоне [1..10000].

4

Включить ограничение количества одновременных сессий на основании адреса источника, которое смягчает DoS-атаки.

esr(config)# ip firewall screen dos-defense limit-session-source { <NUM> }

<NUM> – ограничение количества
IP-сессий задается в диапазоне [1..10000].

5

Включить защиту от SYN flood атак.

esr(config)# ip firewall screen dos-defense syn-flood { <NUM> } [src-dsr]

<NUM> – максимальное количество TCP пакетов с установленным флагом SYN в секунду задается в диапазоне [1..10000].

src-dst – ограничение количества TCP пакетов с установленным флагом SYN на основании адреса источника и адреса назначения.

6

Включить защиту от UDP flood атак.

esr(config)# ip firewall screen dos-defense udp-threshold { <NUM> }

<NUM> – максимальное количество UDP пакетов в секунду задается в диапазоне [1..10000].

7

Включить защиту от winnuke-атак.

esr(config)# ip firewall screen dos-defense winnuke

8

Включить блокировку TCP-пакетов с установленным флагом FIN и не установленным флагом ACK.

esr(config)# ip firewall screen spy-blocking fin-no-ack

9

Включить блокировку ICMP-пакетов различных типов.

esr(config)# ip firewall screen spy-blocking icmp-type

<TYPE> – тип ICMP, может принимать значения:

• destination-unreachable
• echo-request
• reserved
• source-quench
• time-exceeded

10

Включить защиту от IP-sweep атак.

esr(config)# ip firewall screen spy-blocking ip-sweep { <NUM> }

<NUM> – интервал выявления ip sweep атаки, задается в миллисекундах [1..1000000].

11

Включить защиту от port scan атак.

esr(config)# ip firewall screen spy-blocking port-scan { <threshold> } [ <TIME> ]

<threshold> – интервал в миллисекундах, в течении которого будет фиксироваться port scan атака [1..1000000].

<TIME> – время блокировки в миллисекундах [1..1000000].

12

Включить защиту от IP spoofing атак.

esr(config)# ip firewall screen spy-blocking spoofing

13

Включить блокировку TCP-пакетов, с установленными флагами SYN и FIN.

esr(config)# ip firewall screen spy-blocking syn-fin

14

Включить блокировку TCP-пакетов, со всеми флагами или с набором флагов: FIN, PSH, URG. Данной командой обеспечивается защита от атаки XMAS.

esr(config)# ip firewall screen spy-blocking tcp-all-flag

15

Включить блокировку TCP-пакетов, с нулевым полем flags.

esr(config)# ip firewall screen spy-blocking tcp-no-flag

16

Включить блокировку фрагментированных
ICMP-пакетов.

esr(config)# ip firewall screen suspicious-packets icmp-fragment

17

Включить блокировку фрагментированных IP пакетов.

esr(config)# ip firewall screen suspicious-packets ip-fragment

18

Включить блокировку ICMP-пакетов длиной более 1024 байт.

esr(config)# ip firewall screen suspicious-packets icmp-fragment

19

Включить блокировку фрагментированных TCP-пакетов, с флагом SYN.

esr(config)# ip firewall screen suspicious-packets syn-fragment

20

Включить блокировку фрагментированных UDP-пакетов.

esr(config)# ip firewall screen suspicious-packets udp-fragment

21

Включить блокировку пакетов, с ID протокола в заголовке IP равном 137 и более.

esr(config)# ip firewall screen suspicious-packets unknown-protocols

22

Установить частоту оповещения (по SNMP, syslog и в CLI) об обнаруженных и отраженных сетевых атаках.

esr(config)# ip firewall logging interval <NUM>

<NUM> – интервал времени в секундах [30 .. 2147483647]

23

Включить более детальный вывод сообщений по обнаруженным и отраженным сетевым атакам в CLI.

esr(config)# logging firewall screen detailed

24

Включить механизм обнаружения и логирования DoS атак через CLI, syslog и по SNMP.

esr(config)# logging firewall screen dos-defense <ATACK_TYPE>

<ATACK_TYPE> – тип DoS атаки, принимает значения: icmp-threshold, land, limit-session-destination, limit-session-source, syn-flood, udp-threshold, winnuke.

25

Включить механизм обнаружения и логирования шпионской активности через CLI, syslog и по SNMP

esr(config)# logging firewall screen spy-blocking { <ATACK_TYPE> | icmp-type <ICMP_TYPE> }

<ATACK_TYPE> – тип шпионской активности, принимает значения: fin-no-ack, ip-sweep, port-scan, spoofing, syn-fin, tcp-all-flag, tcp-no-flag.

<ICMP_TYPE> – тип ICMP, принимает значения: destination-unreachable, echo-request, reserved, source-quench, time-exceeded.

26

Включить механизм обнаружения нестандартных пакетов и логирования через CLI, syslog и по SNMP

esr(config)# logging firewall screen suspicious-packets <PACKET_TYPE>

< PACKET_TYPE> – тип нестандартных пакетов, принимает значения: icmp-fragment, ip-fragment, large-icmp, syn-fragment, udp-fragment, unknown-protocols.

esr(config)# security zone <zone-name1>

esr(config)# security zone <zone-name2>

6

Выбрать режима работы межсетевого экрана (не обязательно)

esr(config)# ip firewall mode <MODE>

<MODE> – режим работы межсетевого экрана, может принимать значения: stateful, stateless.

Значение по умолчанию: stateful

7

Определить время жизни сессии для неподдерживаемых протоколов (не обязательно).

esr(config)# ip firewall sessions generic-timeout <TIME>

<TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600].

По умолчанию: 60 секунд.

8

Определить время жизни ICMP-сессии, по истечении которого она считается устаревшей (не обязательно).

esr(config)# ip firewall sessions icmp-timeout <TIME>

<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].

По умолчанию: 30 секунд.

9

Определить время жизни ICMPv6-сессии, по истечении которого она считается устаревшей (не обязательно).

esr(config)# ip firewall sessions icmpv6-timeout <TIME>

<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].

По умолчанию: 30 секунд.

10

Определить размер таблицы сессий ожидающих обработки (не обязательно).

esr(config)# ip firewall sessions max-expect <COUNT>

<COUNT> – размер таблицы, принимает значения [1..8553600].

По умолчанию: 256.

11

Определить размер таблицы отслеживаемых сессий (не обязательно).

esr(config)# ip firewall sessions max-tracking <COUNT>

<COUNT> – размер таблицы, принимает значения [1..8553600].
По умолчанию: 512000.

12

Определить время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей (не обязательно).

esr(config)# ip firewall sessions tcp-connect-timeout <TIME>

<TIME> – время жизни TCP-сессии в состоянии "соединение устанавливается", принимает значения в секундах [1..8553600].

По умолчанию: 60 секунд.

13

Определить время жизни TCP-сессии в состоянии "соединение закрывается", по истечении которого она считается устаревшей (не обязательно).

esr(config)# ip firewall sessions tcp-disconnect-timeout <TIME>

<TIME> – время жизни TCP-сессии в состоянии "соединение закрывается", принимает значения в секундах [1..8553600].
По умолчанию: 30 секунд.

14

Определить время жизни TCP-сессии в состоянии "соединение установлено", по истечении которого она считается устаревшей (не обязательно).

esr(config)# ip firewall sessions tcp-established-timeout <TIME>

<TIME> – время жизни TCP-сессии в состоянии "соединение установлено", принимает значения в секундах [1..8553600].

По умолчанию: 120 секунд.

15

Определить время ожидания, по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий (не обязательно).

esr(config)# ip firewall sessions tcp-latecome-timeout <TIME>

<TIME> – время ожидания, принимает значения в секундах [1..8553600].

По умолчанию: 120 секунд.

16

Включить функцию отслеживания сессий уровня приложений для отдельных протоколов (не обязательно).

esr(config)# ip firewall sessions tracking e;

<PROTOCOL> – протокол уровня приложений [ftp, h323, pptp, netbios-ns, tftp], сессии которого должны отслеживаться.

<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sip сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет осуществляться для порта 5060.

Вместо имени отдельного протокола можно использовать ключ "all", который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов.

По умолчанию – отключено для всех протоколов.

17

Определить время жизни UDP-сессии в состоянии "соединение подтверждено", по истечении которого она считается устаревшей (не обязательно).

esr(config)# ip firewall sessions udp-assured-timeout <TIME>

<TIME> – время жизни UDP-сессии в состоянии "соединение подтверждено", принимает значения в секундах [1..8553600].

