Введение

Аннотация

В настоящее время осуществляются масштабные проекты по построению сетей связи. Одной из основных задач при реализации крупных мультисервисных сетей является создание надежных и высокопроизводительных транспортных сетей, которые являются опорными в многослойной архитектуре сетей следующего поколения.

Сервисные маршрутизаторы серии ESR могут использоваться на сетях крупных предприятий и предприятиях малого и среднего бизнеса (SMB), в операторских сетях. Устройства обеспечивают высокую производительность, высокую пропускную способность и поддерживают функции защиты передаваемых данных.

В данном руководстве по эксплуатации изложены назначение, технические характеристики, функции, конструктивное исполнение, порядок установки, рекомендации по начальной настройке и обновлению программного обеспечения сервисного маршрутизатора серии ESR (далее маршрутизатор или устройство).

Целевая аудитория

Данное руководство пользователя предназначено для технического персонала, выполняющего установку, настройку и мониторинг устройств посредством интерфейса командной строки (CLI), а также процедуры по обслуживанию системы и обновлению ПО. Квалификация технического персонала предполагает знание основ работы стеков протоколов TCP/IP, принципов построения Ethernet‐сетей. 

Примечания и предупреждения

Описание изделия

Назначение

Устройства серии ESR являются высокопроизводительными многоцелевыми сетевыми маршрутизаторами. Устройство объединяет в себе традиционные сетевые функции и комплексный многоуровневый подход к безопасности маршрутизации, что позволяет обеспечить надежную защиту для корпоративной среды.

Устройство поддерживает функции межсетевого экрана для защиты сети организации и своей сетевой инфраструктуры а так-же сочетает в себе новейшие средства обеспечения безопасности данных, шифрования, аутентификации и защиты от вторжений.

Устройство содержит в себе средства для программной и аппаратной обработки данных. За счет оптимального распределения функций обработки данных между частями достигается максимальная производительность.

Функции

Функции интерфейсов

В таблице 1 приведен список функций интерфейсов устройства.

Таблица 1 – Функции интерфейсов устройства

Функции при работе с MAC–адресами

В таблице 2 приведены функции устройства при работе с MAC-адресами.

Таблица 2 – Функции работы с MAC-адресами

Функции второго уровня сетевой модели OSI

В таблице 3 приведены функции и особенности второго уровня (уровень 2 OSI).

Таблица 3 – Описание функций второго уровня (уровень 2 OSI)

¹  В текущей версии ПО данный функционал поддерживается только на маршрутизаторе ESR-1000

Функции третьего уровня сетевой модели OSI

В таблице 4 приведены функции третьего уровня (уровень 3 OSI).

Таблица 4 – Описание функций третьего уровня (Layer 3)

Функции туннелирования трафика

Таблица 5 – Функции туннелирования трафика

Функции управления и конфигурирования

Таблица 6 – Основные функции управления и конфигурирования

Функции сетевой защиты

В таблице 7 приведены функции сетевой защиты, выполняемые устройством.

Таблица 7 – Функции сетевой защиты

Основные технические характеристики

Основные технические параметры маршрутизатора приведены в таблице 8.

Таблица 8 – Основные технические характеристики

Конструктивное исполнение

В данном разделе описано конструктивное исполнение устройства. Представлены изображения передней, задней и боковых панелей устройства. Описаны разъемы, светодиодные индикаторы и органы управления.

Устройство выполнено в металлическом корпусе с возможностью установки в 19” конструктив, высота корпуса 1U.

Конструктивное исполнение ESR-1700

Передняя панель устройства ESR-1700

Внешний вид передней панели показан на рисунке 1.

Рисунок 1 – Передняя панель ESR-1700

В таблице 9 приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на передней панели устройства ESR-1700.

Таблица 9 – Описание разъемов, индикаторов и органов управления передней панели ESR-1700

Задняя панель устройств ESR-1700

Внешний вид задней панели устройств ESR-1700 приведен на рисунке ниже.

Рисунок 2 – Задняя панель ESR-1700

В таблице 10 приведен перечень разъемов, расположенных на задней панели маршрутизатора.

Таблица 10 – Описание разъемов задней панели маршрутизатора

Боковые панели устройства ESR-1700

Рисунок 3 – Правая боковая панель маршрутизаторов ESR-1700

Рисунок 4 – Левая боковая панель маршрутизаторов ESR-1700

На боковых панелях устройства расположены вентиляционные решетки, которые служат для отвода тепла. Не закрывайте вентиляционные отверстия посторонними предметами. Это может привести к перегреву компонентов устройства и вызвать нарушения в его работе. Рекомендации по установке устройства расположены в разделе Установка и подключение.

Конструктивное исполнение ESR-1510, ESR-1500

Передняя панель устройств ESR-1510, ESR-1500

Внешний вид передней панели показан на рисунке 5.

Рисунок 5 – Передняя панель ESR-1510, ESR-1500

В таблице 11 приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на передней панели устройств ESR-1510, ESR-1500.

Таблица 11 – Описание разъемов, индикаторов и органов управления передней панели ESR-1510, ESR-1500

Задняя панель устройств ESR-1510, ESR-1500

Внешний вид задней панели устройств ESR-1510, ESR-1500 приведен на рисунке 6.

Рисунок 6 – Задняя панель ESR-1510, ESR-1500

В таблице 12 приведен перечень разъемов, расположенных на задней панели маршрутизатора.

