- Первичная настройка коммутатора Eltex
- Коммутатор Eltex MES 23XX. Шаблон базовой конфигурации
- Управление интерфейсами
- Настройка VLAN
- Алгоритм настройки
- Пример настройки 1. Удаление VLAN с интерфейса
- Пример настройки 2. Разрешение обработки VLAN в тегированном режиме
- Пример настройки 3. Разрешение обработки VLAN в тегированном и не тегированном режиме
- Настройка LLDP
- Алгоритм настройки
- Пример настройки
- Настройка LLDP MED
- Алгоритм настройки
- Пример настройки Voice VLAN
- Настройка терминации на саб-интерфейсе
- Алгоритм настройки
- Пример настройки саб-интерфейса
- Настройка терминации на Q-in-Q интерфейсе
- Алгоритм настройки
- Пример настройки Q-in-Q интерфейса
- Настройка USB модемов
- Алгоритм настройки USB-модемов
- Пример настройки
- Настройка PPP через E1
- Алгоритм настройки
- Пример конфигурации
- Настройка MLPPP
- Алгоритм настройки
- Пример настройки
- Настройка Bridge
- Алгоритм настройки
- Пример настройки bridge для VLAN и L2TPv3-туннеля
Первичная настройка коммутатора Eltex
Настройка коммутаторов марки Eltex для работы в сети какого-либо провайдера в целом и «ЛинкИнтел» в частности не представляет сложности. Рассмотрим общие моменты подготовки устройства к работе.
Подключаемся к коммутатору консолью, выставив Baud rate на 115200.
Welcome.
Говорим коммутатору enable, разрешая себе действия рутового юзера, а после conf, чтобы попасть в режим конфигурирования.
Настраиваем интерфейс управления.
interface vlan 1
Задаем ему IP-адрес и маску подсети.
ip address 172.16.201.18 255.255.128.0
Выходим из интерфейса — exit.
Теперь создадим VLAN-ы на коммутаторе.
Также в режиме конфигурирования conf заходим в базу вланов командой vlan database.
Допустим, нужен 206 и 231 VLAN.
vlan 206 name 206
vlan 231 name 206
Сохраняем конфигурацию — wr.
Настраиваем аплинки на коммутаторе.
Указываем Элтеху диапазон транковых (аплинк) портов, на которых будут тегированные вланы.
console(config)#int range GigabitEthernet 0/25-28
Говорим, что эти порты будут в транке.
switchport mode trunk
Добавляем вланы.
switchport trunk allowed vlan add 206,231
Сохраняемся — wr.
По тому же принципу настраиваем пользовательские порты. Они будут с 1 по 24.
console(config)#int range GigabitEthernet 0/1-24
В режиме «access»
switchport mode access
switchport access vlan 206
В данном случае мы добавили порты 1-24 в 206 влан, но в случае необходимости можно добавить некоторые/все порты и в другой.
Сейвимся wr.
Как ни странно, настройка практически завершена. Настраиваем мультикаст.
Теперь проверим настройки на пользовательском порту.
console#show run interfaces gi1/0/2
На секунду отвлечемся от скучных строчек кода и разберемся, зачем нужна данная функция. Служит она очень важной цели — доставлять многоадресный трафик из одного отдельно взятого влана клиентам в этот влан не входящим. В случае, например, с IPTV в сети провайдера Multicast-TV VLAN существенно снизит нагрузку на сетку, т.к. мультикаст не будет дублироваться во все VLAN-ы.
Принцип работы тут такой. Клиентские порты должны работать в режиме access/customer и могут входить в любой влан за исключением самого multicast-tv VLAN. Юзеры могут только получать трафик из multicast-tv VLAN, но вещать в него не могут. Также на коммутаторе должен быть поднят интерфейс, играющий роль источника данного трафика и входящий в этот самый multicast-tv VLAN. В целом всё. Рассмотрим как это выглядит в живую в CLI свича.
Для начала включим фильтрацию многоадресного трафика.
Создадим нужные вланы — управляющий (1001), мультикастовый (101) и клиентские (202-254).
Отлично, теперь настраиваем порты пользователей. В нашем примере будет использоваться Eltex линейки 2124 с гигабитными портами, поэтому интерфейсы будут GigabitEthernet (gi), в случае с более младшими моделями типа 1124 порты клиентов FastEthernet (fa):
Теперь перейдем к транку, т.е. настроим интерфейс Uplink. Тут нам надо разрешить мультикастовый трафик, клиентский и управление. Поехали.
Теперь настроим ip IMP snooping в общем виде и в требуемых клиентских вланах:
Во вланах, где не требуется вещание многоадресного трафика просто не включаем IGMP.
Ну, остается настроить управление свичом и дело сделано:
Начнем со сбора статистики, которая позволит проверить, функционирует ли на данный момент IGMP.
Посмотреть счетчики:
Посмотреть подписки на группы:
А теперь перейдем к конфигурированию.
