|
В настоящем руководстве приводится заводская конфигурация устройства и рекомендации по начальной настройке маршрутизаторов серии ESR (далее устройство).
Данное руководство предназначено для технического персонала, выполняющего установку и настройку устройства.
При отгрузке устройства потребителю на устройство загружена заводская конфигурация, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.
Для подключения к сетям в конфигурации описаны 2 зоны безопасности с наименованиями «Trusted» для локальной сети и «Untrusted» для публичной сети. Все интерфейсы разделены между двух зон безопасности:
В данную зону безопасности входят интерфейсы:
для ESR-10/12V: GigabitEthernet 1/0/1;
для ESR-12VF/ESR-14VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9;
для ESR-20: GigabitEthernet 1/0/1;
для ESR-21: GigabitEthernet 1/0/1;
для ESR-100/200: GigabitEthernet 1/0/1;
для ESR-1000/1500/3100: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;
для ESR-1200/1700: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2;
В данную зону безопасности входят интерфейсы:
для ESR-10: GigabitEthernet 1/0/2-6;
для ESR-12V(F)/ESR-14VF: GigabitEthernet 1/0/2-8;
для ESR-20: GigabitEthernet 1/0/2-4;
для ESR-21: GigabitEthernet 1/0/2-12;
для ESR-100: GigabitEthernet 1/0/2-4;
для ESR-200: GigabitEthernet 1/0/2-8;
для ESR-1000: GigabitEthernet 1/0/2-24;
для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;
для ESR-1500: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;
для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12;
для ESR-3100: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-8.
Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.
На интерфейсе Bridge 2 включен DHCP-клиент для получения динамического IP-адреса от провайдера. На интерфейсе Bridge 1 сконфигурирован статический IP-адрес 192.168.1.1/24. Созданный IP-интерфейс выступает в качестве шлюза для клиентов локальной сети. Для клиентов локальной сети настроен DHCP-пул адресов 192.168.1.2-192.168.1.254 с маской 255.255.255.0. Для получения клиентами локальной сети доступа к Internet на маршрутизаторе включен сервис Source NAT.
Политики зон безопасности настроены следующим образом:
Таблица 1 – Описание политик зон безопасности
Зона, из которой идет трафик | Зона, в которую идет трафик | Тип трафика | Действие | ||
---|---|---|---|---|---|
Trusted | Untrusted | TCP, UDP, ICMP | разрешен | ||
Trusted | Trusted | TCP, UDP, ICMP | разрешен | ||
Trusted | self | TCP/22 (SSH), ICMP, UDP/67 (DHCP Server), UDP/123 (NTP) | разрешен | ||
Untrusted | self | UDP/68 (DHCP Client) | разрешен |
Для обеспечения возможности конфигурирования устройства при первом включении в конфигурации маршрутизатора создана учётная запись администратора ‘admin’. Пользователю будет предложено изменить пароль администратора при начальном конфигурировании маршрутизатора. |
Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический IP-адрес на интерфейсе Bridge 1 – 192.168.1.1/24. |
При первоначальном старте маршрутизатор загружается с заводской конфигурацией. Описание заводской конфигурации приведено в разделе Заводская конфигурация маршрутизатора руководства по эксплуатации. |
Шаг 1. Подключите сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону «Trusted», и к компьютеру, предназначенному для управления.
Шаг 2. В заводской конфигурации маршрутизатора активирован DHCP-сервер с пулом IP-адресов в подсети 192.168.1.0/24.
При подключении сетевого интерфейса управляющего компьютера он должен получить сетевой адрес от сервера.
Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.
Шаг 1. При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» маршрутизатора с портом RS-232 компьютера.
Шаг 2. Запустите терминальную программу (например, HyperTerminal или Minicom) и создайте новое подключение. Должен быть использован режим эмуляции терминала VT100.
Выполните следующие настройки интерфейса RS-232:
Скорость: 115200 бит/с Биты данных: 8 бит Четность: нет Стоповые биты: 1 Управление потоком: нет |
Процедура настройки маршрутизатора при первом включении состоит из следующих этапов:
Для защищенного входа в систему необходимо сменить пароль привилегированного пользователя «admin».
Учетная запись techsupport необходима для удаленного обслуживания сервисным центром; Учетная запись remote – аутентификация RADIUS, TACACS+, LDAP; Удалить пользователей admin, techsupport, remote нельзя. Можно только сменить пароль и уровень привилегий. |
Имя пользователя и пароль вводится при входе в систему во время сеансов администрирования устройства.
