Заводская конфигурация маршрутизатора ESR
При отгрузке устройства потребителю на маршрутизатор загружена заводская конфигурация, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.
Описание заводской конфигурации
Для подключения к сетям в конфигурации описаны 2 зоны безопасности с наименованиями «Trusted» для локальной сети и «Untrusted» для публичной сети. Все интерфейсы разделены между двух зон безопасности:
- Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены.
В данную зону безопасности входят интерфейсы:
для ESR-10/12V: GigabitEthernet 1/0/1;
для ESR-12VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9;
- для ESR-15(R): GigabitEthernet1/0/1; GigabitEthernet1/0/6;
- для ESR-15VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/10;
для ESR-20: GigabitEthernet 1/0/1;
для ESR-21: GigabitEthernet 1/0/1;
- для ESR-30/31: GigabitEthernet 1/0/1; TengigabitEthernet 1/0/1-2;
для ESR-100/200: GigabitEthernet 1/0/1;
для ESR-1000/1500/3100: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;
для ESR-1200/1700: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2;
- для ESR-1511: GigabitEthernet 1/0/1, FortygigabitEthernet 1/0/1-2;
- для ESR-3200: Twentyfivegigabitethernet 1/0/1-2;
- для ESR-3200L: TengigabitEthernet 1/0/1-2, TwentyfivegigabitEthernet 1/0/1-2;
- для ESR-3300: TwentyfivegigabitEthernet 1/0/1-2, HundredgigabitEthernet 1/0/1-2.
Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 2.
- Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов Telnet и SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.
В данную зону безопасности входят интерфейсы:
для ESR-10: GigabitEthernet 1/0/2-6;
для ESR-12V(F): GigabitEthernet 1/0/2-8;
- для ESR-15(R): GigabitEthernet 1/0/2-5;
- для ESR-15VF: GigabitEthernet 1/0/2-9;
для ESR-20: GigabitEthernet 1/0/2-4;
для ESR-21: GigabitEthernet 1/0/2-12;
- для ESR-30/31: GigabitEthernet 1/0/3-4;
для ESR-100: GigabitEthernet 1/0/2-4;
для ESR-200: GigabitEthernet 1/0/2-8;
для ESR-1000: GigabitEthernet 1/0/2-24;
для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;
для ESR-1500: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;
- для ESR-1511: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/1-4;
для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12;
для ESR-3100: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-8;
для ESR-3200: Twentyfivegigabitethernet 1/0/3-12;
- для ESR-3200L: TengigabitEthernet 1/0/3-8, TwentyfivegigabitEthernet 1/0/3-4;
для ESR-3300: TwentyfivegigabitEthernet 1/0/3-4, HundredgigabitEthernet 1/0/3-4.
Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.
На интерфейсе Bridge 2 включен DHCP-клиент для получения динамического IP-адреса от провайдера. На интерфейсе Bridge 1 сконфигурирован статический IP-адрес 192.168.1.1/24. Созданный IP-интерфейс выступает в качестве шлюза для клиентов локальной сети. Для клиентов локальной сети настроен DHCP-пул адресов 192.168.1.2-192.168.1.254 с маской 255.255.255.0. Для получения клиентами локальной сети доступа к Internet на маршрутизаторе включен сервис Source NAT.
Политики зон безопасности настроены следующим образом:
Таблица 70 – Описание политик зон безопасности
Зона, из которой идет трафик | Зона, в которую идет трафик | Тип трафика | Действие | ||
---|---|---|---|---|---|
Trusted | Untrusted | TCP, UDP, ICMP | разрешен | ||
Trusted | Trusted | TCP, UDP, ICMP | разрешен | ||
Trusted | self | TCP/22 (SSH), ICMP, UDP/67 (DHCP Server), UDP/123 (NTP) | разрешен | ||
Untrusted | self | UDP/68 (DHCP Client) | разрешен |
Для обеспечения возможности конфигурирования устройства при первом включении в конфигурации маршрутизатора создана учётная запись администратора "admin" с паролем "password".
Пользователю будет предложено изменить пароль администратора при начальном конфигурировании маршрутизатора.
Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический IP-адрес на интерфейсе Bridge 1 – 192.168.1.1/24.
Подключение и конфигурирование маршрутизатора
Маршрутизаторы серии ESR предназначены для выполнения функций пограничного шлюза и обеспечения безопасности сети пользователя при подключении ее к публичным сетям передачи данных.
Базовая настройка маршрутизатора должна включать:
- назначение IP-адресов (статических или динамических) интерфейсам, участвующим в маршрутизации данных;
- создание зон безопасности и распределение интерфейсов по зонам;
- создание политик, регулирующих прохождение данных между зонами;
- настройка сервисов, сопутствующих маршрутизации данных (NAT, Firewall и прочие).
Расширенные настройки зависят от требований конкретной схемы применения устройства и легко могут быть добавлены или изменены с помощью имеющихся интерфейсов управления.
Подключение к маршрутизатору
Предусмотрены следующие способы подключения к устройству:
Подключение по локальной сети Ethernet
При первоначальном старте маршрутизатор загружается с заводской конфигурацией. Описание заводской конфигурации приведено в разделе Заводская конфигурация маршрутизатора ESR данного руководства.
Подключите сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону «Trusted», и к компьютеру, предназначенному для управления.
В заводской конфигурации маршрутизатора активирован DHCP-сервер с пулом IP-адресов в подсети 192.168.1.0/24.
При подключении сетевого интерфейса управляющего компьютера он должен получить сетевой адрес от сервера.
Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.
Подключение через консольный порт RS-232
При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» маршрутизатора с портом RS-232 компьютера.
Запустите терминальную программу (например, HyperTerminal или Minicom) и создайте новое подключение. Должен быть использован режим эмуляции терминала VT100.
Выполните следующие настройки интерфейса RS-232:
Биты данных: 8 бит
Четность: нет
Стоповые биты: 1
Управление потоком: нет
Применение изменения конфигурации
Любые изменения, внесенные в конфигурацию, вступят в действие только после применения команды:
esr# commit Configuration has been successfully committed
После применения данной команды запускается таймер "отката" конфигурации. Для остановки таймера и механизма "отката" используется команда:
esr# confirm Configuration has been successfully confirmed
Значение таймера "отката" по умолчанию – 600 секунд. Для изменения данного таймера используется команда:
esr(config)# system config-confirm timeout <TIME>
- <TIME> – интервал времени ожидания подтверждения конфигурации, принимает значение в секундах [120..86400].
Базовая настройка маршрутизатора
Процедура настройки маршрутизатора при первом включении состоит из следующих этапов:
- Изменение пароля пользователя «admin».
- Создание новых пользователей.
- Назначение имени устройства (Hostname).
- Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
- Настройка удаленного доступа к маршрутизатору.
- Применение базовых настроек.
Изменение пароля пользователя «admin»
Для защищенного входа в систему необходимо сменить пароль привилегированного пользователя «admin».
Учетная запись techsupport необходима для удаленного обслуживания сервисным центром;
Учетная запись remote – аутентификация RADIUS, TACACS+, LDAP;
Удалить пользователей admin, techsupport, remote нельзя. Можно только сменить пароль и уровень привилегий.
Если информация о пользователе «admin» не отображается в конфигурации, значит параметры данного пользователя настроены по умолчанию (пароль «password», уровень привилегий 15).
Имя пользователя и пароль вводится при входе в систему во время сеансов администрирования устройства.
Для изменения пароля пользователя «admin» используются следующие команды:
esr# configure esr(config)# username admin esr(config-user)# password <new-password> esr(config-user)# exit
Создание новых пользователей
Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий, – используются команды:
esr(config)# username <name> esr(config-user)# password <password> esr(config-user)# privilege <privilege> esr(config-user)# exit
Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.
Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:
esr# configure esr(config)# username fedor esr(config-user)# password 12345678 esr(config-user)# privilege 15 esr(config-user)# exit esr(config)# username ivan esr(config-user)# password password esr(config-user)# privilege 1 esr(config-user)# exit
Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.
Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:
esr# configure esr(config)# username fedor esr(config-user)# password 12345678 esr(config-user)# privilege 15 esr(config-user)# exit esr(config)# username ivan esr(config-user)# password password esr(config-user)# privilege 1 esr(config-user)# exit
Назначение имени устройства
Для назначения имени устройства используются следующие команды:
esr# configure esr(config)# hostname <new-name>
После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.
Настройка параметров публичной сети
Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить устройству параметры, определённые провайдером сети – IP-адрес, маска подсети и адрес шлюза по умолчанию.
Пример команд настройки статического IP-адреса для саб-интерфейса Gigabit Ethernet 1/0/2.150 для доступа к маршрутизатору через VLAN 150.
Параметры интерфейса:
- IP-адрес – 192.168.16.144;
- Маска подсети – 255.255.255.0;
- IP-адрес шлюза по умолчанию – 192.168.16.1.
esr# configure esr(config)# interface gigabitethernet 1/0/2.150 esr(config-subif)# ip address 192.168.16.144/24 esr(config-subif)# exit esr(config)# ip route 0.0.0.0/0 192.168.16.1
Для того чтобы убедиться, что адрес был назначен интерфейсу, после применения конфигурации введите следующую команду:
esr# show ip interfaces IP address Interface Admin Link Type Precedence --------------------------------------------------- -------------------- ----- ----- ------- ----------- 192.168.16.144/24 gi1/0/2.150 Up Up static primary
Провайдер может использовать динамически назначаемые адреса в своей сети. Для получения IP-адреса может использоваться протокол DHCP, если в сети присутствует сервер DHCP.
Пример настройки, предназначенной для получения динамического IP-адреса от DHCP-сервера на интерфейсе Gigabit Ethernet 1/0/10:
esr# configure esr(config)# interface gigabitethernet 1/0/10 esr(config-if)# ip address dhcp esr(config-if)# exit
Для того чтобы убедиться, что адрес был назначен интерфейсу, введите следующую команду после применения конфигурации:
esr# show ip interfaces IP address Interface Admin Link Type Precedence --------------------------------------------------- -------------------- ----- ----- ------- ----------- 192.168.11.5/25 gi1/0/10 Up Up DHCP --
Настройка удаленного доступа к маршрутизатору
В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам Telnet или SSH из зоны «trusted». Для того чтобы разрешить удаленный доступ к маршрутизатору из других зон, например, из публичной сети, необходимо создать соответствующие правила в firewall.
При конфигурировании доступа к маршрутизатору правила создаются для пары зон:
- source-zone – зона, из которой будет осуществляться удаленный доступ;
- self – зона, в которой находится интерфейс управления маршрутизатором.
Для создания разрешающего правила используются следующие команды:
esr# configure esr(config)# security zone-pair <source-zone> self esr(config-zone-pair)# rule <number> esr(config-zone-rule)# action permit esr(config-zone-rule)# match protocol tcp esr(config-zone-rule)# match source-address <network object-group> esr(config-zone-rule)# match destination-address <network object-group> esr(config-zone-rule)# match destination-port <service object-group> esr(config-zone-rule)# enable esr(config-zone-rule)# exit esr(config-zone-pair)# exit
Пример команд для разрешения пользователям из зоны «untrusted» с IP-адресами 132.16.0.5-132.16.0.10 подключаться к маршрутизатору с IP-адресом 40.13.1.22 по протоколу SSH:
esr# configure esr(config)# object-group network clients esr(config-addr-set)# ip address-range 132.16.0.5-132.16.0.10 esr(config-addr-set)# exit esr(config)# object-group network gateway esr(config-addr-set)# ip address-range 40.13.1.22 esr(config-addr-set)# exit esr(config)# object-group service ssh esr(config-port-set)# port-range 22 esr(config-port-set)# exit esr(config)# security zone-pair untrusted self esr(config-zone-pair)# rule 10 esr(config-zone-rule)# action permit esr(config-zone-rule)# match protocol tcp esr(config-zone-rule)# match source-address clients esr(config-zone-rule)# match destination-address gateway esr(config-zone-rule)# match destination-port ssh esr(config-zone-rule)# enable esr(config-zone-rule)# exit esr(config-zone-pair)# exit