По умолчанию: 180 секунд.

18

Определить время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей.

esr(config)# ip firewall sessions udp-wait-timeout <TIME>

<TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600].

По умолчанию: 30 секунд.

19

Создать списки IP-адресов, которые будут использоваться при фильтрации.

esr(config)# object-group network <obj-group-name>

<obj-group-name> – до 31 символа.

20

Задать описание списка IP- адресов (не обязательно).

esr(config-object-group-network)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

21

Внести необходимые IPv4/IPv6- адреса в список.

esr(config-object-group-network)# ip prefix <ADDR/LEN>

<ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

esr(config-object-group-network)# ip address-range <FROM-ADDR>-<TO-ADDR>

<FROM-ADDR> – начальный IP-адрес диапазона адресов;

<TO-ADDR> – конечный IP-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IP-адрес.

Адреса задаются в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

esr(config-object-group-network)# ipv6 prefix <IPV6-ADDR/LEN>

<IPV6-ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].

esr(config-object-group-network)# ipv6 address-range <FROM-ADDR>-<TO-ADDR>

<FROM-ADDR> – начальный IPv6-адрес диапазона адресов;

<TO-ADDR> – конечный IPv6-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IPv6-адрес.

Адреса задаются в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

22

Создать списки сервисов, которые будут использоваться при фильтрации.

esr(config)# object-group service <obj-group-name>

<obj-group-name> – имя профиля сервисов, задается строкой до 31 символа.

23

Задать описание списка сервисов (не обязательно).

esr(config-object-group-service)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

24

Внести необходимые сервисы (tcp/udp порты) в список.

esr(config-object-group-service)# port-range <port>

<port> – принимает значение [1..65535].

Можно указать несколько портов перечислением через запятую «,» либо указать диапазон портов через «-».

25

Создать списки приложений, которые будут использоваться в механизме DPI.

esr(config)# object-group application <NAME>

<NAME> – имя профиля приложений, задается строкой до 31 символа.

26

Задать описание списка приложений (не обязательно).

esr(config-object-group-application)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

27

Внести необходимые приложения в списки.

esr(config-object-group-application)# application < APPLICATION >

< APPLICATION > – указывает приложение подпадающее под действие данного профиля

28

Включить интерфейсы (физические, логические, E1/Multilink и подключаемые), сервер удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) в зоны безопасности (если необходимо).

esr(config-if-gi)# security-zone <zone-name>

<zone-name> – до 12 символов.

Отключить функции Firewall на сетевом интерфейсе (физические, логические, E1/Multilink и подключаемые), сервере удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) (если необходимо)

esr(config-if-gi)# ip firewall disable

29

Создать набор правил межзонового взаимодействия.

esr(config)# security zone-pair <src-zone-name1> <dst-zone-name2>

<src-zone-name> – до 12 символов.

<dst-zone-name> – до 12 символов.

30

Создать правило межзонового взаимодействия.

esr(config-zone-pair)# rule <rule-number>

<rule-number> – 1..10000.

31

Задать описание правила (не обязательно).

esr(config-zone-rule)# description <description>

<description> – до 255 символов.

32

Указать действие данного правила.

esr(config-zone-rule)# action <action> [ log ]

<action> – permit/deny/reject/netflow-sample/sflow-sample

log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу.

33

Установить имя или номер IP-протокола, для которого должно срабатывать правило (не обязательно).

esr(config-zone-rule)# match [not] ¹ protocol <protocol-type>

<protocol-type> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.

При указании значения «any» правило будет срабатывать для любых протоколов.

esr(config-zone-rule)# match [not] ¹  protocol-id <protocol-id>

<protocol-id> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].

34

Установить профиль IP-адресов отправителя, для которых должно срабатывать правило (не обязательно).

esr(config-zone-rule)# match [not] ¹ source-address <OBJ-GROUP-NETWORK-NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя/получателя.

35

Установить профиль IP-адресов получателя, для которых должно срабатывать правило (не обязательно).

esr(config-zone-rule)# match [not] ¹  destination-address <OBJ-GROUP-NETWORK-NAME>

36

Установить MAC-адрес отправителя, для которого должно срабатывать правило (не обязательно).

esr(config-zone-rule)# match [not] ¹ source-mac <mac-addr>

<mac-addr> – задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

37

Установить MAC-адрес получателя, для которого должно срабатывать правило (не обязательно).

esr(config-zone-rule)# match [not] ¹ 

destination-mac <mac-addr>

38

Установить профиль TCP/UDP-портов отправителя, для которых должно срабатывать правило (если указан протокол).

esr(config-zone-rule)# match [not] ¹

source-port <PORT-SET-NAME>

<PORT-SET-NAME> – задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя/получателя.

39

Установить профиль TCP/UDP-портов получателя, для которых должно срабатывать правило (если указан протокол).

esr(config-zone-rule)# match [not] ¹ destination-port <PORT-SET-NAME>

40

Установить тип и код сообщений протокола ICMP, для которых должно срабатывать правило (если в качестве протокола выбран ICMP) (не обязательно).

esr(config-zone-rule)# match [not] ¹ icmp <ICMP_TYPE> <ICMP_CODE>

<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255];

<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP.

41

Установить ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя.

esr(config-zone-rule)# match [not] ¹  destination-nat

42

Установить максимальную скорость прохождения пакетов (не обязательно, доступно только для zone-pair any self и zone-pair <zone-name> any).

esr(config-zone-pair-rule)# rate-limit pps <rate-pps>

<rate-pps> – максимальное количество пакетов, которое может быть передано. Принимает значения [1..10000].

43

Установить фильтрацию только для фрагментированных IP-пакетов (не обязательно, доступно только для zone-pair any self и zone-pair <zone-name> any).

esr(config-zone-pair-rule)# match [not] ¹ fragment

44

Установить фильтрацию для IP-пакетов, содержащих ip-option (не обязательно, доступно только для zone-pair any self и zone-pair <zone-name> any).

esr(config-zone-pair-rule)# match [not] ¹ ip-option

45

Включить правило межзонового взаимодействия.

esr(config-zone-rule)# enable

46

Активировать фильтрацию и режим отслеживания сессий при прохождении пакетов между участниками одной Bridge-группы (не обязательно, доступно только на ESR-1000/1200/1500/1510/1700)

esr(config-bridge)# ports firewall enable

Создать правило и перейти в режим его конфигурирования.

Правила обрабатываются маршрутизатором в порядке возрастания их номеров.

<ACT> – назначаемое действие:

• permit – прохождение трафика разрешается;
• deny – прохождение трафика запрещается.

6

Установить IP-адреса отправителя, для которых должно срабатывать правило (не обязательно).

esr(config-acl-rule)# match source-address { <ADDR> <MASK> | any }

<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<MASK> – маска IP-адреса, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске.

При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя/получателя.

7

Установить IP-адреса получателя, для которых должно срабатывать правило (не обязательно).

esr(config-acl-rule)# match destination-address { <ADDR> <MASK> | any }

8

Установить MAC-адреса отправителя, для которых должно срабатывать правило (не обязательно).

esr(config-acl-rule)# match source-mac <ADDR><WILDCARD>

<ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];

<WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.

9

Установить MAC-адреса получателя, для которых должно срабатывать правило (не обязательно).

esr(config-acl-rule)# match destination-mac <ADDR><WILDCARD>

10

Установить номер TCP/UDP-порта отправителя, для которого должно срабатывать правило (если указан протокол).

esr(config-acl-rule)# match source-port { <PORT> | any }

<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.

11

Установить номер TCP/UDP-порта получателя, для которого должно срабатывать правило (если указан протокол).

esr(config-acl-rule)# match destination-port { <PORT> | any }

12

Установить значение 802.1p приоритета, для которого должно срабатывать правило (не обязательно).

esr(config-acl-rule)# match с os <COS>

<COS> – значение 802.1p приоритета, принимает значения [0..7].

13

Установить значение кода DSCP, для которого должно срабатывать правило (не обязательно). Невозможно использовать совместно с IP Precedence.

esr(config-acl-rule)# match dscp <DSCP>

<DSCP> – значение кода DSCP, принимает значения [0..63].

14

Установить значение кода IP Precedence, для которого должно срабатывать правило (не обязательно). Невозможно использовать совместно с DSCP.

esr(config-acl-rule)# match ip-precedence <IPP>

<IPP> – значение кода IP Precedence, принимает значения [0..7].