Для изменения пароля пользователя «admin» используются следующие команды:
esr# configure esr(config)# username admin esr(config-user)# password <new-password> esr(config-user)# exit |
Для создания нового пользователя системы или настройки любого из параметров – имени пользователя, пароля, уровня привилегий, – используются команды:
esr(config)# username <name> esr(config-user)# password <password> esr(config-user)# privilege <privilege> esr(config-user)# exit |
Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства. |
Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:
esr# configure esr(config)# username fedor esr(config-user)# password 12345678 esr(config-user)# privilege 15 esr(config-user)# exit esr(config)# username ivan esr(config-user)# password password esr(config-user)# privilege 1 esr(config-user)# exit |
Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства. |
Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:
esr# configure esr(config)# username fedor esr(config-user)# password 12345678 esr(config-user)# privilege 15 esr(config-user)# exit esr(config)# username ivan esr(config-user)# password password esr(config-user)# privilege 1 esr(config-user)# exit |
Для назначения имени устройства используются следующие команды:
esr# configure esr(config)# hostname <new-name> |
После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.
Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить устройству параметры, определённые провайдером сети – IP-адрес, маска подсети и адрес шлюза по умолчанию.
Пример команд настройки статического IP-адреса для субинтерфейса Gigabit Ethernet 1/0/2.150 для доступа к маршрутизатору через VLAN 150.
Параметры интерфейса:
esr# configure esr(config)# interface gigabitethernet 1/0/2.150 esr(config-subif)# ip address 192.168.16.144/24 esr(config-subif)# exit esr(config)# ip route 0.0.0.0/0 192.168.16.1 |
Для того чтобы убедиться, что адрес был назначен интерфейсу, после применения конфигурации введите следующую команду:
esr# show ip interfaces IP address Interface Type ------------------- --------------------------------- ------- 192.168.16.144/24 gigabitethernet 1/0/2.150 static |
Провайдер может использовать динамически назначаемые адреса в своей сети. Для получения IP-адреса может использоваться протокол DHCP, если в сети присутствует сервер DHCP.
Пример настройки, предназначенной для получения динамического IP-адреса от DHCP-сервера на интерфейсе Gigabit Ethernet 1/0/10:
esr# configure esr(config)# interface gigabitethernet 1/0/10 esr(config-if)# ip address dhcp esr(config-if)# exit |
Для того чтобы убедиться, что адрес был назначен интерфейсу, введите следующую команду после применения конфигурации:
esr# show ip interfaces IP address Interface Type ------------------- --------------------------------- ------- 192.168.11.5/25 gigabitethernet 1/0/10 DHCP |
В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам Telnet или SSH из зоны «trusted». Для того чтобы разрешить удаленный доступ к маршрутизатору из других зон, например, из публичной сети, необходимо создать соответствующие правила в firewall.
При конфигурировании доступа к маршрутизатору правила создаются для пары зон:
Для создания разрешающего правила используются следующие команды:
esr# configure esr(config)# security zone-pair <source-zone> self esr(config-zone-pair)# rule <number> esr(config-zone-rule)# action permit esr(config-zone-rule)# match protocol tcp esr(config-zone-rule)# match source-address <network object-group> esr(config-zone-rule)# match destination-address <network object-group> esr(config-zone-rule)# match destination-port <service object-group> esr(config-zone-rule)# enable esr(config-zone-rule)# exit esr(config-zone-pair)# exit |
Пример команд для разрешения пользователям из зоны «untrusted» с IP-адресами 132.16.0.5-132.16.0.10 подключаться к маршрутизатору с IP-адресом 40.13.1.22 по протоколу SSH:
esr# configure esr(config)# object-group network clients esr(config-addr-set)# ip address-range 132.16.0.5-132.16.0.10 esr(config-addr-set)# exit esr(config)# object-group network gateway esr(config-addr-set)# ip address-range 40.13.1.22 esr(config-addr-set)# exit esr(config)# object-group service ssh esr(config-port-set)# port-range 22 esr(config-port-set)# exit esr(config)# security zone-pair untrusted self esr(config-zone-pair)# rule 10 esr(config-zone-rule)# action permit esr(config-zone-rule)# match protocol tcp esr(config-zone-rule)# match source-address clients esr(config-zone-rule)# match destination-address gateway esr(config-zone-rule)# match destination-port ssh esr(config-zone-rule)# enable esr(config-zone-rule)# exit esr(config-zone-pair)# exit |
Для применения выполненных изменений конфигурации маршрутизатора требуется ввести следующие команды из корневого раздела командного интерфейса.
esr# commit esr# confirm |
Если при конфигурировании использовался удаленный доступ к устройству и сетевые параметры интерфейса управления изменились, то после ввода команды commit соединение с устройством может быть потеряно. Используйте новые сетевые параметры, заданные в конфигурации, для подключения к устройству и ввода команды confirm.