В глобальном конфиге говорим:
А ниже общий пример настройки:
В общем и целом, это все. Осталось настроить работу loop detect и port-security, но об этом в следующий раз.скачать dle 12.0
Источник
Коммутатор Eltex MES 23XX. Шаблон базовой конфигурации
Добрый день, коллеги! В этой статье я попытался создать шаблон базовой настройки коммутаторов Eltex MES 23XX для использования в корпоративных сетях, имеющих вспомогательные сервисы администрирования и мониторинга. Разумеется, невозможно описать весь функционал коммутатора или рассмотреть все системы, применяющиеся для обслуживания сетей передачи данных. Но базовые настройки мы разберем.
Итак, всё начинается с имени устройства. Имя можно назначить любое, но оно должно нести информацию, помогающую администратору ориентироваться в своей сети. Такие имена, как switch1, sg1231fa или qwerty, неинформативны. Подробные, например ekb-malisheva51-floor.13-serv3-shkaf5-unit27, неудобны в работе. Лучше краткий вариант имени с указанием местоположения, например ekb-tower-lan1, поскольку остальные сведения можно указать в схемах сетей, системах мониторинга и баннерах.
Теперь займемся локальной учетной записью с полными правами (на учетной записи admin обязательно нужно изменить пароль) и паролем к привилегированному режиму:
username admin password ****** privilege 15
username not_admin password ****** privilege 15
enable password level 15 ******
Включаем SSH, протокол удаленного управления с шифрованием:
Затем – баннеры. Их применяют при получении удаленного доступа:
предупреждающий баннер при попытке входа. Он используется для уведомления того, кто осуществляет попытку подключения, о том, что несанкционированные подключения незаконны и расцениваются как попытка взлома;
приветственный баннер после успешной аутентификации. В нем можно разместить любую информацию от сведений о местоположении и назначении устройства до картинки из символов.
Особенность настройки баннера: необходимо выбрать разделительный символ, с которого баннер начнется, и которым закончится. При этом выбранный символ не должен использоваться в самом баннере:
—-UNAUTHORIZED ACCESS IS PROHIBITED—-
———-Switch is located in the Ekaterinburg, Malisheva 51——-
Далее нам потребуется сервер AAA. В небольших сетях такие решения не применяются (и для доступа на оборудование используется локальная учетная запись), но в крупных корпоративных или провайдерских сетях они незаменимы для создания гибких и масштабируемых политик доступа (часто с привлечением доменных политик Active Directory). ААА (Authentication, Authorization, Accounting) – три независимых друг от друга процесса, которые выполняются при предоставлении доступа пользователю к устройству:
Authentication – определение наличия пользователя и проверка правильности введенного пароля, аутентификация по логину и паролю;
Authorization – определение уровня прав пользователя, какие команды ему позволено выполнять и на каких устройствах;
Accounting – логирование всех действий пользователя на AAA-сервере.
Самые распространенные протоколы ААА – TACACS+ и Radius, причем TACACS+ считается более надежным. На сервере ААА создается объект для каждого узла в сети:
На узле сети задается соответствующая конфигурация: назначаются основной и резервный серверы ААА. Также указывается порядок проверок учетных записей: сначала c помощью сервера ААА, а если он недоступен, то через локальную базу в конфигурации устройства:
tacacs-server host 192.168.50.1 key ************
tacacs-server host 192.168.50.2 key ************ priority 1
aaa authentication enable default tacacs enable
aaa authentication login default tacacs local
aaa authentication login authorization default tacacs local
aaa accounting commands stop-only default tacacs
Осталось настроить интерфейс SVI для удаленного доступа. Разумеется, в корпоративных сетях для сегментации сетей используются VLAN. Пусть в нашем примере VLAN для управления сетевым оборудованием будет 15:
interface vlan 15
description Management SVI
ip address 192.168.2.21 255.255.255.0
ip default-gateway 192.168.2.254
После успешного входа мы получаем оба баннера:
Теперь нужно регламентировать все внешние подключения к коммутатору, настроив доступ к так называемой плоскости управления. В своем варианте я разрешаю узкому кругу хостов и подсетей удаленный доступ по SSH и мониторинг по SNMP. В результате возможность подключения по Telnet и HTTP будет заблокирована:
management access-list remote-access
permit ip-source 192.168.33.1 service ssh
permit ip-source 172.16.0.0 mask 255.255.255.240 service ssh
permit ip-source 10.0.0.1 service snmp
management access-class remote-access
Кстати об SNMP. Используем самый простой вариант с SNMPv2c, без шифрования:
snmp-server community ******** ro
И можем сразу переходить к мониторингу. Zabbix отлично подходит для этой задачи:
Следующий шаг – настройка точного времени и отправка логов на Syslog-сервер. Для анализа событий в сети необходимо иметь единую точку отсчета времени, поэтому на всех узлах сети нужно настроить синхронизацию времени по протоколу NTP:
clock timezone MSK +3
clock source sntp
sntp unicast client enable
sntp server 10.0.0.1
Осталось сформировать удобочитаемые логи:
logging host 192.168.2.22
logging origin-id hostname
logging buffered informational
Разумеется, система анализа логов в крупной сети – сложный, комплексный продукт. В примере же я использую простую демонстрацию:
2021-08-27T10:04:26+03:00 ekb-tower-lan1 COPY — TRAP — The copy operation was completed successfully 192.168.2.21 27/08 14:04:26.726
2021-08-27T10:04:26+03:00 ekb-tower-lan1 GCLI — CMD-EXEC — source:10.0.0.2 destination:192.168.2.21 user:eltex_user cmd:wr 192.168.2.21 27/08 14:04:26.788
Еще один важный элемент конфигурации — её автоматическое сохранение на стороннем ресурсе. Есть различные подходы к этой задаче — использование готовых коммерческих или свободно распространяемых решений, например NOC, автоматизированная выгрузка конфигураций и их размещение, например, на GitHub, использование встроенных инструментов для использования FTP/TFTP-хранилищ. Мы рассмотрим автоматическую выгрузку конфигурации после ее сохранения на TFTP-сервер, размещенный в корпоративной сети (Eltex позволяет такжеиспользовать SCP). Для этого необходимо в конфигурации указать адрес TFTP-сервера, действие для выгрузки, и путь на сервере (я так же добавляю имя устройства, а коммутатор при формировании файла добавит в название временную метку):
backup server tftp://10.0.0.1
backup path eltex/ekb-tower-lan1
В результате, после сохранения файла, мы получим отчет в логе устройства, и новый файл на TFTP-сервере:
Пора настроить порты. Начнем с порта доступа. Не углубляясь в параметры безопасности, зададим принадлежность VLAN, защиту от BPDU при появлении постороннего коммутатора, быстрый переход порта в состояние передачи и выключим LLDP (пользователям необязательно знать, какое именно оборудование мы используем в своей сети):
description «Simple PC access»
switchport mode access
switchport access vlan 10
spanning-tree bpduguard enable
no lldp transmit
no lldp receive
Порт для соединения с другими сетевыми устройствами (uplink) настраивается в режиме trunk с запретом на прохождение native vlan и формированием полноценной выдачи информации по протоколу LLDP:
description «Link to CORE1 (192.168. )»
switchport mode trunk
switchport trunk allowed vlan add 10,15
switchport trunk native vlan 99
lldp optional-tlv port-desc sys-name sys-desc sys-cap
lldp management-address automatic
Теперь соседнее устройство будет знать о нашем коммутаторе чуть больше:
Соберем нашу конфигурацию в один шаблон, который можно легко адаптировать под простую архитектуру локальной сети:
username admin password ****** privilege 15
username not_admin password ****** privilege 15
Источник
Управление интерфейсами
Настройка VLAN
VLAN (Virtual Local Area Network) — логическая («виртуальная») локальная сеть, представляет собой группу устройств, которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения. Работа VLAN основана на использовании дополнительных полей Ethernet-заголовка согласно стандарту 802.1q. По сути, VLAN изолирует широковещательный домен путем ограничения коммутации Ethernet-фреймов только с одинаковым VLAN-ID в Ethernet-заголовке.
Алгоритм настройки
– идентификатор VLAN, задаётся в диапазоне [2..4094].
Также есть возможность создания нескольких vlan (через запятую), диапазона vlan (через дефис) или комбинированная запись содержащая запятые и дефисы.
Задать имя vlan (не обязательно).
– до 255 символов.
Отключить отслеживание состояния интерфейсов, на которых разрешена обработка Ethernet-фреймов данного VLAN (не обязательно).
Отключить обработку входящих не тегированных Ethernet-фреймов на основе таблицы коммутации VLAN’а по умолчанию (VLAN-ID – 1) (не обязательно).
Установить режим работы физического интерфейса в L2-режим.
Установить комбинированный режим работы физического интерфейса.
Задать режим работы L2 интерфейса.
Только для ESR-10/12V(F)/14VF/20/21/100/200.
Данный режим является режимом по умолчанию и не отображается в конфигурации.
Только для ESR-10/12V(F)/14VF/20/21/100/200.
Только для ESR-1000/1200/1500/1700.
Данный режим является режимом по умолчанию и не отображается в конфигурации.
Для ESR-10/12V(F)/14VF/20/21/100/200.
– идентификатор VLAN, задаётся в диапазоне [2..4094].
Также есть возможность создания нескольких vlan (через запятую) или диапазона vlan (через дефис).
Для ESR-1000/1200/1500/1700.
– идентификатор VLAN, задаётся в диапазоне [2..4094].
Также есть возможность создания нескольких vlan (через запятую) или диапазона vlan (через дефис).
Для ESR-10/12V(F)/14VF/20/21/100/200.
– идентификатор VLAN, задаётся в диапазоне [2..4094].
– идентификатор VLAN, задаётся в диапазоне [2..4094].
Только для ESR-1000/1200/1500/1700.
Пример настройки 1. Удаление VLAN с интерфейса
Задача:
На основе заводской конфигурации удалить из VLAN 2 порт gi1/0/1.
Решение:
Удалитим VLAN 2 с порта gi1/0/1:
Пример настройки 2. Разрешение обработки VLAN в тегированном режиме
Задача:
Настроить порты gi1/0/1 и gi1/0/2 для передачи и приема пакетов в VLAN 2, VLAN 64, VLAN 2000.