15

Установить значение идентификационного номера VLAN, для которого должно срабатывать правило (не обязательно).

esr(config-acl-rule)# match vlan <VID>

<VID> – идентификационный номер VLAN, принимает значения [1..4094].

16

Активировать правило.

esr(config-acl-rule)# enable

17

Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика.

esr(config-if-gi)# service-acl input <NAME>

<NAME> – имя списка контроля доступа, задаётся строкой до 31 символа.

1

Перевести физический интерфейс в режим коммутации

esr(config-if-gi)# mode switchport

2

Задать режим работы интерфейса e1

esr(config-if-gi)# switchport mode e1

3

Задать источник синхронизации

esr(config-if-gi)# switchport e1 clock source <SOURCE>

<SOURCE> – источник синхронизации:

• Internal (по умолчанию) – синхронизироваться с внутренним источником;
• line – синхронизироваться с линейным сигналом.

4

Указать размер MTU (Maximum Transmition Unit) для физических интерфейсов

esr(config-if-gi)# mtu <MTU>

<MTU> – значение MTU, для E1 и Multilink интерфейсов принимает значения в диапазоне [128..1500].

5

Задать хэш-алгоритм проверки кадра (не обязательно)

esr(config-if-gi)# switchport e1 crc <FCS>

<FCS> – последовательность проверки кадра:

• 16 (по умолчанию) – FCS16;
• 32 – FCS32.

6

Задать проверку на наличие ошибок при передаче (не обязательно)

esr(config-if-gi)# switchport e1 framing <CRC>

<CRC> – проверка циклической избыточности:

• crc-4 – использовать алгоритм CRC-4;
• no-crc4 (по умолчанию) – не использовать проверку.

7

Задать инвертацию передаваемых бит (не обязательно)

esr(config-if-gi)# switchport e1 invert data

8

Задать тип линейного кодирования (не обязательно)

esr(config-if-gi)# switchport e1 linecode <CODE>

<CODE> – тип линейного кодирования;

• ami – чередующейся полярностью импульсов;
• hdb3 (по умолчанию) – двухполярный код высокой плотности порядка 3.

9

Задать количество тайм слотов

esr(config-if-gi)# switchport e1 timeslots <RANGE>

<RANGE> – количество тайм-слотов

10

Использовать Е1 как единую сущность, без таймслотов (не обязательно)

esr(config-if-gi)# switchport e1 unframed

11

Конфигурируем E1

esr(config)# interface e1 1/<SLOT>/1

<SLOT> – номер слота.

12

Включаем CHAP-аутентификацию для PPP (не обязательно)

esr(config-e1)# ppp authentication chap

13

Задается имя маршрутизатора, которое отправляется удаленной стороне для прохождения CHAP-аутентификации (не обязательно)

esr(config-e1)# ppp chap hostname <NAME>

<NAME> – имя маршрутизатора

14

Задать пароль для аутентификации (не обязательно)

esr(config-e1)# ppp chap password ascii-text <CLEAR-TEXT>

<CLEAR-TEXT> – пароль в открытой форме, задаётся строкой [1 .. 64] символов, может включать символы [0-9a-fA-F]

15

Включить игнорирование аутентификации (не обязательно)

esr(config-e1)# ppp chap refuse

16

Задать имя пользователя для аутентификации (не обязательно)

esr(config-e1)# ppp chap username <NAME>

<NAME> – имя пользователя

17

Разрешается принимать от соседа любой ненулевой IP-адрес в качестве локального IP-адреса (не обязательно)

esr(config-e1)# ppp ipcp accept-address

18

Задать IP-адрес, который отправляется удаленной стороне для последующего его присвоения (не обязательно)

esr(config-e1)# ppp ipcp remote-address <ADDR>

<ADDR> – IP-адрес удаленного шлюза

19

Задать количество попыток отправки Configure-Request пакетов, прежде чем удаленный пир будет признан неспособным ответить (не обязательно) 

esr(config-e1)# ppp max-configure <VALUE>

<VALUE> – количество попыток

20

Задать количество попыток отправки Configure-NAK пакетов, прежде чем будут подтверждены все опции (не обязательно)

esr(config-e1)# ppp max-failure <VALUE>

<VALUE> – количество попыток

21

Задать количество попыток отправки Terminate-Request пакетов, прежде чем сессия будет прервана (не обязательно)

esr(config-e1)# ppp max-terminate <VALUE>

<VALUE> – количество попыток

22

Задать размер MRU (Maximum Receive Unit) для интерфейса (не обязательно)

esr(config-e1)# ppp mru <MRU>

<MRU> – значение MRU

23

Включение режима MLPPP (не обязательно)

esr(config-e1)# ppp multilink

24

Добавить в MLPPP группу (не обязательно)

esr(config-e1)# ppp multilink-group <GROUP-ID>

<GROUP-ID> – номер группы

25

Задается интервал времени в секундах, по истечении которого маршрутизатор отправляет keepalive-сообщение (не обязательно)

esr(config-e1)# ppp timeout keepalive <TIME>

<TIME> – время в секундах

26

Задается интервал, по истечении которого маршрутизатор повторяет запрос на установление сессии (не обязательно)

esr(config-e1)# ppp timeout retry <TIME>

<TIME> – время в секундах

<TIME> – интервал в секундах, принимает значения [5..150].

Значение по умолчанию: 5.

<MTU> – значение MTU, принимает значения в диапазоне [1280..1500].

Значение по умолчанию: 1500.

<CLEAR-TEXT> – пароль в открытой форме, задаётся строкой [8 .. 64] символов, может включать символы [0-9a-fA-F].

<ENCRYPTED-TEXT> – пароль в зашифрованной форме, задаётся строкой [16..128] символов.

<CLEAR-TEXT> – пароль в открытой форме, задаётся строкой [8 .. 64] символов, может включать символы [0-9a-fA-F].

<ENCRYPTED-TEXT> – пароль в зашифрованной форме, задаётся строкой [16..128] символов.

<VALUE> – время в секундах, принимает значения [1..255].

Значение по умолчанию: 10.

<VALUE> – время в секундах, принимает значения [1..255].

Значение по умолчанию: 2.

<MRU> – значение MRU, принимает значения в диапазоне [128..1485].

Значение по умолчанию: 1500.

<TIME> – время в секундах, принимает значения [1..32767].

Значение по умолчанию: 10.

<TIME> – время в секундах, принимает значения [1..255].

Значение по умолчанию: 3.

esr(config-multilink)# mrru <MRRU>

<GROUP-ID> – идентификатор группы, принимает значение [1..4].

<BRIDGE-ID> – идентификационный номер моста, принимает значения в диапазоне:

• для ESR-10/12V(F)/14VF – [1..50];
• для ESR-20/21/100/200 – [1..250];
• для ESR-1000/1200/1500/1510/1700 – [1..500].

2

Активировать сетевой мост.

esr ( config - bridge )# enable

3

Указать экземпляр VRF, в котором будет работать данный интерфейс (не обязательно).

esr(config- bridge )# ip vrf forwarding <VRF>

<VRF> – имя VRF, задается строкой до 31 символа.

4

Назначить описание конфигурируемому сетевому мосту (не обязательно).

esr(config-bridge)# description <DESCRIPTION>

<DESCRIPTION> – описание сетевого моста, задаётся строкой до 255 символов.

5

Указать размер MTU (Maximum Transmition Unit) пакетов, которые может пропускать данный bridge (не обязательно; возможно, если в bridge включен только VLAN).
MTU более 1500 будет активно только в случае применения команды "system jumbo-frames"

esr(config-bridge)# mtu <MTU>

<MTU> – значение MTU, принимает значения в диапазоне:

• для ESR-10/12V(F)/14VF – [552..9600];
• для ESR-20/21 – [552..9500];
• для ESR-100/200/1000/1200/1500/1510/1700 – [552..10000].

Значение по умолчанию: 1500

6

Задать интервал времени, за который усредняется статистика о нагрузке на bridge (не обязательно)

esr(config-bridge)# load-average <TIME>

<TIME> – интервал в секундах, принимает значения [5..150].

Значение по умолчанию: 5

7

Связать текущий сетевой мост с VLAN. Все интерфейсы и L2-туннели, являющиеся членами назначаемого VLAN, автоматически включаются в сетевой мост и становятся участниками общего L2 домена (не обязательно)

esr(config-bridge)# vlan <VID>

<VID> – идентификатор VLAN, задаётся в диапазоне [1..4094].

