Аннотация

В настоящем руководстве приводится заводская конфигурация устройства и рекомендации по начальной настройке маршрутизаторов серии ESR (далее устройство).

Данное руководство предназначено для технического персонала, выполняющего установку и настройку устройства.

Заводская конфигурация маршрутизатора ESR

При отгрузке устройства потребителю на маршрутизатор загружена заводская конфигурация, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.

Описание заводской конфигурации

Для подключения к сетям в конфигурации описаны 2 зоны безопасности с наименованиями «Trusted» для локальной сети и «Untrusted» для публичной сети. Все интерфейсы разделены между двух зон безопасности:

Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены.
В данную зону безопасности входят интерфейсы:
- для ESR-10/12V: GigabitEthernet 1/0/1;
- для ESR-12VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9;
- для ESR-15(R): GigabitEthernet1/0/1; GigabitEthernet1/0/6;
- для ESR-15VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/10;
- для ESR-20: GigabitEthernet 1/0/1;
- для ESR-21: GigabitEthernet 1/0/1;
- для ESR-30/31: GigabitEthernet 1/0/1; TengigabitEthernet 1/0/1-2;
- для ESR-100/200: GigabitEthernet 1/0/1;
- для ESR-1000/1500/3100: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;
- для ESR-1200/1700: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2;
- для ESR-1511: GigabitEthernet 1/0/1, FortygigabitEthernet 1/0/1-2;
- для ESR-3200: Twentyfivegigabitethernet 1/0/1-2;
- для ESR-3200L: TengigabitEthernet 1/0/1-2, TwentyfivegigabitEthernet 1/0/1-2;
- для ESR-3250/3350: GigabitEthernet 1/0/1, TwentyfivegigabitEthernet 1/0/1-2;
- для ESR-3300: TwentyfivegigabitEthernet 1/0/1-2, HundredgigabitEthernet 1/0/1-2.
  
  Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 2.
Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.
В данную зону безопасности входят интерфейсы:
- для ESR-10: GigabitEthernet 1/0/2-6;
- для ESR-12V(F): GigabitEthernet 1/0/2-8;
- для ESR-15(R): GigabitEthernet 1/0/2-5;
- для ESR-15VF: GigabitEthernet 1/0/2-9;
- для ESR-20: GigabitEthernet 1/0/2-4;
- для ESR-21: GigabitEthernet 1/0/2-12;
- для ESR-30: GigabitEthernet 1/0/2-4;
- для ESR-31: GigabitEthernet 1/0/2-14;
- для ESR-100: GigabitEthernet 1/0/2-4;
- для ESR-200: GigabitEthernet 1/0/2-8;
- для ESR-1000: GigabitEthernet 1/0/2-24;
- для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;
- для ESR-1500: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;
- для ESR-1511: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/1-4;
- для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12;
- для ESR-3100: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-8;
- для ESR-3200: Twentyfivegigabitethernet 1/0/3-12;
- для ESR-3200L: TengigabitEthernet 1/0/3-8, TwentyfivegigabitEthernet 1/0/3-4;
- для ESR-3250/3350: GigabitEthernet 1/0/2-8, Twentyfivegigabitethernet 1/0/3-4;
- для ESR-3300: TwentyfivegigabitEthernet 1/0/3-4, HundredgigabitEthernet 1/0/3-4.
  
  Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.

На интерфейсе Bridge 2 включен DHCP-клиент для получения динамического IP-адреса от провайдера. На интерфейсе Bridge 1 сконфигурирован статический IP-адрес 192.168.1.1/24. Созданный IP-интерфейс выступает в качестве шлюза для клиентов локальной сети. Для клиентов локальной сети настроен DHCP-пул адресов 192.168.1.2-192.168.1.254 с маской 255.255.255.0. Для получения клиентами локальной сети доступа к Internet на маршрутизаторе включен сервис Source NAT.