Таблица 12 – Описание разъемов задней панели маршрутизатора

Боковые панели устройств ESR-1510, ESR-1500

Рисунок 7 – Правая боковая панель маршрутизаторов ESR-1500, ESR-1510

Рисунок 8 – Левая боковая панель маршрутизаторов ESR-1500, ESR-1510

На боковых панелях устройства расположены вентиляционные решетки, которые служат для отвода тепла. Не закрывайте вентиляционные отверстия посторонними предметами. Это может привести к перегреву компонентов устройства и вызвать нарушения в его работе. Рекомендации по установке устройства расположены в разделе Установка и подключение.

Конструктивное исполнение ESR-1200, ESR-1000

Передняя панель устройства ESR-1200

Внешний вид передней панели показан на рисунке 9.

Рисунок 9 – Передняя панель ESR-1200

В таблице 13 приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на передней панели устройства ESR-1200.

Таблица 13 – Описание разъемов, индикаторов и органов управления передней панели ESR-1200

Передняя панель устройства ESR-1000

Внешний вид передней панели показан на рисунке 10.

Рисунок 10 – Передняя панель ESR-1000

В таблице 14 приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на передней панели устройства ESR-1000.

Таблица 14 – Описание разъемов, индикаторов и органов управления передней панели ESR-1000

Задняя панель устройств ESR-1200,1000

Внешний вид задней панели устройств ESR-1000 приведен на рисунке ниже.

Рисунок 11 – Задняя панель ESR-1000

В таблице 15 приведен перечень разъемов, расположенных на задней панели маршрутизатора.

Таблица 15 – Описание разъемов задней панели маршрутизатора

Боковые панели устройств ESR-1200, ESR-1000

Рисунок 12 – Правая боковая панель маршрутизаторов ESR-1200, 1000

Рисунок 13 – Левая боковая панель маршрутизаторов ESR-1200, 1000

На боковых панелях устройства расположены вентиляционные решетки, которые служат для отвода тепла. Не закрывайте вентиляционные отверстия посторонними предметами. Это может привести к перегреву компонентов устройства и вызвать нарушения в его работе. Рекомендации по установке устройства расположены в разделе Установка и подключение.

Конструктивное исполнение ESR-200, ESR-100

Передняя панель устройств ESR-200, ESR-100

Внешний вид передней панели ESR-200 показан на рисунке 14.

Рисунок 14 – Передняя панель ESR-200

Внешний вид передней панели ESR-100 показан на рисунке 15.

Рисунок 15 – Передняя панель ESR-100

В таблице 16 приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на передней панели устройств ESR-200, ESR-100.

Таблица 16 – Описание разъемов, индикаторов и органов управления передней панели ESR-200, ESR-100

Задняя панель устройств ESR-200, ESR-100

Внешний вид задней панели устройств ESR-200, ESR-100 приведен на рисунке 16.

Рисунок 16 – Задняя панель ESR-200, ESR-100

В таблице 17 приведен перечень разъемов, расположенных на задней панели маршрутизатора.

Таблица 17 – Описание разъемов задней панели маршрутизатора

Боковые панели устройств ESR-200, ESR-100

Рисунок 17 – Правая боковая панель маршрутизатора ESR-200, ESR-100

Рисунок 18 – Левая боковая панель маршрутизатора ESR-200, ESR-100

Конструктивное исполнение ESR-21

Устройство выполнено в металлическом корпусе с возможностью установки в 19” конструктив, высота корпуса 1U.

Передняя панель устройства ESR-21

Внешний вид передней панели показан на рисунке 19.

Рисунок 19 – Передняя панель ESR-21

В таблице 18 приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на передней панели устройства ESR-21.

Таблица 18 – Описание разъемов, индикаторов и органов управления передней панели ESR-21

Задняя панель устройств ESR-21

Внешний вид задней панели устройства ESR-21 показан на рисунке 20.

Рисунок 20 – Задняя панель ESR-21

В таблице 19 приведен перечень разъемов, расположенных на задней панели маршрутизатора.

Таблица 19 – Описание разъемов задней панели маршрутизатора

Боковые панели устройства ESR-21

Внешний вид боковых панелей устройства ESR-21 приведен на рисунках 21 и 22.

Рисунок 21 – Левая панель ESR-21

Рисунок 22 – Правая панель ESR-21

Конструктивное исполнение ESR-20

Устройство выполнено в металлическом корпусе с возможностью установки в 19” конструктив, высота корпуса 1U.

Передняя панель устройства ESR-20

Внешний вид передней панели показан на рисунке 23.

Рисунок 23 – Передняя панель ESR-20

В таблице 20 приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на передней панели устройства ESR-20.

Таблица 20 – Описание разъемов, индикаторов и органов управления передней панели ESR-20

Задняя панель устройств ESR-20

Внешний вид задней панели устройства ESR-20 показан на рисунке 24.

Рисунок 24 – Задняя панель ESR-20

В таблице 21 приведен перечень разъемов, расположенных на задней панели маршрутизатора.

Таблица 21 – Описание разъемов задней панели маршрутизатора

Боковые панели устройства ESR-20

Внешний вид боковых панелей устройства ESR-20 приведен на рисунках 25 и 26.

Рисунок 25 – Левая панель ESR-20

Рисунок 26 – Правая панель ESR-20

Конструктивное исполнение ESR-14VF, ESR-12VF

Устройство выполнено в металлическом корпусе с возможностью установки в 19” конструктив, высота корпуса 1U.