8

Задать MAC-адрес сетевого моста, отличный от системного (не обязательно).

esr(config-bridge)# mac-address <ADDR>

<ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

9

Связать саб-интерфейс, qinq-интерфейс, L2GRE туннель или L2TPv3 туннель с сетевым мостом. Связанные интерфейсы/туннели и сетевые мосты автоматически становятся участниками общего L2 домена (не обязательно).

esr(config-if-gi)# bridge-group <BRIDGE-ID>

esr(config-if-l2tpv3)# bridge-group <BRIDGE-ID>

<BRIDGE-ID> – идентификационный номер моста, принимает значения в диапазоне:

• для ESR-10/12V(F)/14VF – [1..50];
• для ESR-20/21/100/200 – [1..250];
• для ESR-1000/1200/1500/1510/1700 – [1..500].

10

Включить на bridge режим изоляции интерфейсов.
В данном режиме обмен трафиком между членами сетевого моста запрещен. (не обязательно; применимо только на ESR-1000/1200/1500/1510/1700)

esr(config-bridge)# protected-ports [ exclude vlan ]

exclude vlan – при указании данного ключа, VLAN (связанный с bridge) исключается из списка изолируемых интерфейсов.

11

Запретить коммутацию unknown-unicast трафика (когда MAC-адрес назначения не содержится в таблице коммутации) в данном bridge. (не обязательно; применимо только на ESR-1000/1200/1500/1510/1700)

esr(config-bridge)# unknown-unicast-forwarding disable

12

Установить время жизни IPv4/IPv6-записей в ARP-таблице, изученных на данном bridge (не обязательно).

esr(config- bridge)# ip arp reachable-time <TIME>

или

ipv6 nd reachable-time <TIME>

<TIME> – время жизни динамических MAC-адресов, в миллисекундах. Допустимые значения от 5000 до 100000000 миллисекунд. Реальное время обновления записи варьируется от [0,5;1,5]*<TIME>.

<VALUE> – приоритетность протокола, принимает значения в диапазоне [1..255].

Значение по умолчанию: RIP (100).

<VALUE> – количество маршрутов протокола RIP в маршрутной таблице, принимает значения в диапазоне [1..10000];
Значение по умолчанию:

10000.

3

Создать списки IP-подсетей, которые в дальнейшем будут использоваться для фильтрации анонсируемых и получаемых IP-маршрутов.

esr(config)# ip prefix-list <NAME>

<NAME> – имя конфигурируемого списка подсетей, задаётся строкой до 31 символа.

4

Разрешить (permit) или запретить (deny) списки префиксов.

esr(config-pl)# permit {object-group <OBJ-GROUP-NETWORK-NAME> [ { eq <LEN> | le <LEN> | ge <LEN> [ le <LEN> ] } ]|default-route}

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP -адресов, задаётся строкой до 31 символа;

<LEN> – длина префикса, принимает значения [1..32] в IP-списках префиксов;

• eq – при указании команды длина префикса должна соответствовать указанной;
• le – при указании команды длина префикса должна быть меньше либо соответствовать указанной;
• ge – при указании команды длина префикса должна быть больше либо соответствовать указанной;
• default - route – фильтрация маршрута по умолчанию.

esr(config-pl)# deny {object-group <OBJ-GROUP-NETWORK-NAME> [ { eq <LEN> | le <LEN> | ge <LEN> [ le <LEN> ] } ] | default-route}

5

Перейти в режим настройки параметров RIP-процесса.

esr(config)# router rip

esr(config-rip)#

6

Включить RIP-протокол.

esr(config-rip)# enable

7

Определить алгоритм аутентификации протокола RIP (не обязательно).

esr(config-rip)# authentication algorithm { cleartext | md5 }

• cleartext – пароль, передается открытым текстом;
• md5 – пароль хешируется по алгоритму md5.

8

Установить пароль для аутентификации с соседом (не обязательно).

esr(config-rip)# authentication key ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

<CLEAR-TEXT> – пароль, задаётся строкой от 8 до 16 символов;

<ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...).

9

Определить список паролей для аутентификации через алгоритм хеширования md5 (не обязательно).

esr(config-rip)# authentication key-chain <KEYCHAIN>

<KEYCHAIN> – идентификатор списка ключей, задаётся строкой до 16 символов.

10

Выключить анонсирование маршрутов на интерфейсах/туннелях/bridge, где это не нужно (не обязательно).

esr(config-rip)# passive-interface {<IF> | <TUN> }

<IF> – интерфейс и идентификатор;

<TUN> – имя и номер туннеля.

11

Установить временной интервал, по истечении которого производится анонсирование (не обязательно).

esr(config-rip)# timers update <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 180 секунд.

12

Установить временной интервал корректности маршрутной записи без обновления (не обязательно).

esr(config-rip)# timers invalid <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 180 секунд.

13

Установить временной интервал, по истечении которого производиться удаление маршрута (не обязательно).

esr(config-rip)# timers flush <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

При установке значения нужно учитывать следующее правило: «timersinvalid + 60»

Значение по умолчанию: 240 секунд.

14

Включить анонсирование подсетей.

esr(config-rip)# network <ADDR/LEN>

<ADDR/LEN> – адрес подсети, указывается в следующем формате:

AAA.BBB.CCC.DDD/EE – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255] и EE принимает значения [1..32].

15

Добавить фильтрацию подсетей во входящих или исходящих обновлениях (не обязательно).

esr(config-rip)# prefix-list <PREFIX-LIST-NAME> { in | out }

<PREFIX-LIST-NAME> – имя сконфигурированного списка подсетей, задаётся строкой до 31 символа.

• in – фильтрация входящих маршрутов;
• out – фильтрация анонсируемых маршрутов.

16

Включить анонсирование маршрутов, полученных альтернативным способом (не обязательно).

esr(config-rip)# redistribute static [ route-map <NAME> ]

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых статических маршрутов, задаётся строкой до 31 символа.

esr(config-rip)# redistribute connected [ route-map <NAME> ]

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых напрямую подключенных подсетей, задаётся строкой до 31 символа.

esr(config-rip)# redistribute ospf <ID><ROUTE-TYPE> [ route-map <NAME> ]

<ID> – номер процесса, может принимать значение [1..65535];

<ROUTE-TYPE> – тип маршрута:

• intra - area – анонсирование маршрутов OSPF-процесса в пределах зоны;
• inter - area – анонсирование маршрутов OSPF-процесса между зонами;
• external 1 – анонсирование внешних маршрутов OSPF-формата 1;
• external 2 – анонсирование внешних маршрутов OSPF-формата 2;

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых OSPF-маршрутов, задаётся строкой до 31 символа.

esr(config-rip)# redistribute bgp <AS> [ route-map <NAME> ]

<AS> – номер автономной системы, может принимать значения [1..4294967295];

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых BGP-маршрутов, задаётся строкой до 31 символа.

17

Перейти в режим конфигурирования интерфейса/туннеля/ сетевого моста.

esr(config)# interface <IF-TYPE><IF-NUM>

<IF-TYPE> тип интерфейса;

<IF-NUM> – F/S/P – F-фрейм (1), S – слот (0), P – порт.

esr(config)# tunnel <TUN-TYPE><TUN-NUM>

<TUN-TYPE> тип туннеля;

<TUN-NUM> номер туннеля.

esr(config)# bridge <BR-NUM>

<BR-NUM> – номер bridge.

18

Установить величину метрики RIP-маршрутов на интерфейсе (не обязательно).

esr(config-if-gi)# ip rip metric <VALUE>

<VALUE> – величина метрики, задаётся в размере [0..32767].

Значение по умолчанию: 5.

19

Установить режим анонсирования маршрутов по протоколу RIP (не обязательно).

esr(config-if-gi)# ip rip mode <MODE>

<MODE> – режим анонсирования маршрутов:

• multicast – маршруты анонсируются в многоадресном режиме;
• broadcast – маршруты анонсируются в широковещательном режиме;
• unicast – маршруты анонсируются в unicast-режиме соседям.

Значение по умолчанию: multicast.

20

Задать IP-адрес соседа для установления отношения в unicast-режиме анонсирования маршрутов (не обязательно).

esr(config-if-gi)# ip rip neighbor <ADDR>

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

21

Включить суммаризацию подсетей (не обязательно).

esr(config-if-gi)# ip rip summary-address <ADDR/LEN>

<ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

1

Настроить приоритетность протокола OSPF маршрутизации для основной таблицы маршрутизации (не обязательно).

esr(config)# ip protocols ospf preference <VALUE>

<VALUE> – приоритетность протокола, принимает значения в диапазоне [1..255].