Решение:
Создадим VLAN 2, VLAN 64, VLAN 2000 на ESR-1000:
Пропишем VLAN 2, VLAN 64, VLAN 2000 на порт gi1/0/1-2:
Пример настройки 3. Разрешение обработки VLAN в тегированном и не тегированном режиме
Задача:
Настроить порты gi1/0/1 для передачи и приема пакетов в VLAN 2, VLAN 64, VLAN 2000 в режиме trunk, настроить порт gi1/0/2 в режиме access для VLAN 2 на ESR-100/ESR-200.
Решение:
Создадим VLAN 2, VLAN 64, VLAN 2000 на ESR-100/ ESR-200:
Пропишем VLAN 2, VLAN 64, VLAN 2000 на порт gi1/0/1:
Пропишем VLAN 2 на порт gi1/0/2:
Настройка LLDP
Link Layer Discovery Protocol (LLDP) — протокол канального уровня, позволяющий сетевому оборудованию оповещать оборудование, работающее в локальной сети, о своём существовании и передавать ему свои характеристики, а также получать от него аналогичные сведения.
Алгоритм настройки
Активировать LLDP на маршрутизаторе.
Включить прием и обработку LLDPDU на физическом интерфейсе.
Включить отправку LLDPDU на физическом интерфейсе.
Установить период отправки LLDPDU (не обязательно).
– период времени в секундах, принимает значение [1..32768].
Значение по умолчанию: 30
Установить период, в течение которого маршрутизатор хранит информацию, полученную по LLDP (не обязательно).
– период времени в секундах, принимает значение [1..10].
Значение по умолчанию: 4
Установить IP-адрес, который будет передаваться в LLDP TLV в качестве management-address (не обязательно).
По умолчанию задается один из существующих
Установить поле system-description, которое будет передаваться в LLDP TLV в качестве system-description (не обязательно).
– описание системы, задаётся строкой до 255 символов.
По умолчанию содержит информацию о модели и версии ПО маршрутизатора.
Установить поле system-name, которое будет передаваться в LLDP TLV в качестве system-name (не обязательно).
– имя системы, задается строкой до 255 символов.
По умолчанию совпадает с заданным hostname
Пример настройки
Задача:
Организовать обмен и обработку LLDPDU между маршрутизаторами ESR-1 и ESR-2.
Решение:
Конфигурирование R1
Включим LLDP глобально на маршрутизаторе:
Включим прием и отправку LLDPDU на интерфейсе gi 1/0/1.
Включим LLDP глобально на маршрутизаторе:
Включим прием и отправку LLDPDU на интерфейсе gi 1/0/1.
Общую информацию по LLDP соседям можно посмотреть командой:
Подробную информацию по соседу конкретного интерфейса можно посмотреть командой:
Общую статистику по LLDP можно посмотреть командой:
Настройка LLDP MED
LLDP MED — расширение стандарта LLDP, которое позволяет передавать сетевые политики: VLAN ID, DSCP, priority.
Алгоритм настройки
Активировать LLDP на маршрутизаторе
Включить отправку LLDPDU на физическом интерфейсе.
Активировать расширение MED LLDP на маршрутизаторе
Создать сетевую политику.
– имя network-policy, задается строкой до 31 символа.
Указать тип приложения.
- voice;
- voice-signaling;
- guest-voice;
- guest-voice-signaling;
- softphone-voice;
- video-conferencing;
- streaming-video;
- video-signaling.
Установить значение DSCP (не обязательно).
– значение кода DSCP, принимает значения в диапазоне [0..63].
Установить значение COS (не обязательно).
– значение приоритета, принимает значения:
- best-effort – COS0;
- background – COS1;
- excellent-effort – COS2;
- critical-applications – COS3;
- video – COS4;
- voice – COS5;
- internetwork-control – COS6;
- network-control – COS7.
Установить значение VLAN ID.
– идентификационный номер VLAN, принимает значения [1…4094];
- tagged – ключ, при установке которого абонентское устройство будет отправлять Ethernet-фреймы указанного приложения в тегированном виде.
Установить сетевую политику на интерфейс.
– имя network-policy, задается строкой до 31 символа.
Пример настройки Voice VLAN
Voice VLAN — VLAN ID, при получении которого IP-телефон переходит в режим trunk с заданным VLAN ID для приема и отправки VoIP-трафика. Передача VLAN ID осуществляется посредством расширения MED протокола LLDP.
Задача:
Необходимо разделить трафик телефонии и данных по разным VLAN, vid 10 для данных и vid 20 для телефонии, и настроить отправку Voice VLAN с порта gi 1/0/1 ESR. При этом на IP-телефоне должен поддерживаться и быть включен Voice VLAN.