Передняя панель устройства ESR-12VF, ESR-14VF

Внешний вид передней панели показан на рисунке 27.

Передняя панель ESR-14VF, ESR-12VF

В таблице 22 приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на передней панели устройства ESR-12VF, ESR-14VF.

Таблица 22 – Описание разъемов, индикаторов и органов управления передней панели ESR-12VF, ESR-14VF

Задняя панель устройств ESR-14VF, ESR-12VF

Внешний вид задней панели устройства ESR-12VF, ESR-14VF показан на рисунке 28.

Рисунок 28 – Задняя панель ESR-12VF, ESR-14VF

В таблице 23 приведен перечень разъемов, расположенных на задней панели маршрутизатора.

Таблица 23 – Описание разъемов задней панели маршрутизатора

Боковые панели устройств ESR-12VF, ESR-14VF

Внешний вид боковых панелей устройства ESR-12VF, ESR-14VF приведен на рисунках 29 и 30.

Рисунок 29 – Левая панель ESR-12VF, ESR-14VF

Рисунок 30 – Правая панель ESR-12VF, ESR-14VF

Конструктивное исполнение ESR-12V

Устройство выполнено в металлическом корпусе с возможностью установки в 19” конструктив, высота корпуса 1U.

Передняя панель устройства ESR-12V

Внешний вид передней панели показан на рисунке 31.

Рисунок 31 – Передняя панель ESR-12V

В таблице 24 приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на передней панели устройства ESR-12V.

Таблица 24 – Описание разъемов, индикаторов и органов управления передней панели ESR-12V

Задняя панель устройств ESR-12V

Внешний вид задней панели устройства ESR-12V показан на рисунке 32.

Рисунок 32 – Задняя панель ESR-12V

В таблице 25 приведен перечень разъемов, расположенных на задней панели маршрутизатора.

Таблица 25 – Описание разъемов задней панели маршрутизатора

Боковые панели устройства ESR-12V

Внешний вид боковых панелей устройства ESR-12V приведен на рисунках 33 и 34.

Рисунок 33 – Левая панель ESR-12V

Рисунок 34 – Правая панель ESR-12V

Конструктивное исполнение ESR-10

Задняя панель устройства ESR-10

Внешний вид задней панели устройства показан на рисунке 35.

Рисунок 35 – Задняя панель ESR-10

В таблице 26 приведен перечень разъемов, светодиодных индикаторов и органов управления, расположенных на задней панели устройства ESR-10.

Таблица 26 – Описание разъемов, индикаторов и органов управления передней панели ESR-10

Боковые панели устройства ESR-10

Внешний вид боковой панели устройства ESR-10 показан на рисунке 36.

Рисунок 36 – Боковая панель ESR-10

В таблице 27 приведен перечень органов управления, расположенных на правой панели маршрутизатора.

Таблица 27 – Описание разъемов панели маршрутизатора

Верхняя панель устройство ESR-10

Внешний вид верхней панели устройства ESR-10 показан на рисунке 37.

Рисунок 37 – Верхняя панель маршрутизатора ESR-10

В таблице 28 приведен перечень светодиодных индикаторов, расположенных на верхней панели устройства ESR-10.

Таблица 28 – Описание индикаторов верхней панели

Световая индикация

Световая индикация ESR-1700, ESR-1510, ESR-1500, ESR-1200, ESR-1000

Состояние медных интерфейсов Gigabit Ethernet отображается двумя светодиодными индикаторами – LINK/ACT зеленого цвета и SPEED янтарного цвета. Расположение индикаторов медных интерфейсов показано на рисунке 38. Состояние SFP-интерфейсов отображается двумя индикаторами RX/ACT и TX/ACT и указано на рисунке 39. Значения световой индикации описаны в таблицах 29 и 30, соответственно.

Рисунок 38 – Расположение индикаторов разъема RJ-45

Рисунок 39 – Расположение индикаторов оптических интерфейсов

Таблица 29 – Световая индикация состояния медных интерфейсов

Таблица 30 – Световая индикация состояния SFP/SFP+ интерфейсов

В следующей таблице приведено описание состояний системных индикаторов устройства и их значений.

Таблица 31 – Состояния системных индикаторов

Световая индикация ESR-200/ESR-100

Состояние медных интерфейсов Gigabit Ethernet и SFP-интерфейсов отображается двумя светодиодными индикаторами – LINK/ACT зеленого цвета и SPEED янтарного цвета. Расположение индикаторов медных интерфейсов показано на рисунке 38. Состояние SFP-интерфейсов указано на рисунке 40. Значения световой индикации описаны в таблице 32.

Рисунок 40 – Расположение индикаторов оптических интерфейсов

Таблица 32 – Световая индикация состояния медных интерфейсов и SFP-интерфейсов

В следующей таблице приведено описание состояний системных индикаторов устройства и их значений.

Таблица 33 – Состояния системных индикаторов

¹  Не поддерживается в текущей версии ПО

Световая индикация ESR-21/ESR-20

Состояние медных интерфейсов Gigabit Ethernet отображается двумя светодиодными индикаторами – LINK/ACT зеленого цвета и SPEED янтарного цвета.

Таблица 34 – Световая индикация состояния медных интерфейсов и SFP-интерфейсов

Рисунок 41 – Расположение индикаторов разъема SFP

Рисунок 42 – Расположение индикаторов разъема RJ-45

В следующей таблице приведено описание состояний системных индикаторов устройства и их значений.