Значение по умолчанию: 150.

esr(config-vrf)# ip protocols ospf preference <VALUE>

2

Настроить емкость таблиц маршрутизации протокола OSPF (не обязательно).

esr(config)# ip protocols ospf max-routes <VALUE>

<VALUE> – количество маршрутов протокола OSPF в маршрутной таблице, принимает значения в диапазоне:

• для ESR-1000/1200/1500/1510/1700 [1..500000];
• для ESR-20/21/100/200 [1..300000];
• для ESR-10/12V(F)/14VF [1..30000]

Значение по умолчанию для глобального режима:

• для ESR-1000/1200/1500/1510/1700 – (500000);
• для ESR-20/21/100/200 – (300000);
• для ESR-10/12V(F)/14VF – (30000).

Значение по умолчанию для VRF: 0

esr(config)# ipv6 protocols ospf max-routes <VALUE>

3

Включить вывод информации о состоянии отношений с соседями для протокола маршрутизации OSPF (не обязательно).

esr(config)# router ospf log-adjacency-changes

esr(config)# ipv6 router ospf log-adjacency-changes

4

Создать списки IP-подсетей, которые в дальнейшем будут использоваться для фильтрации анонсируемых и получаемых IP-маршрутов.

esr(config)# ip prefix-list <NAME>

<NAME> – имя конфигурируемого списка подсетей, задаётся строкой до 31 символа.

esr(config)# ipv6 prefix-list <NAME>

5

Разрешить (permit) или запретить (deny) списки префиксов.

esr(config-pl)# permit {object-group <OBJ-GROUP-NETWORK-NAME> [ { eq <LEN> | le <LEN> | ge <LEN> [ le <LEN> ] } ]|default-route}

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP -адресов, задаётся строкой до 31 символа;

<LEN> – длина префикса, принимает значения [1..32] в IP-списках префиксов;

• eq – при указании команды длина префикса должна соответствовать указанной;
• le – при указании команды длина префикса должна быть меньше либо соответствовать указанной;
• ge – при указании команды длина префикса должна быть больше либо соответствовать указанной;
• default - route – фильтрация маршрута по умолчанию.

esr(config-pl)# deny {object-group <OBJ-GROUP-NETWORK-NAME> [ { eq <LEN> | le <LEN> | ge <LEN> [ le <LEN> ] } ] | default-route}

esr(config-ipv6-pl)# permit {object-group <OBJ-GROUP-NETWORK-NAME> [ { eq <LEN> | le <LEN> | ge <LEN> [ le <LEN> ] } ]|default-route}

esr(config-ipv6-pl)# deny object-group <OBJ-GROUP-NETWORK-NAME> [ { eq <LEN> | le <LEN> | ge <LEN> [ le <LEN> ] } ] | default-route}

6

Добавить OSPF-процесс в систему и осуществить переход в режим настройки параметров OSPF-процесса.

esr(config)# router ospf <ID> [vrf <VRF>]

<ID> – номер автономной системы процесса, принимает значения [1..65535]

<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет работать протокол маршрутизации.

esr(config)# ipv6 router ospf <ID> [vrf <VRF>]

7

Установить идентификатор маршрутизатора для данного OSPF-процесса.

esr(config-ospf)# router-id <ID>

<ID> – идентификатор маршрутизатора, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

esr(config-ipv6-ospf)# router-id <ID>

8

Определить приоритетность маршрутов процесса OSPF.

esr(config-ospf)# preference <VALUE>

<VALUE> – приоритетность маршрутов процесса OSPF, принимает значения в диапазоне [1..255].

Значение по умолчанию: 10.

esr(config-ipv6-ospf)# preference <VALUE>

9

Включить совместимость с RFC 1583 (не обязательно).

esr(config-ospf)# compatible rfc1583

esr(config-ipv6-ospf)# compatible rfc1583

11

Добавить фильтрацию подсетей во входящих или исходящих обновлениях (не обязательно).

esr(config-ospf)# prefix-list <PREFIX-LIST-NAME> { in | out }

<PREFIX-LIST-NAME> – имя сконфигурированного списка подсетей, задаётся строкой до 31 символа.

• in – фильтрация входящих маршрутов;
• out – фильтрация анонсируемых маршрутов.

esr(config-ipv6-ospf)# prefix-list <PREFIX-LIST-NAME> { in | out }

12

Включить анонсирование маршрутов, полученных альтернативным способом (не обязательно).

esr(config-ospf)# redistribute static [ route-map <NAME> ]

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых статических маршрутов, задаётся строкой до 31 символа.

esr(config-ipv6-ospf)# redistribute static [ route-map <NAME> ]

esr(config-ospf)# redistribute connected [ route-map <NAME> ]

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых напрямую подключенных подсетей, задаётся строкой до 31 символа.

esr(config-ipv6-ospf)# redistribute connected [ route-map <NAME> ]

esr(config-ospf)# redistribute rip [ route-map <NAME> ]

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых RIP-маршрутов, задаётся строкой до 31 символа.

esr(config-ospf)# redistribute bgp <AS> [ route-map <NAME> ]

<AS> – номер автономной системы, может принимать значения [1..4294967295];

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых BGP-маршрутов, задаётся строкой до 31 символа.

esr(config-ipv6-ospf)# redistribute bgp <AS> [ route-map <NAME> ]

13

Активировать OSPF-процесс.

esr(config-ospf)# enable

esr(config-ipv6-ospf)# enable

14

Создать OSPF-область и перейти в режим конфигурирования области.

esr(config-ospf)# area <AREA_ID>

<AREA_ID> – идентификатор области, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

esr(config-ipv6-ospf)# area <AREA_ID>

15

Включить анонсирование подсетей.

esr(config-ospf-area)# network <ADDR/LEN>

<ADDR/LEN> – адрес подсети, указывается в следующем формате:

AAA.BBB.CCC.DDD/EE – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255] и EE принимает значения [1..32].

esr(config-ipv6-ospf-area)# network <IPV6-ADDR/LEN>

<IPV6-ADDR/LEN> – IPv6-адрес и маска подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].

16

Определить тип области

esr(config-ospf-area)# area-type <TYPE> [ no-summary ]

<TYPE> – тип области:

• stub – устанавливает значение stub (тупиковая область);
  no-summary – команда в связке с параметром «stub» образует область «totallystubby» (для передачи информации за пределы области используется только маршрут по умолчанию).
• nssa – устанавливает значение nssa (область NSSA);
  no-summary – в связке с параметром nssa образует область totallynssa (автоматически генерирует маршрут по умолчанию как межобластной).

esr(config-ipv6-ospf-area)# area-type <TYPE> [ no-summary ]

17

Включить генерацию маршрута по умолчанию для NSSA-области и анонсирование его в качестве NSSA-LSA.

esr(config-ospf-area)# default-information-originate

esr(config-ipv6-ospf-area)# default-information-originate

18

Включить суммаризацию или скрытие подсетей.

esr(config-ospf-area)# summary-address <ADDR/LEN> { advertise | not-advertise }

<ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];

• advertise – при указании команды вместо указанных подсетей будет анонсироваться суммарная подсеть;
• not - advertise – при указании команды подсети, входящие в указанную подсеть, анонсироваться не будут.

esr(config-ipv6-ospf-area)# summary-address <IPV6-ADDR/LEN> { advertise | not-advertise }

<IPV6-ADDR/LEN> – IPv6-адрес и маска подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128];

• advertise – при указании команды вместо подсетей, входящих в указанную подсеть, будет анонсироваться суммарная подсеть;
• not-advertise – подсети входящие в указанную подсеть анонсироваться не будут.