Решение:
Предварительно необходимо создать VLAN 10 и 20 и настроить интерфейс gi 1/0/1 в режиме trunk:
Включим LLDP и поддержку MED в LLDP глобально на маршрутизаторе:
Создадим и настроим сетевую политику таким образом, чтобы для приложения voice указывался VLAN ID 20:
Настроим LLDP на интерфейсе и установим на него сетевую политику:
Настройка терминации на саб-интерфейсе
Для терминирования Ethernet-фреймов конкретного VLAN на определенном физическом интерфейсе необходимо создать саб-интерфейс с указанием номера VLAN, фреймы которого будут терминироваться. При создании двух саб-интерфейсов с одинаковыми VLAN, но на разных физических/агрегированных интерфейсах, коммутация Ethernet-фреймов между данными саб-интерфейсами будет невозможна т.к. сегменты за пределами саб-интерфейсов будут являться отдельными широковещательными доменами. Для обмена данными между абонентами разных саб-интерфейсов (даже с одинаковым VLAN-ID) будет использоваться маршрутизация, т.е. обмен данными будет происходить на третьем уровне модели OSI.
Алгоритм настройки
Создать саб-интерфейс физического интерфейса (возможно только если физичесикий интерфейс в режиме routeport или hybrid).
– номер физического интерфейса.
– номер агрегированного интерфейса.
– идентификатор создаваемого S-VLAN.
Если физический интерфейс включен в bridge-group, создать саб-интерфейс будет невозможно.
Задать описание саб-интерфейса (не обязательно).
– описание интерфейса, задаётся строкой до 255 символов.
Указать экземпляр VRF, в котором будет работать данный саб-интерфейс (не обязательно).
– имя VRF, задается строкой до 31 символа.
Указать IPv4/IPv6-адрес и маску подсети для конфигурируемого интерфейса или включить получение IP-адреса динамически.
– IP-адрес и префикс подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].
Дополнительные функции IPv6-адресации см. в разделе Настройка IPv6-адресации.
Можно указать несколько UIPv4/IPv6-адресов перечислением через запятую. Может быть назначено до 8 IPv4/IPv6-адресов на интерфейс.
Отключить на интерфейсе функции Firewall или включить интерфейс в зону безопасности (см. раздел Конфигурирование Firewall).
– имя зоны безопасности, задаётся строкой до 31 символа.
Установить интервал времени, в течение которого собирается статистика о нагрузке на саб-интерфейс (не обязательно).
– интервал в секундах, принимает значения [5..150].
Установить время жизни IPv4/IPv6 записей в ARP-таблице, изученных на данном интерфейсе (не обязательно).
– время жизни динамических MAC-адресов, в миллисекундах. Допустимые значения от 5000 до 100000000 миллисекунд. Реальное время обновления записи варьируется от [0,5;1,5]* .
Изменить размер MTU (MaximumTransmitionUnit) . MTU более 1500 будет активно только если применена команда «system jumbo-frames» (не обязательно).
– значение MTU в байтах.
Значение по умолчанию: 1500.
MSS > – значение MSS , принимает значения в диапазоне [500..1460].
Значение по умолчанию: 1460
Также для саб-интерфейса возможно настроить:
- QoS в базовом или расширенном режимах (см. раздел Управление QoS);
- proxy (см. раздел Проксирование HTTP/HTTPS-трафика);
- мониторинг траффика (см. разделы Настройка Netflow и Настройка sFlow);
- функционал протоколов маршрутизации (см. раздел Управление маршрутизацией);
- протокол VRRF (см. раздел Управление резервированием);
- функционал BRAS (см. раздел Управление BRAS (Broadband Remote Access Server));
- функционал IDS/IPS (см. раздел Настройка IPS/IDS).
Пример настройки саб-интерфейса
Задача:
Настроить терминацию подсети 192.168.3.1/24 в VLAN: 828 на физическом интерфейсе gigabitethernet 1/0/1.
Решение:
Создадим саб-интерфейс для VLAN: 828
Настроим IP-адрес из необходимой подсети:
Помимо назначения IP-адреса, на саб-интерфейсе необходимо либо отключить firewall, либо настроить соответствующую зону безопасности.
Настройка терминации на Q-in-Q интерфейсе
Q-in-Q – технология передачи пакетов с двумя 802.1q тегами. Данная технология используется для расширения количества используемых VLAN в сети передачи данных. Внутренним тегом (InnerTag) называется 802.1q заголовок ближе к payload. Так же внутренний тег называют C-VLAN (Customer VLAN). Внешний тег (OuterTag) – это 802.1q заголовок, добавленный к изначальному 802.1q пакетом, так же называется S-VLAN (Service VLAN). Использование двойных меток в Ethernet фреймах описывается протоколом 802.1ad.
Алгоритм настройки
Создать саб-интерфейс физического интерфейса (возможно только если физичесикй интерфейс в режиме routeport или hybrid).
– номер физического интерфейса.
– номер агрегированного интерфейса.
– идентификатор создаваемого S-VLAN.
Если физический интерфейс включен в bridge-group, создать саб-интерфейс будет невозможно.
Создать Q-in-Q интерфейс.
– номер физического интерфейса.
– номер агрегированного интерфейса.
– идентификатор создаваемого S-VLAN.
– идентификатор создаваемого C-VLAN.
Если физический или саб-интерфейс включен в bridge-group, создать саб-интерфейс будет невозможно.
Задать описание Q-in-Q интерфейс (не обязательно).
– описание интерфейса, задаётся строкой до 255 символов.
Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации.
– IP-адрес и префикс подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].
Дополнительные функции IPv6-адресации см. в разделе Настройка IPv6-адресации.
Можно указать несколько UIPv4/IPv6-адресов перечислением через запятую. Может быть назначено до 8 IPv4/IPv6-адресов на интерфейс.
Отключить на интерфейсе функции Firewall или включить интерфейс в зону безопасности (см. раздел Конфигурирование Firewall).
Установить интервал времени, в течение которого собирается статистика о нагрузке на саб-интерфейс (не обязательно).
– интервал в секундах, принимает значения [5..150].
Установить время жизни IPv4/IPv6 записей в ARP-таблице, изученных на данном интерфейсе (не обязательно).
– время жизни динамических MAC-адресов, в миллисекундах. Допустимые значения от 5000 до 100000000 миллисекунд. Реальное время обновления записи варьируется от [0,5;1,5]* .
Изменить размер MTU (MaximumTransmitionUnit) .
MTU более 1500 будет активно только если применена команда «system jumbo-frames»
(не обязательно).
– значение MTU в байтах.
Значение по умолчанию: 1500.
MSS > – значение MSS , принимает значения в диапазоне [500..1460].
Значение по умолчанию: 1460
Также для qinq-интерфейса возможно настроить:
- QoS в базовом или расширенном режимах (см. раздел Управление QoS);
- proxy (см. раздел Проксирование HTTP/HTTPS-трафика);
- мониторинг траффика (см. разделы Настройка Netflow и Настройка sFlow);
- функционал протоколов маршрутизации (см. раздел Управление маршрутизацией);
- протокол VRRF (см. раздел Управление резервированием);
- функционал BRAS (см. раздел Управление BRAS (Broadband Remote Access Server));
- функционал IDS/IPS (см. раздел Настройка IPS/IDS).
Пример настройки Q-in-Q интерфейса
Задача:
Настроить терминацию подсети 192.168.1.1/24 комбинации C-VLAN: 741, S-VLAN: 828 на физическом интерфейсе gigabitethernet 1/0/1.
Решение:
Создадим саб-интерфейс для S-VLAN: 828
Создадим Q-in-Q-интерфейс для S-VLAN: 741 и настроим IP-адрес из необходимой подсети.
Помимо назначения IP-адреса, на Q-in-Q саб-интерфейсе необходимо либо отключить firewall, либо настроить соответствующую зону безопасности.
Настройка USB модемов
Использование USB-модемов позволяет организовать дополнительный канал связи для работы маршрутизатора. При подключении USB-модемов возможно использовать USB-концентраторы. Одновременно в системе может быть сконфигурировано до 10-ти USB-модемов.
Алгоритм настройки USB-модемов
После подключения USB -модема дождаться, когда система обнаружит подключенное устройство.
Определить, какой номер устройства назначен на подключенный USB -модем.
В поле » USB port » будет указан идентификатор подключенного устройства.
Создать профиль настроек для USB -модема и перейти в режим конфигурирования профиля.
ID > – идентификатор профиля настроек для USB -модема в системе [1..10].
Задать описание профиля настроек (не обязательно).
DESCRIPTION > – описание профиля, задаётся строкой до 255 символов.
Задать точку доступа мобильной сети
NAME > – точка доступа мобильной сети, задаётся строкой до 31 символа.
Задать имя пользователя мобильной сети (если мобильный оператор требует аутентификации по логину/паролю).
NAME > – имя пользователя, задаётся строкой до 31 символа.
Установить пароля для пользователя мобильной сети (если мобильный оператор требует аутентификации по логину/паролю).
CLEAR — TEXT > – пароль в открытой форме, задаётся строкой [1 .. 64] символов, может включать символы [0-9 a — fA — F ];
ENCRYPTED — TEXT > – пароль в зашифрованной форме, задаётся строкой [2..128] символов.
Установить номер дозвона для подключения к мобильной сети.
WORD > – номер дозвона для подключения к мобильной сети, задаётся строкой до 15 символов.
Задать метод аутентификации пользователя в мобильной сети (не обязательно).
TYPE > – метод аутентификации пользователя в мобильной сети [ none , PAP , CHAP , MSCHAP , MSCHAPv 2, EAP ].
Значение по умолчанию: PAP
Ограничить возможность использования семейств IP -адресов в мобильной сети.
- ipv4 – семейство IPv 4;
- ipv6 – семейство IPv 6;
Создать USB -модем в конфигурации маршрутизатора и перейти в режим конфигурирования модема.
ID > – идентификатор USB -модема в системе [1..10].
Задать описание модема (не обязательно).
DESCRIPTION > – описание модема, задаётся строкой до 255 символов.
Указать экземпляр VRF , в котором будет работать данный модем (не обязательно).
VRF > – имя VRF , задается строкой до 31 символа.
Задать идентификатор USB -модема, назначенного системой (определен в пункте 2).
WORD > – идентификатор USB -порта подключенного модема [1..12].
Назначить ранее созданный профиль настроек для USB -модема.
ID > – идентификатор профиля настроек для USB -модема в системе [1..10].