Таблица 35 – Состояния системных индикаторов

Световая индикация ESR-12V(F)

Состояние медных интерфейсов Gigabit Ethernet отображается двумя светодиодными индикаторами – LINK/ACT зеленого цвета и SPEED янтарного цвета.

Таблица 36 – Световая индикация состояния медных интерфейсов и SFP-интерфейсов

Рисунок 43 – Расположение индикаторов разъема SFP (только для ESR-12VF, ESR-14VF)

Рисунок 44 – Расположение индикаторов разъема RJ-45

В следующей таблице приведено описание состояний системных индикаторов устройства и их значений.

Таблица 37 – Состояния системных индикаторов

Световая индикация ESR-10

Состояние медных интерфейсов Gigabit Ethernet отображается светодиодным индикатором SPEED янтарного цвета.

Таблица 38 – Световая индикация состояния медных интерфейсов

Комплект поставки

В базовый комплект поставки ESR-10 входят:

• маршрутизатор ESR-10;
• внешний блок питания 12В;
• документация.

В базовый комплект поставки ESR-12V входят:

• маршрутизатор ESR-12V;
• кабель питания;
• комплект для крепления устройства в стойку 19”;
• документация.

В базовый комплект поставки ESR-12VF входят:

• маршрутизатор ESR-12VF;
• кабель питания;
• комплект для крепления устройства в стойку 19”;
• документация.

В базовый комплект поставки ESR-14VF входят:

• маршрутизатор ESR-14VF;
• кабель питания;
• комплект для крепления устройства в стойку 19”;
• документация.

В базовый комплект поставки ESR-20 входят:

• маршрутизатор ESR-20;
• кабель питания;
• комплект для крепления устройства в стойку 19”;
• документация.

В базовый комплект поставки ESR-21 входят:

• маршрутизатор ESR-21;
• кабель питания;
• комплект для крепления устройства в стойку 19”;
• документация.

В базовый комплект поставки ESR-100 входят:

• маршрутизатор ESR-100;
• кабель питания;
• комплект для крепления устройства в стойку 19”;
• документация.

В базовый комплект поставки ESR-200 входят:

• маршрутизатор ESR-200;
• кабель питания;
• комплект для крепления устройства в стойку 19”;
• документация.

В базовый комплект поставки ESR-1000 входят:

• маршрутизатор ESR-1000;
• комплект для крепления устройства в стойку 19”;
• документация.

В базовый комплект поставки ESR-1200 входят:

• маршрутизатор ESR-1200;
• комплект для крепления устройства в стойку 19”;
• документация.

В базовый комплект поставки ESR-1500 входят:

• маршрутизатор ESR-1500;
• комплект для крепления устройства в стойку 19”;
• документация.

В базовый комплект поставки ESR-1510 входят:

• маршрутизатор ESR-1510;
• комплект для крепления устройства в стойку 19”;
• документация.

В базовый комплект поставки ESR-1700 входят:

• маршрутизатор ESR-1700;
• комплект для крепления устройства в стойку 19”;
• документация.

Установка и подключение

В данном разделе описаны процедуры установки устройства в стойку и подключения к питающей сети.

Крепление кронштейнов

В комплект поставки устройства входят кронштейны для установки в стойку и винты для крепления кронштейнов к корпусу устройства. Для установки кронштейнов:

Рисунок 45 – Крепление кронштейнов

1. Совместите четыре отверстия для винтов на кронштейне с такими же отверстиями на боковой панели устройства.
2. С помощью отвертки прикрепите кронштейн винтами к корпусу.
3. Повторите действия 1, 2 для второго кронштейна.

Установка устройства в стойку

Для установки устройства в стойку:

1. Приложите устройство к вертикальным направляющим стойки.
2. Совместите отверстия кронштейнов с отверстиями на направляющих стойки. Используйте отверстия в направляющих на одном уровне с обеих сторон стойки для того, чтобы устройство располагалось горизонтально.
3. С помощью отвертки прикрепите маршрутизатор к стойке винтами.

Рисунок 46 – Установка устройства в стойку

Установка модулей питания ESR-1000, ESR-1200, ESR-1500, ESR-1510, ESR-1700

Маршрутизаторы ESR-1000/1200/1500/1510/1700 могут работать с одним или двумя модулями питания. Установка второго модуля питания необходима в случае использования устройства в условиях, требующих повышенной надежности.

Места для установки модулей питания с электрической точки зрения равноценны. С точки зрения использования устройства, модуль питания, находящийся ближе к краю, считается основным, ближе к центру – резервным. Модули питания могут устанавливаться и извлекаться без выключения устройства. При установке или извлечении дополнительного модуля питания маршрутизатор продолжает работу без перезапуска.

Рисунок 47 – Установка модулей питания

Рисунок 48 – Установка заглушки

Состояние модулей питания может быть проверено по индикации на передней панели маршрутизатора (см. раздел Световая индикация) или по диагностике, доступной через интерфейсы управления маршрутизатором.