19

Активировать OSPF-область.

esr(config-ospf-area)# enable

esr(config-ipv6-ospf-area)# enable

20

Установить виртуальное соединение между основной и удаленными областями, имеющими между ними несколько областей.

esr(config-ospf-area)# virtual-link <ID>

<ID> – идентификатор маршрутизатора, с которым устанавливается виртуальное соединение, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

esr(config-ipv6-ospf-area)# virtual-link <ID>

21

Установить интервал времени в секундах, по истечении которого маршрутизатор повторно отправит пакет, который не получил подтверждения о получении (например, DatabaseDescription пакет или LinkStateRequest пакеты).

esr(config-ospf- vlink)# restransmit-interval <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 5 секунд.

esr(config-ipv6-ospf- vlink)# restransmit-interval <TIME>

22

Установить интервал времени в секундах, по истечении которого маршрутизатор отправляет следующий hello-пакет.

esr(config-ospf- vlink)# hello-interval <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 10 секунд.

esr(config-ipv6-ospf- vlink)# hello-interval <TIME>

23

Установить интервал времени в секундах, по истечении которого сосед будет считаться неактивным. Этот интервал должен быть кратным значению «hello-interval».

esr(config-ospf- vlink)# dead-interval <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 40 секунд.

esr(config-ipv6-ospf- vlink)# dead-interval <TIME>

24

Определяется интервал времени в секундах, по истечении которого маршрутизатор выберет DR в сети

esr(config-ospf- vlink)# wait-interval <TIME>

<TIME> – время в секундах, принимает значения [1..65535].
Значение по умолчанию: 40 секунд

esr(config-ipv6-ospf- vlink)# wait-interval <TIME>

25

Определить алгоритм аутентификации

esr(config-ospf- vlink)# authentication algorithm <ALGORITHM>

<ALGORITHM> – алгоритм аутентификации:

• cleartext – пароль, передается открытым текстом (доступно только для RIP и OSPF-VLINK);
• md 5 – пароль хешируется по алгоритму md5.

26

Установить пароль для аутентификации с соседом.

esr(config-ospf- vlink)# authentication key ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

<CLEAR-TEXT> – пароль, задаётся строкой от 8 до 16 символов.

<ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...).

27

Определить список паролей для аутентификации через алгоритм хеширования md5.

esr(config-ospf- vlink)# authentication key chain <KEYCHAIN>

<KEYCHAIN> – идентификатор списка ключей, задаётся строкой до 16 символов.

28

Активировать виртуальное соединение.

esr(config-ospf- vlink)# enable

29

Перейти в режим конфигурирования интерфейса/туннеля/ сетевого моста.

esr(config)# interface <IF-TYPE><IF-NUM>

<IF-TYPE> тип интерфейса;

<IF-NUM> – F/S/P – F-фрейм (1), S – слот (0), P – порт.

esr(config)# tunnel <TUN-TYPE><TUN-NUM>

<TUN-TYPE> тип туннеля;

<TUN-NUM> номер туннеля.

esr(config)# bridge <BR-NUM>

<BR-NUM> – номер bridge.

30

Определить принадлежность интерфейса/туннеля/ сетевого моста к определенному OSPF-процессу.

esr(config-if-gi)# ip ospf instance <ID>

<ID> – номер процесса, принимает значения [1..65535].

esr(config-if-gi)# ipv6 ospf instance <ID>

31

Определить принадлежность интерфейса к определенной области OSPF-процесса.

esr(config-if-gi)# ip ospf area <AREA_ID>

<AREA_ID> – идентификатор области, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

esr(config-if-gi)# ipv6 ospf area <AREA_ID>

32

Включить маршрутизацию по протоколу OSPF на интерфейсе.

esr(config-if-gi)# ip ospf

esr(config-if-gi)# ipv6 ospf

33

Включить режим, в котором OSPF-процесс будет игнорировать значение MTU интерфейса во входящих Database Description-пакетах.

esr(config-if-gi)# ip ospf mtu-ignore

esr(config-if-gi)# ipv6 ospf mtu-ignore

34

Определить алгоритм аутентификации протокола OSPF.

esr(config-if-gi)# ip ospf authentication algorithm <ALGORITHM>

<ALGORITHM> – алгоритм аутентификации:

• cleartext – пароль, передается открытым текстом;
• md 5 – пароль хешируется по алгоритму md5.

35

Установить пароль для аутентификации с OSPF-соседом при передаче пароля открытым текстом.

esr(config-if-gi)# ip ospf authentication key ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

<CLEAR-TEXT> – пароль, задаётся строкой от 8 до 16 символов;

<ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...).

36

Определить список паролей для аутентификации по алгоритму хеширования md5 с соседом.

esr(config-if-gi)# ip ospf authentication key-chain <KEYCHAIN>

<KEYCHAIN> – идентификатор списка ключей, задаётся строкой до 16 символов.

37

Определить интервал времени в секундах, по истечении которого маршрутизатор выберет DR в сети.

esr(config-if-gi)# ip ospf wait-interval <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 40 секунд.

esr(config-if-gi)# ipv6 ospf wait-interval <TIME>

38

Установить интервал времени в секундах, по истечении которого маршрутизатор повторно отправит пакет, на который не получил подтверждения о получении (например, DatabaseDescription пакет или LinkStateRequest пакеты).

esr(config-if-gi)# ip ospf restransmit-interval <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 5 секунд.

esr(config-if-gi)# ipv6 ospf restransmit-interval <TIME>

39

Установить интервал времени в секундах, по истечении которого маршрутизатор отправляет следующий hello-пакет.

esr(config-if-gi)# ip ospf hello-interval <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 10 секунд.

esr(config-if-gi)# ipv6 ospf hello-interval <TIME>

40

Установить интервал времени в секундах, по истечении которого сосед будет считаться неактивным. Этот интервал должен быть кратным значению hello-interval.

esr(config-if-gi)# ip dead-interval <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 40 секунд.

esr(config-if-gi)# ipv6 dead-interval <TIME>

41

Установить интервал времени, в течение которого NBMA-интерфейс ждет, прежде чем отправить HELLO-пакет соседу, даже в случае, если сосед неактивен.

esr(config-if-gi)# ip poll-interval <TIME>

<TIME> – время в секундах, принимает значения [1 .. 65535].

Значение по умолчанию: 120 секунд.

esr(config-if-gi)# ipv6 poll-interval <TIME>

42

Задать статический IP-адрес соседа для установления отношения в NMBA и P2MP (Point-to-MultiPoint) сетях.

esr(config-if-gi)# ip ospf neighbor <IP> [ eligible ]

<IP> – IP-адрес соседа, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

eligible – опциональный параметр, позволяет устройству участвовать в процессе выбора DR в NBMA-сетях. Приоритет интерфейса должен быть больше нуля.

esr(config-if-gi)# ip ospf neighbor <IP> [ eligible ]

<IPV6-ADDR> – IPv6-адрес соседа, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

eligible – опциональный параметр, позволяет устройству участвовать в процессе выбора DR в NBMA-сетях. Приоритет интерфейса должен быть больше нуля.

43

Определить тип сети для установления OSPF соседства.

esr(config-if-gi)# ip ospf network <TYPE>

<TYPE> – тип сети:

• broadcast – тип соединения широковещательный;
• non - broadcast – тип соединения NBMA;
• point - to - multipoint – тип соединения точка-многоточие;
• point-to-multipoint non-broadcast – тип соединения NBMA точка-многоточие;
• point - to - point – тип соединения точка-точка.

Значение по умолчанию: broadcast.

esr(config-if-gi)# ipv6 ospf network <TYPE>

44

Установить приоритет маршрутизатора, который используется для выбора DR и BDR.

esr(config-if-gi)# ip ospf priority <VALUE>

<VALUE> – приоритет интерфейса, принимает значения [1..65535].

Значение по умолчанию: 120.

esr(config-if-gi)# ipv6 ospf priority <VALUE>

45

Установить величину метрики на интерфейсе или туннеле.

esr(config-if-gi)# ip ospf cost <VALUE>

<VALUE> – величина метрики, задаётся в размере [0..32767].

Значение по умолчанию: 150.

esr(config-if-gi)# ipv6 ospf cost <VALUE>

47

Включить протокол BFD для протокола OSPF

esr(config-if-gi)# ip ospf bfd-enable

esr(config-if-gi)# ipv6 ospf bfd-enable

<VALUE> – приоритетность протокола, принимает значения в диапазоне [1..255].

Значение по умолчанию: BGP (170).

<VALUE> – количество маршрутов протокола BGP в маршрутной таблице, принимает значения в диапазоне:

• для ESR-1700 [1..5000000];
• для ESR-1000/1200/1500/1510 [1..3000000];
• для ESR-20/21/100/200 [1..1500000];
• для ESR-10/12V(F)/14VF [1..800000]

Значение по умолчанию:

• для ESR-1700 (5000000);
• для ESR-1000/1200/1500/1510/1700 (3000000);
  
• для ESR-20/21/100/200 (1500000);
• для ESR-10/12V/12VF/14VF (800000).

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP -адресов, задаётся строкой до 31 символа;

<LEN> – длина префикса, принимает значения [1..32] в IP-списках префиксов;

• eq – при указании команды длина префикса должна соответствовать указанной;
• le – при указании команды длина префикса должна быть меньше либо соответствовать указанной;
• ge – при указании команды длина префикса должна быть больше либо соответствовать указанной;
• default - route – фильтрация маршрута по умолчанию.