Задать код разблокировки SIM -карты (в случае необходимости).
WORD > – код разблокировки SIM -карты [4..8]. Возможно использование только цифр.
Разрешить использование того или иного режима работы USB -модема (не обязательно).
MODE > – допустимый режим работы USB -модема [2 g , 3 g , 4 g ].
По умолчанию: разрешены все режимы, поддерживаемые модемом.
Задать размер максимального принимаемого пакета (не обязательно).
MRU > – значение MRU , принимает значения в диапазоне [128..16383].
Значение по умолчанию: 1500.
Изменить максимальный размер обрабатываемых пакетов MTU (MaximumTransmitionUnit) .
MTU более 1500 будет активно только если применена команда «system jumbo-frames» (не обязательно).
– значение MTU в байтах.
Значение по умолчанию: 1500.
Задать предпочтительный режим работы USB -модема в мобильной сети (не обязательно).
MODE > – предпочтительный режим работы USB -модема [2 g , 3 g , 4 g ]
Отключить на интерфейсе функции Firewall или включить интерфейс в зону безопасности (см. раздел Конфигурирование Firewall).
-имя зоны безопасности, задаётся строкой до 31 символа.
Активировать USB — модем.
Также для модема сотовой сети возможно настроить:
- QoS в базовом или расширенном режимах (см. раздел Управление QoS);
- proxy (см. раздел Проксирование HTTP/HTTPS-трафика);
- мониторинг траффика (см. разделы Настройка Netflow и Настройка sFlow);
- функционал протоколов маршрутизации (см. разделы Policy-based routing и MultiWAN).
Для полноценного функционирования модема мобильной сети, необходимо дополнительно настроить маршрутизацию и функционал NAT.
Пример настройки
Задача:
Настроить подключение к сети Интернет, используя USB-модем.
Решение:
Для примера разберём подключение к сотовому оператору МТС.
После подключения модема необходимо дождаться, когда система обнаружит устройство. Определим порт устройства, который был назначен на подключённый USB-модем:
Создадим профиль настроек для USB-модема:
Зададим APN, который требует провайдер, или иной необходимый адрес. Ниже показан пример подключения к APN МТС:
При необходимости задаём имя пользователя, пароль, номер дозвона и метод аутентификации:
Перейдём к конфигурированию USB-модема и зададим идентификатор, соответствующий порту устройства, который был определён в начале:
Назначим соответствующий профиль настроек и активируем модем:
Настройка PPP через E1
PPP (Point-to-Point Protocol) — двухточечный протокол канального уровня, используется для установления прямой связи между двумя узлами сети. Может обеспечить аутентификацию соединения, шифрование и сжатие данных.
Для установления PPP-соединения через поток E1, необходимо наличие медиаконвертера ToPGATE-SFP в маршрутизаторе ESR.
Алгоритм настройки
Перевести физический интерфейс в режим коммутации
Задать режим работы интерфейса e1
Задать источник синхронизации
- Internal (по умолчанию) – синхронизироваться с внутренним источником;
- line – синхронизироваться с линейным сигналом.
Указать размер MTU (Maximum Transmition Unit) для физических интерфейсов
– значение MTU, для E1 и Multilink интерфейсов принимает значения в диапазоне [128..1500].
Задать хэш-алгоритм проверки кадра (не обязательно)
– последовательность проверки кадра:
- 16 (по умолчанию) – FCS16;
- 32 – FCS32.
Задать проверку на наличие ошибок при передаче (не обязательно)
– проверка циклической избыточности:
- crc-4 – использовать алгоритм CRC-4;
- no-crc4 (по умолчанию) – не использовать проверку.
Задать инвертацию передаваемых бит (не обязательно)
Задать тип линейного кодирования (не обязательно)
– тип линейного кодирования;
- ami – чередующейся полярностью импульсов;
- hdb3 (по умолчанию) – двухполярный код высокой плотности порядка 3.
Задать количество тайм слотов
Использовать Е1 как единую сущность, без таймслотов (не обязательно)
Включаем CHAP-аутентификацию для PPP (не обязательно)
Задается имя маршрутизатора, которое отправляется удаленной стороне для прохождения CHAP-аутентификации (не обязательно)
Задать пароль для аутентификации (не обязательно)
– пароль в открытой форме, задаётся строкой [1 .. 64] символов, может включать символы [0-9a-fA-F]
Включить игнорирование аутентификации (не обязательно)
Задать имя пользователя для аутентификации (не обязательно)
Разрешается принимать от соседа любой ненулевой IP-адрес в качестве локального IP-адреса (не обязательно)
Задать IP-адрес, который отправляется удаленной стороне для последующего его присвоения (не обязательно)
Задать количество попыток отправки Configure-Request пакетов, прежде чем удаленный пир будет признан неспособным ответить (не обязательно)
Задать количество попыток отправки Configure-NAK пакетов, прежде чем будут подтверждены все опции (не обязательно)
Задать количество попыток отправки Terminate-Request пакетов, прежде чем сессия будет прервана (не обязательно)
Задать размер MRU (Maximum Receive Unit) для интерфейса (не обязательно)
Включение режима MLPPP (не обязательно)
Добавить в MLPPP группу (не обязательно)
Задается интервал времени в секундах, по истечении которого маршрутизатор отправляет keepalive-сообщение (не обязательно)
– время в секундах
Задается интервал, по истечении которого маршрутизатор повторяет запрос на установление сессии (не обязательно)
– время в секундах
Пример конфигурации
Задача:
Настроить PPP-соединение со встречной стороной с IP-адресом 10.77.0.1/24 через ToPGATE-SFP, используя 1-8 канальные интервалы для передачи данных; источник синхросигнала – встречная сторона.