Подключение питающей сети

1. Прежде, чем к устройству будет подключена питающая сеть, необходимо заземлить корпус устройства. Заземление необходимо выполнять изолированным многожильным проводом. Устройство заземления и сечение заземляющего провода должны соответствовать требованиями Правил устройства электроустановок (ПУЭ).
2. Если предполагается подключение компьютера или иного оборудования к консольному порту маршрутизатора, это оборудование также должно быть надежно заземлено.
3. Подключите к устройству кабель питания. В зависимости от комплектации устройства, питание может осуществляться от сети переменного тока либо от сети постоянного тока. При подключении сети переменного тока следует использовать кабель, входящий в комплект устройства. Для подключения к сети постоянного тока используйте провод сечением не менее 1 мм².
4. Включите питание устройства и убедитесь в отсутствии аварий по состоянию индикаторов на передней панели.

Установка и удаление SFP-трансиверов

Установка трансивера

1. Вставьте верхний SFP-модуль в слот открытой частью разъема вниз, а нижний SFP-модуль – открытой частью разъема вверх.
   

   Рисунок 49 – Установка SFP-трансиверов

2. Надавите на модуль по направлению внутрь корпуса устройства до появления характерного щелчка фиксации модуля.
   
   

   Рисунок 50 – Установленные SFP-трансиверы

Удаление трансивера

1. Откиньте рукоятку модуля, это приведет к разблокированию удерживающей защелки.
   
   

   Рисунок 51 – Открытие защелки SFP-трансиверов

2. Извлеките модуль из слота.
   
   

   Рисунок 52 – Извлечение SFP-трансиверов

Интерфейсы управления

Настройка и мониторинг устройства могут осуществляться через различные интерфейсы управления.

Для доступа к устройству может использоваться сетевое подключение по протоколам Telnet и SSH или прямое подключение через консольный порт, соответствующий спецификации RS-232. При доступе по протоколам Telnet, SSH и при подключении через консольный порт для управления устройством используется интерфейс командной строки.

При использовании любого из перечисленных интерфейсов управления действуют единые принципы работы с конфигурацией. Должна соблюдаться определенная, описанная здесь, последовательность изменения и применения конфигурации, позволяющая защитить устройство от некорректного конфигурирования.

Интерфейс командной строки (CLI)

Интерфейс командной строки (Command Line Interface, CLI) – интерфейс, предназначенный для управления, просмотра состояния и мониторинга устройства. Для работы потребуется любая установленная на ПК программа, поддерживающая работу по протоколу Telnet, SSH или прямое подключение через консольный порт (например, HyperTerminal).

Интерфейс командной строки обеспечивает авторизацию пользователей и ограничивает их доступ к командам на основании уровня доступа, заданного администратором.

В системе может быть создано необходимое количество пользователей, права доступа задаются индивидуально для каждого из них.

Для обеспечения безопасности командного интерфейса, все команды разделены на две категории – привилегированные и непривилегированные. К привилегированным в основном относятся команды конфигурирования. К непривилегированным – команды мониторинга.

Система позволяет нескольким пользователям одновременно подключаться к устройству.

Типы и порядок именования интерфейсов маршрутизатора

При работе маршрутизатора используются сетевые интерфейсы различного типа и назначения. Система именования позволяет однозначно адресовать интерфейсы по их функциональному назначению и местоположению в системе. Далее в таблице приведен перечень типов интерфейсов.

Таблица 39 – Типы и порядок именования интерфейсов маршрутизатора

Типы и порядок именования туннелей маршрутизатора

При работе маршрутизатора используются сетевые туннели различного типа и назначения. Система именования позволяет однозначно адресовать туннели по их функциональному назначению. Далее в таблице приведен перечень типов туннелей.

Таблица 40 – Типы и порядок именования туннелей маршрутизатора

Начальная настройка Маршрутизатора

Заводская конфигурация маршрутизатора ESR

При отгрузке устройства потребителю на устройство загружена заводская конфигурация, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.

Описание заводской конфигурации

Для подключения к сетям в конфигурации описаны 2 зоны безопасности с наименованиями «Trusted» для локальной сети и «Untrusted» для публичной сети. Все интерфейсы разделены между двух зон безопасности:

1. Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены.
   

   В данную зону безопасности входят интерфейсы:

   для ESR-10/12V: GigabitEthernet 1/0/1

   для ESR-12VF/ESR-14VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9

   для ESR-20: GigabitEthernet 1/0/1

   для ESR-21: GigabitEthernet 1/0/1;

   для ESR-100/200: GigabitEthernet 1/0/1;

   для ESR-1000/1500/1510: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;

   для ESR-1200/1700: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2.

   Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 2.

2. Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов Telnet и SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.
   

   В данную зону безопасности входят интерфейсы:

   для ESR-10: GigabitEthernet 1/0/2-6;

   для ESR-12V(F)/ESR-14VF: GigabitEthernet 1/0/2-8;

   для ESR-20: GigabitEthernet 1/0/2-4;

   для ESR-21: GigabitEthernet 1/0/2-12;

   для ESR-100: GigabitEthernet 1/0/2-4;

   для ESR-200: GigabitEthernet 1/0/2-8;

   для ESR-1000: GigabitEthernet 1/0/2-24;

   для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;

   для ESR-1500/1510: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;

   для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12.

   Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.

На интерфейсе Bridge 2 включен DHCP-клиент для получения динамического IP-адреса от провайдера. На интерфейсе Bridge 1 сконфигурирован статический IP-адрес 192.168.1.1/24. Созданный IP-интерфейс выступает в качестве шлюза для клиентов локальной сети. Для клиентов локальной сети настроен DHCP пул адресов 192.168.1.2-192.168.1.254 с маской 255.255.255.0. Для получения клиентами локальной сети доступа к Internet на маршрутизаторе включен сервис Source NAT.