8

Определить тип конфигурируемой маршрутной информации и перейти в данный режим настройки.

esr(config-bgp)# address-family { ipv4 | ipv6 } [ vrf <VRF> ]

• ipv 4 – семейство IPv4;
• ipv 6 – семейство IPv6;

<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет работать протокол маршрутизации.

9

Установить идентификатор маршрутизатора.

esr(config-bgp-af)# router-id <ID>

<ID> – идентификатор маршрутизатора, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

esr(config-ipv6-bgp-af)# router-id <ID>

10

Установить временной интервал, по истечении которого идет проверка соединения со встречной стороной.

esr(config-bgp-af)# timers keeaplive <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 60 секунд.

esr(config-ipv6-bgp-af)# timers keeaplive <TIME>

11

Установить временной интервал, по истечении которого встречная сторона считается недоступной.

esr(config-bgp-af)# timers holdtime <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 180 секунд.

esr(config-ipv6-bgp-af)# timers holdtime <TIME>

12

Установить время минимальной и максимальной задержки, в течение которого запрещено устанавливать соединение, в целях защиты от частых разрывов соединения

esr(config-bgp-af)# timers error-wait <TIME1> <TIME2>

<TIME1> – время минимальной задержки в секундах, принимает значения [1..65535];

<TIME2> – время максимальной задержки в секундах, принимает значения [1..65535].

esr(config-ipv6-bgp-af)# timers error-wait <TIME1> <TIME2>

13

Установить идентификатор Route-Reflector кластера, которому принадлежит BGP-процесс маршрутизатора.

esr(config-bgp-af)# cluster-id <ID>

<ID> – идентификатор Route-Reflector кластера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

esr(config-ipv6-bgp-af)# cluster-id <ID>

14

Определить глобальный алгоритм аутентификации с соседями.

esr(config-bgp-af)# authentication algorithm <ALGORITHM>

<ALGORITHM> – алгоритм шифрования:

md5 – пароль шифруется по алгоритму md5.

esr(config-ipv6-bgp-af)# authentication algorithm <ALGORITHM>

15

Установить глобальный пароль для аутентификации с соседями.

esr(config-bgp-af)# authentication key ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

<CLEAR-TEXT> – пароль, задаётся строкой от 8 до 16 символов;

<ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...).

esr(config-ipv6-bgp-af)# authentication key ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

16

Активировать BGP-процесс.

esr(config-bgp-af)# enable

esr(config-ipv6-bgp-af)# enable

17

Включить анонсирование статических маршрутов полученных альтернативным образом.

esr(config-bgp-af)# redistribute static [ route-map <NAME> ]

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых статических маршрутов, задаётся строкой до 31 символа.

esr(config-ipv6-bgp-af)# redistribute static [ route-map <NAME> ]

esr(config-bgp-af)# redistribute connected [ route-map <NAME> ]

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых напрямую подключенных подсетей, задаётся строкой до 31 символа.

esr(config-ipv6-bgp-af)# redistribute connected [ route-map <NAME> ]

esr(config-bgp-af)# redistribute rip [ route-map <NAME> ]

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых RIP-маршрутов, задаётся строкой до 31 символа.

esr(config-ipv6-bgp-af)# redistribute rip [ route-map <NAME> ]

esr(config-bgp-af)# redistribute ospf <ID> <ROUTE-TYPE> [ route-map <NAME> ]

<ID> – номер процесса, может принимать значение [1..65535];

<ROUTE-TYPE> – тип маршрута:

• intra - area – анонсирование маршрутов OSPF-процесса в пределах зоны;
• inter - area – анонсирование маршрутов OSPF-процесса между зонами;
• external 1 – анонсирование внешних маршрутов OSPF-формата 1;
• external 2 – анонсирование внешних маршрутов OSPF-формата 2;

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых OSPF-маршрутов, задаётся строкой до 31 символа.

esr(config-ipv6-bgp-af)# redistribute ospf <ID> <ROUTE-TYPE> [ route-map <NAME> ]

esr(config-bgp-af)# redistribute bgp <AS> [ route-map <NAME> ]

<AS> – номер автономной системы, может принимать значения [1..4294967295];

<NAME> – имя маршрутной карты, которая будет использоваться для фильтрации и модификации анонсируемых BGP-маршрутов, задаётся строкой до 31 символа.

esr(config-ipv6-bgp-af)# redistribute bgp <AS> [ route-map <NAME> ]

18

Включить анонсирование подсетей.

esr(config-bgp-af)# network <ADDR/LEN>

<ADDR/LEN> – адрес подсети, указывается в следующем формате:

AAA.BBB.CCC.DDD/EE – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255] и EE принимает значения [1..32].

esr(config-ipv6-bgp-af)# network <ADDR/LEN>

X:X:X:X::X/EE – IPv6-адрес и маска подсети, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].

19

Добавить фильтрацию подсетей во входящих или исходящих обновлениях (не обязательно).

esr(config-bgp-af)# prefix-list <PREFIX-LIST-NAME> { in | out }

<PREFIX-LIST-NAME> – имя сконфигурированного списка подсетей, задаётся строкой до 31 символа.

• in – фильтрация входящих маршрутов;
• out – фильтрация анонсируемых маршрутов.

20

Добавить BGP-соседа и осуществить переход в режим настройки параметров BGP-соседа.

esr(config-bgp-af)# neighbor <ADDR>

<ADDR> – IP-адрес соседа, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

esr(config-ipv6-bgp-af)# neighbor <IPV6-ADDR>

<IPV6-ADDR> – IPv6-адрес клиента, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

21

Задать описание соседа (не обязательно).

esr(config-bgp-neighbor)# description <DESCRIPTION>

<DESCRIPTION> – описание соседа, задаётся строкой до 255 символов.

22

Установить временной интервал, по истечении которого идет проверка соединения со встречной стороной.
(не обязательно)

esr(config-bgp-neighbor)# timers keepalive <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 60 секунд.

esr(config-ipv6-bgp-neighbor)# timers keepalive <TIME>

23

Установить временной интервал, по истечении которого встречная сторона считается недоступной (не обязательно).

esr(config-bgp- neighbor)# timers holdtime <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 180 секунд.

esr(config-ipv6-bgp- neighbor)# timers holdtime <TIME>

24

Установить время минимальной и максимальной задержки, в течение которого запрещено устанавливать соединение, в целях защиты от частых разрывов соединения (не обязательно).

esr(config-bgp-af)# timers error-wait <TIME1> <TIME2>

<TIME1> – время минимальной задержки в секундах, принимает значения [1..65535];

<TIME2> – время максимальной задержки в секундах, принимает значения [1..65535].

Значение по умолчанию: 60 и 300 секунд

esr(config-ipv6-bgp-af)# timers error-wait <TIME1> <TIME2>

25

Установить номер автономной системы BGP-соседа.

esr(config-bgp- neighbor)# remote-as <AS>

<AS> – номер автономной системы, принимает значения [1..4294967295].

esr(config-ipv6-bgp- neighbor)# remote-as <AS>

26

Разрешить подключение к соседям, которые находятся не в напрямую подключенных подсетях. (не обязательно)

esr(config-bgp- neighbor)# ebgp-multihop <NUM>

<NUM> – Максимальное количество хопов при установке EBGP (используется для TTL).

esr(config-ipv6-bgp- neighbor)# ebgp-multihop <NUM>

27

Задать режим, в котором все обновления отправляются BGP-соседу с указанием в качестве next-hop IP-адреса исходящего интерфейса локального маршрутизатора.
(не обязательно)

esr(config-bgp- neighbor)# next-hop-self

esr(config-ipv6-bgp- neighbor)# next-hop-self

28

Задать режим, в котором перед отправлением обновления из BGP-атрибута AS Path маршрутов удаляются приватные номера автономных систем (в соответствии с RFC 6996). (не обязательно)

esr(config-bgp- neighbor)# remove-private-as

esr(config-ipv6-bgp- neighbor)# remove-private-as

29

Задать режим, в котором BGP-соседу в обновлении на ряду с другими маршрутами всегда отправляется маршрут по умолчанию. (не обязательно)

esr(config-bgp- neighbor)# default-originate

esr(config-ipv6-bgp- neighbor)# default-originate

30

Включить генерацию и отправку маршрута по умолчанию, если маршрут по умолчанию есть в таблице маршрутизации FIB. (не обязательно)

esr(config-bgp-af)# default-information-originate

31

Указать, что BGP-сосед является Route-Reflector клиентом. (не обязательно)

esr(config-bgp- neighbor)# route-reflector-client

esr(config-ipv6-bgp- neighbor)# route-reflector-client

32

Определить приоритетность маршрутов, получаемых от соседа. (не обязательно)

esr(config-bgp- neighbor)# preference <VALUE>

<VALUE> – приоритетность маршрутов соседа, принимает значения в диапазоне [1..255].

