Для того чтобы добавить маршрутизатор ESR в ECCM, нужно выполнить следующие действия:

Предполагается, что L3-связанность с ECCM уже настроена или должна быть настроена в соответствии с вашей сетевой инфраструктурой.

Настройка SNMPv3

Настраивается для обеспечения безопасности и контроля доступа. Так как протокол позволяет проводить проверку подлинности отправителя (аутентификацию), данные передаются в зашифрованном виде.

В данном руководстве SNMPv1 и SNMPv2 не рассматриваются, поскольку не обеспечивают необходимого уровня безопасности.

esr(config)# snmp-server user snmpv3esr
esr(config-snmp-user)# access ro
esr(config-snmp-user)# authentication access priv
esr(config-snmp-user)# authentication algorithm sha1
esr(config-snmp-user)# authentication key ascii-text eltex_password
esr(config-snmp-user)# privacy algorithm aes128
esr(config-snmp-user)# privacy key ascii-text eltex_key
esr(config-snmp-user)# enable
esr(config-snmp-user)# exit
esr(config)# snmp-server

Данной командой осуществляется переход в режим создания пользователя SNMPv3.
Данной командой определяется уровень доступа по протоколу SNMPv3 (ro – только для чтения; rw – для чтения и записи).
Данной командой определяется режим безопасности (priv – используется аутентификация и шифрование данных, auth – только аутентификация).
Данная команда определяет алгоритм аутентификации SNMPv3-запросов (md5 – пароль шифруется по алгоритму md5; sha1 – пароль шифруется по алгоритму sha1).
Данная команда устанавливает пароль для аутентификации SNMPv3-запросов (пароль, задается строкой от 8 до 32 символов).
Данная команда определяет алгоритм шифрования передаваемых данных (aes128 – использовать алгоритм шифрования AES-128; aes256 – использовать алгоритм шифрования AES-256; des – использовать алгоритм шифрования DES).
Данная команда устанавливает пароль для шифрования передаваемых данных (пароль, задается строкой от 8 до 32 символов).
Данной командой активируется SNMPv3-пользователь.
Данной командой осуществляется переход в режим конфигурирования устройства.
Данной командой включается SNMP-сервер как в глобальной таблице маршрутизации, так и во всех созданных VRF.

Настройка SSH

Настраивается для обеспечения защищенного удаленного доступа к устройству. Протокол использует шифрование для защиты передаваемых данных, предотвращая перехват паролей и команд. Также позволяет выполнять аутентификацию пользователя по паролю или ключам, обеспечивая контроль доступа и повышение общей безопасности управления системой.

esr(config)# ip ssh server
esr(config)# ip ssh key-exchange time 8
esr(config)# ip ssh authentication algorithm md5 disable
esr(config)# ip ssh authentication algorithm md5-96 disable
esr(config)# ip ssh authentication algorithm ripemd160 disable
esr(config)# ip ssh authentication algorithm sha1 disable
esr(config)# ip ssh authentication algorithm sha1-96 disable
esr(config)# ip ssh authentication algorithm sha2-256 disable
esr(config)# ip ssh encryption algorithm 3des disable
esr(config)# ip ssh encryption algorithm aes128 disable
esr(config)# ip ssh encryption algorithm aes128ctr disable
esr(config)# ip ssh encryption algorithm aes192 disable
esr(config)# ip ssh encryption algorithm aes192ctr disable
esr(config)# ip ssh encryption algorithm aes256 disable
esr(config)# ip ssh encryption algorithm arcfour disable
esr(config)# ip ssh encryption algorithm arcfour128 disable
esr(config)# ip ssh encryption algorithm arcfour256 disable
esr(config)# ip ssh encryption algorithm blowfish disable
esr(config)# ip ssh encryption algorithm cast128 disable
esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable
esr(config)# ip ssh host-key algorithm dsa disable
esr(config)# ip ssh host-key algorithm ecdsa256 disable
esr(config)# ip ssh host-key algorithm ecdsa384 disable
esr(config)# ip ssh host-key algorithm ecdsa521 disable
esr(config)# ip ssh host-key algorithm ed25519 disable

Данной командой включается SSH-сервер на маршрутизаторе.
Данная команда устанавливает период времени смены ключей аутентификации для SSH-сервера (период времени в часах, принимает значения [1..72]).
Отключаем устаревшие и не криптостойкие алгоритмы.

При размещении NMS в недоверенной сети рекомендуется изменить стандартный SSH-порт командой:

ip ssh port <PORT>, где <PORT> – номер порта, указывается в диапазоне [1..65535].

Настройка Firewall

Настраивается для контроля входящего и исходящего трафика в соответствии с заданными правилами безопасности. Позволяет ограничивать доступ к сетевым ресурсам, предотвращать несанкционированные подключения и блокировать потенциальные угрозы. Обеспечивает фильтрацию пакетов, мониторинг активности и создание безопасной сетевой среды.

В примере используется адрес ECCM — 192.168.1.4.

esr-30(config)# security zone MGMT
esr-30(config-security-zone)# exit
esr-30(config)# security zone-pair MGMT self
esr-30(config-security-zone-pair)# rule 1
esr-30(config-security-zone-pair-rule)# description "SNMP traffic from ECCM"
esr-30(config-security-zone-pair-rule)# action permit
esr-30(config-security-zone-pair-rule)# match protocol udp
esr-30(config-security-zone-pair-rule)# match destination-port port-range 161
esr-30(config-security-zone-pair-rule)# match source-address address-range 192.168.1.4
esr-30(config-security-zone-pair-rule)# enable
esr-30(config-security-zone-pair-rule)# exit
esr-30(config-security-zone-pair)# rule 2
esr-30(config-security-zone-pair-rule)# description "SSH traffic from ECCM"
esr-30(config-security-zone-pair-rule)# action permit
esr-30(config-security-zone-pair-rule)# match protocol tcp
esr-30(config-security-zone-pair-rule)# match destination-port port-range 22
esr-30(config-security-zone-pair-rule)# match source-address address-range 192.168.1.4
esr-30(config-security-zone-pair-rule)# enable
esr-30(config-security-zone-pair-rule)# exit
esr-30(config-security-zone-pair)# exit

Данная команда используется для создания зон безопасности и перехода в режим конфигурирования зоны.
Данной командой осуществляется переход в режим конфигурирования устройства.
Данная команда используется для создания группы правил для пары зон безопасности.
Данная команда используется для создания правила и перехода в командный режим SECURITY ZONE PAIR RULE.
Данная команда используется для изменения описания конфигурируемой зоны или пары зон безопасности.
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.
Данной командой устанавливается имя или номер IP-протокола, для которого должно срабатывать правило.
Данной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило.
Данной командой устанавливается профиль IP-адресов отправителя, для которых должно срабатывать правило.
Данная команда используется для активирования правила.
Данной командой осуществляется переход в режим создания группы правил для пары зон безопасности.
Данная команда используется для создания правила и перехода в командный режим SECURITY ZONE PAIR RULE.
Данная команда используется для изменения описания конфигурируемой зоны или пары зон безопасности.
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.
Данной командой устанавливается имя или номер IP-протокола, для которого должно срабатывать правило.
Данной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило.
Данной командой устанавливается профиль IP-адресов отправителя, для которых должно срабатывать правило.
Данная команда используется для активирования правила.
Данной командой осуществляется переход в режим создания группы правил для пары зон безопасности.
Данной командой осуществляется переход в режим конфигурирования устройства.

Если SSH-порт изменён на нестандартный, необходимо разрешить трафик на указанный порт в правилах безопасности.