Политики зон безопасности настроены следующим образом:

Таблица 41 – Описание политик зон безопасности

Подключение и конфигурирование маршрутизатора

Маршрутизаторы серии ESR предназначены для выполнения функций пограничного шлюза и обеспечения безопасности сети пользователя при подключении ее к публичным сетям передачи данных.

Базовая настройка маршрутизатора должна включать:

• назначение IP-адресов (статических или динамических) интерфейсам, участвующим в маршрутизации данных;
• создание зон безопасности и распределение интерфейсов по зонам;
• создание политик, регулирующих прохождение данных между зонами;
• настройка сервисов, сопутствующих маршрутизации данных (NAT, Firewall и прочие).

Расширенные настройки зависят от требований конкретной схемы применения устройства и легко могут быть добавлены или изменены с помощью имеющихся интерфейсов управления.

Подключение к маршрутизатору

Предусмотрены следующие способы подключения к устройству:

Подключение по локальной сети Ethernet

Подключите сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону «Trusted», и к компьютеру, предназначенному для управления.

В заводской конфигурации маршрутизатора активирован DHCP-сервер с пулом IP-адресов в подсети 192.168.1.0/24.

При подключении сетевого интерфейса управляющего компьютера он должен получить сетевой адрес от сервера.

Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.

Подключение через консольный порт RS-232

При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» маршрутизатора с портом RS-232 компьютера.

Запустите терминальную программу (например, HyperTerminal или Minicom) и создайте новое подключение. Должен быть использован режим эмуляции терминала VT100.

Выполните следующие настройки интерфейса RS-232:

Применение изменения конфигурации

Любые изменения, внесенные в конфигурацию, вступят в действие только после применения команды:

esr# commit
Configuration has been successfully committed

После применения данной команды запускается таймер "отката" конфигурации. Для остановки таймера и механизма "отката" используется команда:

esr# confirm
Configuration has been successfully confirmed

Значение таймера "отката" по умолчанию – 600 секунд. Для изменения данного таймера используется команда:

esr(config)# system config-confirm timeout <TIME>

<TIME> – интервал времени ожидания подтверждения конфигурации, принимает значение в секундах [120..86400].

Базовая настройка маршрутизатора

Процедура настройки маршрутизатора при первом включении состоит из следующих этапов:

• Изменение пароля пользователя «admin».
• Создание новых пользователей.
• Назначение имени устройства (Hostname).
• Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
• Настройка удаленного доступа к маршрутизатору.
• Применение базовых настроек.

Изменение пароля пользователя «admin»

Для защищенного входа в систему необходимо сменить пароль привилегированного пользователя «admin».

Имя пользователя и пароль вводится при входе в систему во время сеансов администрирования устройства.

Для изменения пароля пользователя «admin» используются следующие команды:

esr# configure
esr(config)# username admin
esr(config-user)# password <new-password>
esr(config-user)# exit

Создание новых пользователей

Для создания нового пользователя системы или настройки любого из параметров – имени пользователя, пароля, уровня привилегий, – используются команды:

esr(config)# username <name>
esr(config-user)# password <password>	
esr(config-user)# privilege <privilege>
esr(config-user)# exit

Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:

esr# configure
esr(config)# username fedor
esr(config-user)# password 12345678
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username ivan
esr(config-user)# password password
esr(config-user)# privilege 1
esr(config-user)# exit

Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:

esr# configure
esr(config)# username fedor
esr(config-user)# password 12345678
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username ivan
esr(config-user)# password password
esr(config-user)# privilege 1
esr(config-user)# exit

Назначение имени устройства

Для назначения имени устройства используются следующие команды:

esr# configure
esr(config)# hostname <new-name>	

После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.

Настройка параметров публичной сети

Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить устройству параметры, определённые провайдером сети – IP-адрес, маска подсети и адрес шлюза по умолчанию.

Пример команд настройки статического IP-адреса для субинтерфейса Gigabit Ethernet 1/0/2.150 для доступа к маршрутизатору через VLAN 150.

Параметры интерфейса:

• IP-адрес – 192.168.16.144;
• Маска подсети – 255.255.255.0;
• IP-адрес шлюза по умолчанию – 192.168.16.1.

esr# configure
esr(config)# interface gigabitethernet 1/0/2.150
esr(config-subif)# ip address 192.168.16.144/24
esr(config-subif)# exit
esr(config)# ip route 0.0.0.0/0 192.168.16.1 

Для того чтобы убедиться, что адрес был назначен интерфейсу, после применения конфигурации введите следующую команду:

esr# show ip interfaces

IP address            Interface                           Type
-------------------   ---------------------------------   -------
192.168.16.144/24     gigabitethernet 1/0/2.150           static

Провайдер может использовать динамически назначаемые адреса в своей сети. Для получения IP-адреса может использоваться протокол DHCP, если в сети присутствует сервер DHCP.

Пример настройки, предназначенной для получения динамического IP-адреса от DHCP-сервера на интерфейсе Gigabit Ethernet 1/0/10:

esr# configure
esr(config)# interface gigabitethernet 1/0/10
esr(config-if)# ip address dhcp
esr(config-if)# exit

Для того чтобы убедиться, что адрес был назначен интерфейсу, введите следующую команду после применения конфигурации:

esr# show ip interfaces

IP address            Interface                           Type
-------------------   ---------------------------------   -------
192.168.11.5/25       gigabitethernet 1/0/10              DHCP

Настройка удаленного доступа к маршрутизатору

В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам Telnet или SSH из зоны «trusted». Для того чтобы разрешить удаленный доступ к маршрутизатору из других зон, например, из публичной сети, необходимо создать соответствующие правила в firewall.