Политики зон безопасности настроены следующим образом:

Таблица 1 – Описание политик зон безопасности

Зона, из которой идет трафик	Зона, в которую идет трафик	Тип трафика	Действие
Trusted	Untrusted	TCP, UDP, ICMP	разрешен
Trusted	Trusted	TCP, UDP, ICMP	разрешен
Trusted	self	TCP/22 (SSH), ICMP, UDP/67 (DHCP Server), UDP/123 (NTP)	разрешен
Untrusted	self	UDP/68 (DHCP Client)	разрешен

Для обеспечения возможности конфигурирования устройства при первом включении в конфигурации маршрутизатора создана учётная запись администратора «admin» с паролем «password».

Пользователю будет предложено изменить пароль администратора при начальном конфигурировании маршрутизатора.

Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический IP-адрес на интерфейсе Bridge 1 – 192.168.1.1/24.

Подключение и конфигурирование маршрутизатора

Маршрутизаторы серии ESR предназначены для выполнения функций пограничного шлюза и обеспечения безопасности сети пользователя при подключении ее к публичным сетям передачи данных.

Базовая настройка маршрутизатора должна включать:

назначение IP-адресов (статических или динамических) интерфейсам, участвующим в маршрутизации данных;
создание зон безопасности и распределение интерфейсов по зонам;
создание политик, регулирующих прохождение данных между зонами;
настройка сервисов, сопутствующих маршрутизации данных (NAT, Firewall и прочие).

Расширенные настройки зависят от требований конкретной схемы применения устройства и легко могут быть добавлены или изменены с помощью имеющихся интерфейсов управления.

Подключение к маршрутизатору

Предусмотрены следующие способы подключения к устройству:

Подключение по локальной сети Ethernet

При первоначальном старте маршрутизатор загружается с заводской конфигурацией. Описание заводской конфигурации приведено в разделе Заводская конфигурация маршрутизатора ESR данного руководства.

Подключите сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону «Trusted», и к компьютеру, предназначенному для управления.

В заводской конфигурации маршрутизатора активирован DHCP-сервер с пулом IP-адресов в подсети 192.168.1.0/24.

При подключении сетевого интерфейса управляющего компьютера он должен получить сетевой адрес от сервера.

Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.

Подключение через консольный порт RS-232

При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» маршрутизатора с портом RS-232 компьютера.

Запустите терминальную программу (например, HyperTerminal или Minicom) и создайте новое подключение. Должен быть использован режим эмуляции терминала VT100.

Выполните следующие настройки интерфейса RS-232:

Скорость: 115200 бит/с
Биты данных: 8 бит
Четность: нет
Стоповые биты: 1
Управление потоком: нет

Применение изменения конфигурации

Любые изменения, внесенные в конфигурацию, вступят в действие только после применения команды:

esr# commit
Configuration has been successfully committed

После применения данной команды запускается таймер «отката» конфигурации. Для остановки таймера и механизма «отката» используется команда:

esr# confirm
Configuration has been successfully confirmed

Значение таймера «отката» по умолчанию – 600 секунд. Для изменения данного таймера используется команда:

esr(config)# system config-confirm timeout <TIME>

<TIME> – интервал времени ожидания подтверждения конфигурации, принимает значение в секундах [120..86400].

Базовая настройка маршрутизатора

Процедура настройки маршрутизатора при первом включении состоит из следующих этапов:

Изменение пароля пользователя «admin» при первой авторизации.
Создание новых пользователей.
Назначение имени устройства (Hostname).
Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
Настройка удаленного доступа к маршрутизатору.
Применение базовых настроек.

Изменение пароля пользователя «admin» при первой авторизации

При первом входе в систему необходимо сменить пароль по умолчанию привилегированного пользователя «admin». До смены пароля пользовательская настройка устройства недоступна.

После указания нового пароля необходимо применить изменения в конфигурации командой commit и подтвердить изменения командой confirm:

esr(change-expired-password)# password <new password>
esr(change-expired-password)# commit 
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
esr(change-expired-password)# confirm
Configuration has been confirmed. Commit timer canceled.
esr#

Создание новых пользователей

Для управления устройством на сервисных маршрутизаторах ESR существует возможность создавать пользовательские учетные записи, у которых администратор может индивидуально задать:

пароль;
уровень привилегий;
режим работы учетной записи.

Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий и режима работы – используются команды:

esr(config)# username <name>
esr(config-user)# password <password>
esr(config-user)# privilege <privilege>
esr(config-user)# mode <mode>
esr(config-user)# exit

Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.

У учетных записей есть несколько режимов работы:

cli – режим работы по умолчанию, пользователь получает доступ к интерфейсу командной строки, предназначенному для управления, просмотра состояния и мониторинга устройства;
techsupport – пользователь получает доступ к командной оболочке, в которой выполняется процедура отладки устройства совместно с специалистами технической поддержки;
sftp – пользователь используется для организации доступа к встроенному SFTP-серверу, возможность работы в какой-либо командой оболочке при этом у пользователя отсутствует.

Пользователь «admin» является единственным предустановленным пользователем в конфигурации устройства. Это приводит к определенным особенностям работы с ним:

1) Применение команды no username admin не удаляет пользователя «admin» из конфигурации, а приводит его к настройкам по умолчанию – паролю «password» и 15 уровню привилегий.
2) Отключить возможность авторизации пользователя «admin» можно командой no admin login enable.
3) Пользователь «admin» с настройками по умолчанию (пароль «password», уровень привилегий 15) не отображается в выводах команд show running-config и show candidate-config без модификатора «full».

Пример команд для создания нескольких учетных записей – пользователя «netmaster» с уровнем привилегий 15 для управления оборудованием, пользователя «watcher» с уровнем привилегий 1 для ограниченного просмотра оперативной информации, а также пользователя «techsup» для отладки устройства совместно с сотрудниками технической поддержки:

esr# configure
esr(config)# username netmaster
esr(config-user)# password P@ssW0rd
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username watcher
esr(config-user)# password password
esr(config-user)# privilege 1
esr(config-user)# exit
esr(config)# username techsup
esr(config-user)# password PsWdTs
esr(config-user)# mode techsupport
esr(config-user)# exit
esr(config)#

Назначение имени устройства

Для назначения имени устройства используются следующие команды:

esr# configure
esr(config)# hostname <new-name>

После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.

Настройка параметров публичной сети

Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить устройству параметры, определённые провайдером сети – IP-адрес, маска подсети и адрес шлюза по умолчанию.

Пример команд настройки статического IP-адреса для саб-интерфейса Gigabit Ethernet 1/0/2.150 для доступа к маршрутизатору через VLAN 150.

Параметры интерфейса:

IP-адрес – 192.168.16.144;
Маска подсети – 255.255.255.0;
IP-адрес шлюза по умолчанию – 192.168.16.1.

esr# configure
esr(config)# interface gigabitethernet 1/0/2.150
esr(config-if-sub)# ip address 192.168.16.144/24
esr(config-if-sub)# exit
esr(config)# ip route 0.0.0.0/0 192.168.16.1

Для того чтобы убедиться, что адрес был назначен интерфейсу, после применения конфигурации введите следующую команду:

esr# show ip interfaces
IP address                                            Interface              Admin   Link    Type      Precedence    
---------------------------------------------------   --------------------   -----   -----   -------   -----------   
192.168.16.144/24                                     gi1/0/2.150            Up      Up      static    primary

Провайдер может использовать динамически назначаемые адреса в своей сети. Для получения IP-адреса может использоваться протокол DHCP, если в сети присутствует сервер DHCP.

Пример настройки, предназначенной для получения динамического IP-адреса от DHCP-сервера на интерфейсе Gigabit Ethernet 1/0/10:

esr# configure
esr(config)# interface gigabitethernet 1/0/10
esr(config-if)# ip address dhcp
esr(config-if)# exit

Для того чтобы убедиться, что адрес был назначен интерфейсу, введите следующую команду после применения конфигурации:

esr# show ip interfaces
IP address                                            Interface              Admin   Link    Type      Precedence    
---------------------------------------------------   --------------------   -----   -----   -------   -----------       
192.168.11.5/25                                       gi1/0/10               Up      Up      DHCP      --

Настройка удаленного доступа к маршрутизатору

В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколу SSH из зоны «trusted». Для того чтобы разрешить удаленный доступ к маршрутизатору из других зон, например, из публичной сети, необходимо создать соответствующие правила в firewall.