Если ввести команду confirm не удастся, то по истечении таймера подтверждения конфигурация устройства вернётся в прежнее состояние, существовавшее до ввода команды commit.
Для проверки правильности настроек попробуйте получить доступ к сайту http://eltex-co.ru из зоны «trusted». Если доступ получен — это значит, что трафик проходит через сервисный маршрутизатор. Если доступ не был получен, убедитесь в правильности произведенных настроек.
Рекомендации по безопасной настройке носят общий характер и подходят для большинства инсталляций. Настоящие рекомендации в значительной степени повышают безопасность эксплуатации устройства, но не являются исчерпывающими. В зависимости от схемы применения устройства необходимо настраивать и другие параметры безопасности. В некоторых специфических случаях выполнение данных рекомендаций может привести к неработоспособности сети. При настройке устройства стоит в первую очередь следовать техническим требованиям и регламентам сетей, в которых будет эксплуатироваться данное устройство.
Алгоритмы настройки системы логирования событий приведены в подразделе «Настройка Syslog» раздела Мониторинг руководства по эксплуатации.
Подробная информация о командах для настройки системы логирования событий приведена в разделе Управление SYSLOG справочника команд CLI.
Задача:
Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog сервер. Ограничить файл размером 512кб. Включить ротацию 3-х файлов. Включить нумерацию сообщений syslog.
Решение:
Настраиваем хранение syslog-сообщений в файле:
esr(config)# syslog file tmpsys:syslog/default info |
Настраиваем ограничение размера и ротацию файлов:
esr(config)# syslog max-files 3 esr(config)# syslog file-size 512 |
Настраиваем передачу сообщений на внешний сервер:
esr(config)# syslog host mylog 192.168.1.2 info udp 514 |
Включаем нумерацию сообщений syslog:
esr(config)# syslog sequence-numbers |
Алгоритмы настройки политики использования паролей приведены в разделе Настройка ААА руководства по эксплуатации.
Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.
Задача:
Решение:
Включаем запрос на смену пароля по умолчанию для пользователя admin:
esr(config)# security passwords default-expered |
Устанавливаем время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:
esr(config)# security passwords lifetime 30 esr(config)# security passwords history 12 |
Устанавливаем ограничения на длину пароля:
esr(config)# security passwords min-length 16 esr(config)# security passwords max-length 64 |
Устанавливаем ограничения по минимальному количеству символов соответствующих типов:
esr(config)# security passwords upper-case 3 esr(config)# security passwords lower-case 5 esr(config)# security passwords special-case 2 esr(config)# security passwords numeric-count 4 esr(config)# security passwords symbol-types 4 |
Алгоритмы настройки политики ААА приведены в разделе Настройка ААА руководства по эксплуатации.
Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.
Задача:
Настроить политику AAA:
Решение:
Создаем локального пользователя local-operator с уровнем привилегий 8:
esr(config)# username local-operator esr(config-user)# password Pa$$w0rd1 esr(config-user)# privilege 8 esr(config-user)# exit |
Задаём локальный ENABLE-пароль:
esr(config)# enable password $6e5c4r3e2t! |
Понижаем привилегии пользователя admin:
esr(config)# username admin esr(config-user)# privilege 1 esr(config-user)# exit |
Настраиваем связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:
esr(config)# radius-server host 192.168.1.11 esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esr(config-radius-server)# priority 100 esr(config-radius-server)# exit esr(config)# radius-server host 192.168.2.12 esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esr(config-radius-server)# priority 150 esr(config-radius-server)# exit |
Настраиваем политику ААА:
esr(config)# aaa authentication login CONSOLE radius local esr(config)# aaa authentication login SSH radius esr(config)# aaa authentication enable default radius enable esr(config)# aaa authentication mode break esr(config)# line console esr(config-line-console)# login authentication CONSOLE esr(config-line-console)# exit esr(config)# line ssh esr(config-line-ssh)# login authentication SSH esr(config-line-ssh)# exit |
Настраиваем логирование:
esr(config)# logging userinfo esr(config)# logging aaa esr(config)# syslog cli-commands |
Подробная информация о командах настройки удалённого доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.
Задача:
Отключить протокол telnet. Сгенерировать новые ключи шифрования. Использовать криптостойкие алгоритмы.
Решение:
Отключаем удаленное управление по протоколу telnet:
esr(config)# no ip telnet server |
Генерируем новые ключи шифрования:
esr-20(config)# crypto key generate dsa esr-20(config)# crypto key generate ecdsa esr-20(config)# crypto key generate ed25519 esr-20(config)# crypto key generate rsa esr-20(config)# crypto key generate rsa1 |
Отключаем устаревшие и не криптостойкие алгоритмы:
esr(config)# ip ssh server esr(config)# ip ssh authentication algorithm md5 disable esr(config)# ip ssh authentication algorithm md5-96 disable esr(config)# ip ssh authentication algorithm ripemd160 disable esr(config)# ip ssh authentication algorithm sha1 disable esr(config)# ip ssh authentication algorithm sha1-96 disable esr(config)# ip ssh encryption algorithm aes128 disable esr(config)# ip ssh encryption algorithm aes128ctr disable esr(config)# ip ssh encryption algorithm aes192 disable esr(config)# ip ssh encryption algorithm aes192ctr disable esr(config)# ip ssh encryption algorithm arcfour disable esr(config)# ip ssh encryption algorithm arcfour128 disable esr(config)# ip ssh encryption algorithm arcfour256 disable esr(config)# ip ssh encryption algorithm blowfish disable esr(config)# ip ssh encryption algorithm cast128 disable esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable esr(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable esr(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable |
Алгоритмы настройки механизмов защиты от сетевых атак приведены в разделе Настройка логирования и защиты от сетевых атак руководства по эксплуатации.
Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.
Задача:
Настроить механизм защиты от сетевых атак в соответствии с рекомендациями.
Решение:
Включаем защиту от ip spoofing и логирование механизма защиты:
esr(config)# ip firewall screen spy-blocking spoofing esr(config)# logging firewall screen spy-blocking spoofing |
Включаем защиту от TCP-пакетов с неправильно выставленными флагами и логирование механизма защиты:
esr(config)# ip firewall screen spy-blocking syn-fin esr(config)# logging firewall screen spy-blocking syn-fin esr(config)# ip firewall screen spy-blocking fin-no-ack esr(config)# logging firewall screen spy-blocking fin-no-ack esr(config)# ip firewall screen spy-blocking tcp-no-flag esr(config)# logging firewall screen spy-blocking tcp-no-flag esr(config)# ip firewall screen spy-blocking tcp-all-flags esr(config)# logging firewall screen spy-blocking tcp-all-flags |
Включаем защиту от фрагментированных ICMP-пакетов и логирование механизма защиты:
esr(config)# ip firewall screen suspicious-packets icmp-fragment esr(config)# logging firewall screen suspicious-packets icmp-fragment |
Включаем защиту от ICMP-пакетов большого размера и логирование механизма защиты:
esr(config)# ip firewall screen suspicious-packets large-icmp esr(config)# logging firewall screen suspicious-packets large-icmp |
Включаем защиту от незарегистрированных ip-протоколов и логирование механизма защиты:
esr(config)# ip firewall screen suspicious-packets unknown-protocols esr(config)# logging firewall screen suspicious-packets unknown-protocols |
Техническая поддержка
Для получения технической консультации по вопросам эксплуатации оборудования ООО «Предприятие «ЭЛТЕКС» Вы можете обратиться в Сервисный центр компании.
Форма обратной связи на сайте: http://eltex-co.ru/support/
Sevicedesk: https://servicedesk.eltex-co.ru/
На официальном сайте компании Вы можете найти техническую документацию и программное обеспечение для продукции ООО «Предприятие «ЭЛТЕКС», обратиться к базе знаний, оставить интерактивную заявку или проконсультироваться у инженеров Сервисного центра на техническом форуме:
Официальный сайт компании: http://eltex-co.ru/
Технический форум: http://eltex-co.ru/forum
База знаний: https://docs.eltex-co.ru/display/EKB/Eltex+Knowledge+Base
Центр загрузок: http://eltex-co.ru/support/downloads