При конфигурировании доступа к маршрутизатору правила создаются для пары зон:

• source- zone – зона, из которой будет осуществляться удаленный доступ;
• self – зона, в которой находится интерфейс управления маршрутизатором.

Для создания разрешающего правила используются следующие команды:

esr# configure
esr(config)# security zone-pair <source-zone> self
esr(config-zone-pair)# rule <number>
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address <network object-group>
esr(config-zone-rule)# match destination-address <network object-group>
esr(config-zone-rule)# match destination-port <service object-group>
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Пример команд для разрешения пользователям из зоны «untrusted» с IP-адресами 132.16.0.5-132.16.0.10 подключаться к маршрутизатору с IP-адресом 40.13.1.22 по протоколу SSH:

esr# configure
esr(config)# object-group network clients
esr(config-addr-set)# ip address-range 132.16.0.5-132.16.0.10
esr(config-addr-set)# exit
esr(config)# object-group network gateway
esr(config-addr-set)# ip address-range 40.13.1.22
esr(config-addr-set)# exit
esr(config)# object-group service ssh
esr(config-port-set)# port-range 22
esr(config-port-set)# exit
esr(config)# security zone-pair untrusted self
esr(config-zone-pair)# rule 10
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address clients
esr(config-zone-rule)# match destination-address gateway
esr(config-zone-rule)# match destination-port ssh
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Обновление программного обеспечения

Обновление программного обеспечения средствами системы

Обновление программного обеспечения на устройстве, работающем под управлением операционной системы, выполняется в следующем порядке.

1. Подготовьте для работы выбранный сервер. Должен быть известен адрес сервера, на сервере должен быть размещен файл дистрибутивный файл программного обеспечения.
2. Маршрутизатор должен быть подготовлен к работе в соответствии с требованиями документации. Конфигурация маршрутизатора должна позволять обмениваться данными по протоколам TFTP/FTP/SCP и ICMP с сервером. При этом должна быть учтена принадлежность сервера к зонам безопасности маршрутизатора.
3. Подключитесь к маршрутизатору локально через консольный порт Console или удаленно, используя проколы Telnet или SSH.
   Проверьте доступность сервера для маршрутизатора, используя команду ping на маршрутизаторе. Если сервер не доступен – проверьте правильность настроек маршрутизатора и состояние сетевых интерфейсов сервера.
4. Для обновления программного обеспечения маршрутизатора введите следующую команду. В качестве параметра <server> должен быть указан IP-адрес используемого сервера. Для обновления с FTP или SCP-сервера потребуется ввести имя пользователя (параметр <user>) и пароль (параметр <password>). В качестве параметра <file_ name> укажите имя файла программного обеспечения, помещенного на сервер (при использовании SCP нужно указать полный путь – параметр <folder>). После ввода команды маршрутизатор скопирует файл во внутреннюю память, проверит целостность данных и сохранит его в энергонезависимую память устройства.
   

   TFTP:

   esr# copy tftp://<server>:/<file_name> system:firmware 

    FTP:

   esr# copy ftp://[<user>[:<password>]@]<server>:/<file_name> system:firmware

   SCP:

   esr# сору scp://[<user>[:<password>]@]<server>://<folder>/<file_name> system:firmware

   Для примера обновим основное ПО через SCP:

   esr# сору scp://adm:password123@192.168.16.168://home/tftp/firmware system:firmware

5. Для того чтобы устройство работало под управлением новой версии программного обеспечения, необходимо произвести переключение активного образа. С помощью команды show bootvar следует выяснить номер образа, содержащего обновленное ПО.

   esr# show bootvar
   Image   Version                      Date                   Status         After reboot   
   -----  --------------               --------------------    ------------   ------------   
   1       1.0.7 build 141[f812808]     date 18/02/2015 time    Active         *
                                        16:12:54             
   
   2       1.0.7 build 141[f812808]     date 18/02/2015 time   Not Active
                                        16:12:54             

   Для выбора образа используйте команду

   esr# boot system image-[1|2] 

6. Для обновления вторичного загрузчика (U-Boot) введите следующую команду. В качестве параметра <server> должен быть указан IP-адрес используемого сервера. Для обновления с FTP или SCP-сервера потребуется ввести имя пользователя (параметр <user>) и пароль (параметр <password>). В качестве параметра <file_ name> укажите имя файла вторичного загрузчика, помещенного на сервер (при использовании SCP нужно указать полный путь – параметр <folder>). После ввода команды маршрутизатор скопирует файл во внутреннюю память, проверит целостность данных и сохранит его в энергонезависимую память устройства.
   TFTP:

   esr# copy tftp://<server>:/<file_name> system:boot 

   FTP:

   esr# copy ftp://<server>:/<file_name> system:boot

   SCP:

   esr# copy scp://[<user>[:<password>]@]<server>://<folder>/<file_name> system:boot

Обновление программного обеспечения из начального загрузчика

Программное обеспечение маршрутизатора можно обновить из начального загрузчика следующим образом:

1. Остановите загрузку устройства после окончания инициализации маршрутизатора загрузчиком U-Boot, нажав клавишу <Esc>.