Значение по умолчанию: 170.

esr(config-ipv6-bgp- neighbor)# preference <VALUE>

33

Задать IP/IPv6-адрес маршрутизатора, который будет использоваться в качестве IP/IPv6-адреса источника в отправляемых обновлениях маршрутной информации BGP. (не обязательно)

esr(config-bgp- neighbor)# update-source { <ADDR> | <IPV6-ADDR> }

<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

esr(config-ipv6-bgp- neighbor)# update-source <ADDR>

<IPV6-ADDR> – IPv6-адрес источника, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

34

Включить режим, в котором разрешен приём маршрутов в BGP-атрибуте, AS Path которых содержит номера автономной системы процесса. (не обязательно)

esr(config-bgp- neighbor)# allow-local-as <NUMBER>

<NUMBER> – пороговое число вхождений номера автономной системы процесса в атрибуте AS Path, при которых маршрут будет принят, диапазон допустимых значений [1..10].

esr(config-bgp- neighbor)# allow-local-as <NUMBER>

35

Включить BFD-протокол на конфигурируемом BGP-соседе. (не обязательно)

esr(config-bgp- neighbor)# bfd-enable

esr(config-ipv6-bgp- neighbor)# bfd-enable

36

Определить алгоритм аутентификации с соседом. (не обязательно)

esr(config-bgp- neighbor)# authentication algorithm <ALGORITHM>

<ALGORITHM> – алгоритм шифрования:

md5 – пароль шифруется по алгоритму md5.

esr(config-ipv6-bgp- neighbor)# authentication algorithm <ALGORITHM>

37

Установить пароль для аутентификации с соседом. (не обязательно)

esr(config-bgp- neighbor)# authentication key ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

<CLEAR-TEXT> – пароль, задаётся строкой от 8 до 16 символов;

<ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...).

esr(config-ipv6-bgp- neighbor)# authentication key ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

1

Активировать BFD для протокола OSPF на интерфейсе

esr(config-if-gi)# ip ospf bfd-enable

2

Активировать BFD для протокола BGP neighbor на интерфейсе

esr(config-bgp-neighbor)# bfd-enable

3

Задать интервал, по истечении которого происходит отправка BFD-сообщения соседу. Глобально
(не обязательно)

esr(config)# ip bfd idle-tx-interval <TIMEOUT>

<TIMEOUT> – интервал, по истечении которого происходит отправка BFD-пакета, принимает значение в миллисекундах в диапазоне [200..65535] для ESR-1000/1200/1500/1510/1700 и [300..65535] для ESR-10/12V(F)/14VF/20/21/100/200

По умолчанию 1 секунда

4

Включить логирование изменений состояния BFD-протокола (не обязательно)

esr(config)# ip bfd log-adjacency-changes

5

Задать минимальный интервал, по истечении которого сосед должен сгенерировать BFD-сообщение.
Глобально
(не обязательно)

esr(config)# ip bfd min-rx-interval <TIMEOUT>

<TIMEOUT> – интервал, по истечении которого должна происходить отправка BFD-сообщения соседом, принимает значение в миллисекундах в диапазоне
[200..65535] для ESR-1000/1200/1500/1510/1700 и  [300..65535] для ESR-10/12V(F)/14VF/20/21/100/200

По умолчанию:

• 300 миллисекунд на ESR-10/12V(F)/14VF/20/21/100/200
• 200 миллисекунд на ESR-1000/1200/1500/1510/1700

6

Задать минимальный интервал, по истечении которого происходит отправка BFD-сообщения соседу.
Глобально
(не обязательно)

esr(config)# ip bfd min-tx-interval <TIMEOUT>

<TIMEOUT> – интервал, по истечении которого должна происходить отправка BFD-сообщения соседом, принимает значение в миллисекундах в диапазоне [200..65535] для ESR-1000/1200/1500/1510/1700 и  [300..65535] для ESR-10/12V(F)/14VF/20/21/100/200

По умолчанию:

• 300 миллисекунд на ESR-10/12V(F)/14VF/20/21/100/200
• 200 миллисекунд на ESR-1000/1200/1500/1510/1700

7

Задать число пропущенных пакетов, после достижения которого BFD-сосед считается недоступным. Глобально

esr(config)# ip bfd multiplier <COUNT>

<COUNT> – число пропущенных пакетов, после достижения которого сосед считается недоступным, принимает значение в диапазоне [1..100].

По умолчанию: 5

8

Запустить работу механизма BFD с определенным IP-адресом.

esr(config)# ip bfd neighbor <ADDR> [ { interface <IF> | tunnel <TUN> } ] [local-address <ADDR> [multihop]] [vrf <VRF>]

<ADDR> – IP-адрес шлюза, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IF> – интерфейс или группы интерфейсов;

<TUN> – тип и номер туннеля;

<VRF> – имя экземпляра VRF, задается строкой до 31 символа;

multihop – ключ для установки TTL=255, для работы механизма BFD через маршрутизируемую сеть.

9

Перевести BFD-сессию в пассивный режим, то есть BFD-сообщения не будут отправляться до тех пор, пока не будут получены сообщения от BFD-соседа. Глобально

(не обязательно)

esr(config)# ip bfd passive

10

Задать интервал, по истечении которого происходит отправка BFD-сообщения соседу.
На интерфейсе
(не обязательно)

esr(config-if-gi)# ip bfd idle-tx-interval <TIMEOUT>

<TIMEOUT> – интервал, по истечении которого происходит отправка BFD-пакета, принимает значение в миллисекундах в диапазоне [200..65535] для ESR-1000/1200/1500/1510/1700 и [300..65535] для ESR-10/12V(F)/14VF/20/21/100/200.

По умолчанию: 1 секунда

11

Задать минимальный интервал, по истечении которого сосед должен сгенерировать BFD-сообщение.
На интерфейсе
(не обязательно)

esr(config-if-gi)# ip bfd min-rx-interval <TIMEOUT>

<TIMEOUT> – интервал, по истечении которого должна происходить отправка BFD-сообщения соседом, принимает значение в миллисекундах в диапазоне [200..65535] для ESR-1000/1200/1500/1510/1700 и [300..65535] для ESR-10/12V(F)/14VF/20/21/100/200

По умолчанию:

• 300 миллисекунд на ESR-10/12V(F)/14VF/20/21/100/200
• 200 миллисекунд на ESR-1000/1200/1500/1510/1700

12

Задать минимальный интервал, по истечении которого происходит отправка BFD-сообщения соседу.
На интерфейсе
(не обязательно)

esr(config-if-gi)# ip bfd min-tx-interval <TIMEOUT>

<TIMEOUT> – интервал, по истечении которого должна происходить отправка BFD-сообщения соседом, принимает значение в миллисекундах в диапазоне [200..65535] для ESR-1000/1200/1500/1510/1700 и [300..65535] для ESR-10/12V(F)/14VF/20/21/100/200

По умолчанию:

• 300 миллисекунд на ESR-10/12V(F)/14VF/20/21/100/200
• 200 миллисекунд на ESR-1000/1200/1500/1510/1700

13

Задать число пропущенных пакетов, после достижения которого BFD-сосед считается недоступным.
На интерфейсе

(не обязательно)

esr(config-if-gi)# ip bfd multiplier <COUNT>

<COUNT> – число пропущенных пакетов, после достижения которого сосед считается недоступным, принимает значение в диапазоне [1..100].

По умолчанию: 5

14

Перевести BFD-сессию в пассивный режим, то есть BFD-сообщения не будут отправляться до тех пор, пока не будут получены сообщения от BFD-соседа. На интерфейсе
(не обязательно)

esr(config-if-gi)# ip bfd passive

<ACT> – назначаемое действие:

• permit – прием или анонсирование маршрутной информации разрешено;
• deny – запрещено.

<AS-PATH> – список номеров автономных систем, задается в виде AS,AS,AS, принимает значения [1..4294967295]. Опциональные параметры:

• begin – значение атрибута начинается с указанных номеров AS;
• end – значение атрибута заканчивается указанными номерами AS;
• contain – значение атрибута содержит указанный список номеров AS.

5