При конфигурировании доступа к маршрутизатору правила создаются для пары зон:

source-zone – зона, из которой будет осуществляться удаленный доступ;
self – зона, в которой находится интерфейс управления маршрутизатором.

Для создания разрешающего правила используются следующие команды:

esr# configure
esr(config)# security zone-pair <source-zone> self
esr(config-zone-pair)# rule <number>
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address object-group network <network object-group>
esr(config-zone-rule)# match destination-address object-group network <network object-group>
esr(config-zone-rule)# match destination-port object-group <service object-group>
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Пример команд для разрешения пользователям из зоны «untrusted» с IP-адресами 132.16.0.5-132.16.0.10 подключаться к маршрутизатору с IP-адресом 40.13.1.22 по протоколу SSH:

esr# configure
esr(config)# object-group network clients
esr(config-addr-set)# ip address-range 132.16.0.5-132.16.0.10
esr(config-addr-set)# exit
esr(config)# object-group network gateway
esr(config-addr-set)# ip address-range 40.13.1.22
esr(config-addr-set)# exit
esr(config)# object-group service ssh
esr(config-port-set)# port-range 22
esr(config-port-set)# exit
esr(config)# security zone-pair untrusted self
esr(config-zone-pair)# rule 10
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address object-group network clients
esr(config-zone-rule)# match destination-address object-group network gateway
esr(config-zone-rule)# match destination-port object-group ssh
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Рекомендации по безопасной настройке

Рекомендации по безопасной настройке носят общий характер и подходят для большинства инсталляций. Настоящие рекомендации в значительной степени повышают безопасность эксплуатации устройства, но не являются исчерпывающими. В зависимости от схемы применения устройства необходимо настраивать и другие параметры безопасности. В некоторых специфических случаях выполнение данных рекомендаций может привести к неработоспособности сети. При настройке устройства стоит в первую очередь следовать техническим требованиям и регламентам сетей, в которых будет эксплуатироваться данное устройство.

Общие рекомендации

Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды
shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall настоящего руководства. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI.

Настройка системы логирования событий

Алгоритмы настройки системы логирования событий приведены в подразделе «Настройка Syslog» раздела Мониторинг настоящего руководства.

Подробная информация о командах для настройки системы логирования событий приведена в разделе
Управление SYSLOG справочника команд CLI.

Предупреждения

Данные, хранящиеся в файловой системе tmpsys:syslog, не сохраняются при перезагрузке устройства. Этот тип файловой системы рекомендуется использовать для хранения оперативных логов.
Не рекомендуется использовать файловую систему flash:syslog для хранения логов, так как это может привести к преждевременному выходу из строя устройства ESR.

Пример настройки

Задача:

Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт. Включить ротацию 3 файлов. Включить нумерацию сообщений syslog.

Решение:

Настраиваем хранение syslog-сообщений в файле:

esr(config)# syslog file tmpsys:syslog/default
esr((config-syslog-file)# severity info
esr((config-syslog-file)# exit

Настраиваем ограничение размера и ротацию файлов:

esr(config)# syslog max-files 3
esr(config)# syslog file-size 512

Настраиваем передачу сообщений на внешний сервер:

esr(config)# syslog host mylog 
esr(config-syslog-host)# remote-address 92.168.1.2
esr(config-syslog-host)# transport udp
esr(config-syslog-host)# port 514
esr(config-syslog-host)# severity info
esr(config-syslog-host)# exit

Включаем нумерацию сообщений syslog:

esr(config)# syslog sequence-numbers

Настройка политики использования паролей

Алгоритмы настройки политики использования паролей приведены в разделе Настройка ААА настоящего руководства.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.