   Configuring PoE...
   distribution 1 dest_threshold 0xa drop_timer 0x0
   Configuring POE in bypass mode
   NAE configuration done!
   initializing port 0, type 2.
   initializing port 1, type 2.
   SMC Endian Test:b81fb81f
   nae-0, nae-1
     =======Skip: Load SYS UCORE for old 8xxB1/3xxB0 revision on default.
   Hit any key to stop autoboot:  2

2. Укажите IP-адрес TFTP-сервера:

   BRCM.XLP316Lite Rev B0.u-boot# setenv serverip 10.100.100.1
   Для версии 1.5 и выше: BRCM.XLP316Lite Rev B0.u-boot# serverip 10.100.100.1

3. Укажите IP-адрес маршрутизатора:

   BRCM.XLP316Lite Rev B0.u-boot# setenv ipaddr 10.100.100.2
   Для версии 1.5 и выше: BRCM.XLP316Lite Rev B0.u-boot# ipaddr 10.100.100.2

4. Укажите имя файла программного обеспечения на TFTP-сервере:

   Для версии 1.5 и выше: BRCM.XLP316Lite Rev B0.u-boot# firmware_file firmware

5. Можно сохранить окружение командой «saveenv» для будущих обновлений.
6. Запустите процедуру обновления программного обеспечения
   

   BRCM.XLP316Lite Rev B0.u-boot# run tftp_update_image1
   

   Using nae-0-3 device
   TFTP from server 10.100.100.1; our IP address is 10.100.100.2
   Filename 'esr1000/firmware'.
   Load address: 0xa800000060000000
   Loading: TftpStart:TftpTimeoutMsecs = 10000, TftpTimeoutCountMax = 6
   #################################################################
   ################################################################# #################################################################
   #########################
   ####################################
   done
   Bytes transferred = 64453909 (3d77d15 hex)
   Device 0: MT29F8G08ABBCAH4 ... is now current device
   
   NAND erase: device 0 offset 0x1440000, size 0x6400000
   Bad block table found at page 262080, version 0x01
   Bad block table found at page 262016, version 0x01
   Erasing at 0x7800000 -- 1895825408% complete..
   OK
   
   NAND write: device 0 offset 0x1440000, size 0x6400000
   104857600 bytes written: OK

7. Установите загруженное программное обеспечение в качестве образа для запуска системы и перезагрузите роутер:
   

   BRCM.XLP316Lite Rev B0.u-boot# run set_bootpart_1

   Для версии 1.5 и выше: BRCM.XLP316Lite Rev B0.u-boot# boot_system image1

   BRCM.XLP316Lite Rev B0.u-boot# reset

Обновление вторичного загрузчика (U-Boot)

Вторичный загрузчик занимается инициализацией NAND и маршрутизатора. При обновлении новый файл вторичного загрузчика сохраняется на flash на месте старого.

Для просмотра текущей версии загрузочного файла, работающего на устройстве, введите команду «version» в CLI U-Boot, также версия отображается в процессе загрузки маршрутизатора :

BRCM.XLP316Lite Rev B0.u-boot# version

BRCM.XLP.U-Boot:1.1.0.47 (29/11/2016 – 19:00:24)

Процедура обновления ПО:

1. Остановите загрузку устройства после окончания инициализации маршрутизатора загрузчиком U-Boot, нажав клавишу <Esc>.

   Configuring PoE...
   distribution 1 dest_threshold 0xa drop_timer 0x0
   Configuring POE in bypass mode
   NAE configuration done!
   initializing port 0, type 2.
   initializing port 1, type 2.
   SMC Endian Test:b81fb81f
   nae-0, nae-1
     =======Skip: Load SYS UCORE for old 8xxB1/3xxB0 revision on default.
   Hit any key to stop autoboot:  2

2. Укажите IP-адрес TFTP-сервера:
   

   BRCM.XLP316Lite Rev B0.u-boot# setenv serverip 10.100.100.1

   Для версии 1.5 и выше: BRCM.XLP316Lite Rev B0.u-boot# serverip 10.100.100.2

3. Укажите IP-адрес маршрутизатора:

   BRCM.XLP316Lite Rev B0.u-boot# setenv ipaddr 10.100.100.2

   Для версии 1.5 и выше: BRCM.XLP316Lite Rev B0.u-boot# ipaddr 10.100.100.2

4. Укажите имя файла загрузчика на TFTP-сервере:
   

   Для версии 1.5 и выше: BRCM.XLP316Lite Rev B0.u-boot# uboot_ file u- boot. bin

5. Можно сохранить окружение командой «saveenv» для будущих обновлений.
6. Запустите процедуру обновления программного обеспечения:
   

   BRCM.XLP316Lite Rev B0.u-boot# run upd_uboot

   Для версии 1.5 и выше: BRCM.XLP316LiteRevB0.u-boot# run tftp_update_uboot

   Using nae-1 device
   TFTP from server 10.100.100.1; our IP address is 10.100.100.2
   Filename 'esr1000/u-boot.bin'.
   Load address: 0xa800000078020000
   Loading: ###########################################################
   done
   Bytes transferred = 852648 (d02a8 hex)
   SF: Detected MX25L12805D with page size 256, total 16777216 bytes
   16384 KiB MX25L12805D at 0:0 is now current device

7. Перезагрузите маршрутизатор:
   

   BRCM.XLP316Lite Rev B0.u-boot# reset