Решение:
Переключаем интерфейс, в котором установлен ToPGATE-SFP, gigabitethernet 1/0/3 в режим работы Е1:
Включим interface e1 1/3/1:
Изменения конфигурации вступят в действие по следующим командам:
Настройка MLPPP
Multilink PPP (MLPPP) предоставляет собой агрегированный канал, включающий в себя методы для распространения трафика через несколько физических каналов, имея одно логическое соединение. Этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки.
Алгоритм настройки
| Шаг | Описание | Команда | Ключи | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | Настроить группу агрегации. | – наименование интерфейса. | |||||||||||
| 2 | Указать описание конфигурируемой группы агрегации (не обязательно). | – описание группы агрегации, задаётся строкой до 255 символов. | |||||||||||
| 3 | Задать интервал времени, за который усредняется статистика о нагрузке на группе агрегации (не обязательно). | ||||||||||||
| 4 | Указать размер MTU (Maximum Transmition Unit) для группы агрегации (не обязательно). MTU более 1500 будет активно только в случае применения команды «system jumbo-frames». | ||||||||||||
| 5 | Включить CHAP-аутентификацию. | ||||||||||||
| 6 | Включить игнорирование аутентификации (не обязательно). | ||||||||||||
| 7 | Указать имя маршрутизатора, которое отправляется удаленной стороне для прохождения CHAP-аутентификации. | – имя маршрутизатора, задаётся строкой до 31 символа | |||||||||||
| 8 | Указать пароль, который отправляется удаленной стороне вместе с именем маршрутизатора для прохождения CHAP-аутентификации. | ||||||||||||
| 9 | Разрешить принимать от соседа любой ненулевой IP-адрес в качестве локального IP-адреса (не обязательно). | ||||||||||||
| 10 | Установить IP-адрес, который отправляется удаленной стороне для последующего его присвоения. | – IP-адрес удаленного шлюза. | |||||||||||
| 11 | Указать пользователя для аутентификации удаленной стороны и перейти в режим конфигурирования указанного пользователя. | – имя пользователя, задаётся строкой до 31 символа. | |||||||||||
| 12 | Установить пароль в открытой или зашифрованной форме определенному пользователю для аутентификации удаленной стороны. | ||||||||||||
| 13 | Установить количество попыток отправки Configure-Request пакетов, прежде чем удаленный пир будет признан неспособным ответить (не обязательно). | ||||||||||||
| 14 | Установить количество попыток выслать Configure-NAK пакеты, прежде чем будут подтверждены все опции (не обязательно). | – время в секундах, принимает значения [1..255]. | |||||||||||
| 15 | Установить количество попыток выслать Terminate-Request пакеты, прежде чем сессия будет прервана (не обязательно). | ||||||||||||
| 16 | Указать размер MRU (Maximum Receive Unit) для интерфейса. | ||||||||||||
| 17 | Указать интервал времени в секундах, по истечении которого маршрутизатор отправляет keepalive-сообщение (не обязательно). | ||||||||||||
| 18 | Установить интервал времени в секундах, по истечении которого маршрутизатор повторяет запрос на установление сессии (не обязательно). | ||||||||||||
| 19 | Определить максимальный размер пакета для MLPP интерфейса. | – максимальный размер принимаемого пакета для MLPP интерфейса, принимает значение в диапазоне [1500..10000]. | |||||||||||
| 20 | Привязать порт e1 к физическому интерфейсу. | – идентификатор слота, принимает значение в диапазоне [0..3]. | |||||||||||
| 21 | Перевести физический порт в режим работы с SFPe1 модулем. | ||||||||||||
| 22 | Включить режим MLPPP на E1-интерфейсе. | ||||||||||||
| 23 | Включить E1-интерфейс в группу агрегации. |
| Шаг | Описание | Команда | Ключи |
|---|---|---|---|
| 1 | Добавить сетевой мост (bridge) в систему и перейти в режим настройки его параметров. | ||
| 8 | Указать IPv4/IPv6-адрес и маску подсети для конфигурируемого интерфейса или включить получение IP-адреса динамически. | ||
| Дополнительные функции при работе DHCP-клиента см. в разделе Управление DHCP-клиентом. | |||
| 9 | Включить запись статистики использования текущего интерфейса (не обязательно). | ||
Пример настройки bridge для VLAN и L2TPv3-туннеля
Задача:
Объединить в единый L2 домен интерфейсы маршрутизатора, относящиеся к локальной сети, и L2TPv3-туннель, проходящий по публичной сети. Для объединения использовать VLAN 333.
Источник