Пример настройки

Задача:

Настроить парольную политику с обязательным требованием смены пароля по умолчанию, временем действия пароля 1 месяц и запретом на использование 12 последних паролей.
Задать минимальную длину пароля 16 символов, максимальную — 64 символа.
Пароль должен содержать не менее 3 прописных букв, не менее 5 строчных букв, не менее 4 цифр и не менее 2 спецсимволов. Пароль в обязательном порядке должен содержать все 4 типа символов.

Решение:

Включаем запрос на смену пароля по умолчанию для пользователя admin:

esr(config)# security passwords default-expired

Устанавливаем время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:

esr(config)# security passwords lifetime 30
esr(config)# security passwords history 12

Устанавливаем ограничения на длину пароля:

esr(config)# security passwords min-length 16
esr(config)# security passwords max-length 24

Устанавливаем ограничения по минимальному количеству символов соответствующих типов:

esr(config)# security passwords upper-case 3
esr(config)# security passwords lower-case 5
esr(config)# security passwords special-case 2
esr(config)# security passwords numeric-count 4
esr(config)# security passwords symbol-types 4

Настройка политики AAA

Алгоритмы настройки политики ААА приведены в разделе Настройка ААА настоящего руководства.

Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.

Предупреждения

Встроенную учётную запись admin удалить нельзя, только отключить авторизацию для неё командой no admin login enable.
Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
Перед отключением авторизации для пользователя admin в конфигурацию устройства необходимо настроить пользователя с уровнем привилегий 15 или задать ENABLE-пароль для уровня привилегий 15.

Пример настройки

Задача:

Настроить политику AAA:

Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
Использовать ENABLE-пароль, заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
Установить пользователю admin пониженный уровень привилегий.
Настроить логирование изменений локальных учётных записей.
Настроить логирование изменений политик ААА.
Настроить логирование вводимых команд.

Решение:

Создаем локального пользователя local-operator с уровнем привилегий 8:

esr(config)# username local-operator
esr(config-user)# password Pa$$w0rd1
esr(config-user)# privilege 8 
esr(config-user)# exit

Задаём локальный ENABLE-пароль:

esr(config)# enable password $6e5c4r3e2t!

Далее необходимо отключить авторизацию у пользователя admin:

esr(config)# no admin login enable

Настраиваем связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:

esr(config)# radius-server host 192.168.1.11
esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esr(config-radius-server)# priority 100 esr(config-radius-server)# exit
esr(config)# radius-server host 192.168.2.12
esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esr(config-radius-server)# priority 150
esr(config-radius-server)# exit

Настраиваем политику ААА:

esr(config)# aaa authentication login CONSOLE radius local 
esr(config)# aaa authentication login SSH radius 
esr(config)# aaa authentication enable default radius enable
esr(config)# aaa authentication mode break
esr(config)# line console
esr(config-line-console)# login authentication CONSOLE 
esr(config-line-console)# exit esr(config)# line ssh 
esr(config-line-ssh)# login authentication SSH 
esr(config-line-ssh)# exit

Настраиваем логирование:

esr(config)# logging userinfo 
esr(config)# logging aaa
esr(config)# syslog cli-commands

Настройка удалённого управления

Подробная информация о командах настройки удалённого доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.

Пример настройки

Задача:

Сгенерировать новые ключи шифрования. Использовать криптостойкие алгоритмы.

Решение:

Отключаем устаревшие и не криптостойкие алгоритмы:

esr(config)# ip ssh server
esr(config)# ip ssh authentication algorithm md5 disable
esr(config)# ip ssh authentication algorithm md5-96 disable
esr(config)# ip ssh authentication algorithm ripemd160 disable
esr(config)# ip ssh authentication algorithm sha1 disable
esr(config)# ip ssh authentication algorithm sha1-96 disable
esr(config)# ip ssh authentication algorithm sha2-256 disable
esr(config)# ip ssh encryption algorithm 3des disable
esr(config)# ip ssh encryption algorithm aes128 disable
esr(config)# ip ssh encryption algorithm aes128ctr disable
esr(config)# ip ssh encryption algorithm aes192 disable
esr(config)# ip ssh encryption algorithm aes192ctr disable
esr(config)# ip ssh encryption algorithm aes256 disable
esr(config)# ip ssh encryption algorithm arcfour disable
esr(config)# ip ssh encryption algorithm arcfour128 disable
esr(config)# ip ssh encryption algorithm arcfour256 disable
esr(config)# ip ssh encryption algorithm blowfish disable
esr(config)# ip ssh encryption algorithm cast128 disable
esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable
esr(config)# ip ssh host-key algorithm dsa disable
esr(config)# ip ssh host-key algorithm ecdsa256 disable
esr(config)# ip ssh host-key algorithm ecdsa384 disable
esr(config)# ip ssh host-key algorithm ecdsa521 disable
esr(config)# ip ssh host-key algorithm ed25519 disable

Генерируем новые ключи шифрования:

esr# update ssh-host-key rsa 2048

Настройка механизмов защиты от сетевых атак

Алгоритмы настройки механизмов защиты от сетевых атак приведены в разделе Настройка логирования и защиты от сетевых настоящего руководства.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.

Пример настройки

Задача:

Настроить механизм защиты от сетевых атак в соответствии с рекомендациями.

Решение:

Включаем защиту от ip spoofing и логирование механизма защиты:

esr(config)# ip firewall screen spy-blocking spoofing
esr(config)# logging firewall screen spy-blocking spoofing

Включаем защиту от TCP-пакетов с неправильно выставленными флагами и логирование механизма защиты:

esr(config)# ip firewall screen spy-blocking syn-fin
esr(config)# logging firewall screen spy-blocking syn-fin
esr(config)# ip firewall screen spy-blocking fin-no-ack
esr(config)# logging firewall screen spy-blocking fin-no-ack
esr(config)# ip firewall screen spy-blocking tcp-no-flag
esr(config)# logging firewall screen spy-blocking tcp-no-flag
esr(config)# ip firewall screen spy-blocking tcp-all-flags
esr(config)# logging firewall screen spy-blocking tcp-all-flags

Включаем защиту от фрагментированных ICMP-пакетов и логирование механизма защиты:

esr(config)# ip firewall screen suspicious-packets icmp-fragment
esr(config)# logging firewall screen suspicious-packets icmp-fragment

Включаем защиту от ICMP-пакетов большого размера и логирование механизма защиты:

esr(config)# ip firewall screen suspicious-packets large-icmp
esr(config)# logging firewall screen suspicious-packets large-icmp

Включаем защиту от незарегистрированных IP-протоколов и логирование механизма защиты:

esr(config)# ip firewall screen suspicious-packets unknown-protocols
esr(config)# logging firewall screen suspicious-packets unknown-protocols

Дерево страниц

ESR-Series. Quick guide. Версия 1.37

Аннотация

Заводская конфигурация маршрутизатора ESR

Описание заводской конфигурации

Подключение и конфигурирование маршрутизатора

Подключение к маршрутизатору

Подключение по локальной сети Ethernet

Подключение через консольный порт RS-232

Применение изменения конфигурации

Базовая настройка маршрутизатора

Изменение пароля пользователя «admin» при первой авторизации

Создание новых пользователей

Назначение имени устройства

Настройка параметров публичной сети

Настройка удаленного доступа к маршрутизатору

Рекомендации по безопасной настройке

Общие рекомендации

Настройка системы логирования событий

Рекомендации

Предупреждения

Пример настройки

Задача:

Решение:

Настройка политики использования паролей

Рекомендации

Пример настройки

Задача:

Решение:

Настройка политики AAA

Рекомендации

Предупреждения

Пример настройки

Задача:

Решение:

Настройка удалённого управления

Рекомендации

Пример настройки

Задача:

Решение:

Настройка механизмов защиты от сетевых атак

Рекомендации

Пример настройки

Задача:

Решение: