Сегодня рассмотрим конфигурационный файл ESR-15R. Начнем с того, что маршрутизаторы ESR имеют примерно одинаковый функционал. Отличия заключаются в железе и производительности. Поэтому на основе этой статьи можно в дальнейшем иметь понимание по настройке старших моделей в линейке. Например, ESR-3200L.
В предыдущих статьях рассматривали сброс устройства на заводские настройки. Сделать это можно кнопкой F или через команду: copy system:factory-config system:candidate-config. После перезагрузки устройства загрузится файл конфигурации factory-config. Про файлы конфигурации, на маршрутизаторах eltex, можно почитать вот в этой статье: Взаимодействие с конфигурационными файлами на маршрутизаторах ESR.
Сегодня постараемся подробнее рассмотреть вопросы по заводской конфигурации. Что нам прописал завод в настройках устройства? Можно ли использовать ESR "из коробки"? И какие есть рекомендации по использованию ESR при первом включении?
Начнем по порядку. При первом включении ESR доступно только несколько команд. Для входа на устройства предустановлен пользователь admin с паролем password.
Необходимо ввести команду password задать пароль. После чего подтвердить и сохранить изменения командой commit и confirm.
Дальше уже будет доступен полный функционал устройства. Для просмотра запущенной конфигурации введите команду show running-config. Вам отобразится конфигурация. Рассмотрим что в ней есть.
1. Созданы object-group:
В object-group мы можем указывать некие переменные, на которые можем в дальнейшем ссылаться. Задавать можно сети, адреса, приложения, MAC адреса и сервисы. После указания типа группы идет название.
## для получения IP от провайдера и работы DHCP сервера object-group service dhcp_client
## для получения IP от провайдера и работы DHCP сервера object-group service dhcp_server
## для работы DNS object-group service dns
## для протокола синхронизации системных часов с удаленными серверами object-group service ntp
## для подключения к устройству по протоколу SSH object-group service ssh
2. Созданы security zone и привязаны к интерфейсам:
Зоны безопасности нам нужны для упрощения конфигурирования и уменьшения количества правил. В таком варианте нам нужно создать минимум 2 зоны. На интерфейсах указываем принадлежность к нужной зоне. Все правила созданные для этой зоны начинают работать для нашего интерфейса.
## зона trusted создана для трафика в нашей локальной сети, untrusted для трафика из вне security zone trusted
security zone untrusted
## создан мост для локальных интерфейсов bridge1, навесили на него виртуальный интерфейс vlan1, отнесли его к доверенной зоне и указали IP адрес. Интерфейс уже в состоянии Enable bridge 1
vlan 1
security-zone trusted
ip address 192.168.1.1/24
no spanning-tree
enable
exit
## мост bridge2 для для подключения кабеля от провайдера, привязали к нему виртуальный интерфейс vlan2, отнесли к не доверенной зоне и указали получение IP адреса по протоколу DHCP от провайдера. Включили интерфейс bridge 2
vlan 2
security-zone untrusted
ip address dhcp
no spanning-tree
enable exit
3. Настройка портов
Все порты ESR-15R умеют работать со скоростью 1 Гбит/с. Поэтому для настройки используется команда interface gigabitethernet. По индикации на порту можно определить скорость работы с подключенным оборудованием. Если индикатор горит или мигает только зеленым, то работа осуществляется на скорости 100 Мбит/с. Если загорелся еще и оранжевый индикатор, то скорость 1 Гбит/с. (На фото "Порты ESR-15R" порт № 3)
Все порты переведены в режим работы switchport. Для портов № 1 и № 6 разрешен vlan2. Сделано это для того, чтобы мы могли настроить доступ как по витой паре так и по оптике.
Еще нужно помнить, что в маршрутизаторах ESR на портах по умолчанию включен но не настроен firewall. И если не проходят пакеты возможно нужно проверить разрешающие правила в нем.
4. Настройка правил firewall
Перед настройкой фаервола введем понятие 3-й зоны безопасности - self. При настройке ее не нужно создавать дополнительно. К зоне self относится само устройство. Например, если мы хотим подключаться к ESR из зоны trusted, по протоколу SSH, то указывать направление нужно к зоне self.
4.1 LAN -> ESR
Первый набор правил создан для направления из нашей внутренней сети к маршрутизатору. Правила в firewall срабатывают в порядке нумерации. Хорошим тоном принято нумеровать правила с шагом 10. Если нужно будет внести промежуточные изменения, то это можно будет сделать без труда.
Правило 10 разрешает доступ по протоколу tcp на порт 22, который указан в object-group выше.
Правило 20 разрешает пинговать устройство.
Правило 40 разрешает доступ для протокола синхронизации времени.
Правило 30, 50, 60 разрешает пользователям получать настройки от DHCP сервера.
4.2 LAN -> LAN / LAN -> WAN
В локальной сети нет ограничения. Указано 1 правило разрешающее весь трафик, который идет из локальной сети в локальную сеть. И 1 правило из зоны trusted в направление провайдера.
4.2 WAN -> LAN
Для того чтобы себя обезопасить мы должны блокировать весь трафик идущий из внешней сети. Но для получения IP от провайдера нужно оставить 1 правило.
5. Настройка правил NAT
В настройке преобразования адресов есть только 1 правило для трафика идущего во внешнюю сеть. Правило необходимое для подмены адреса на роутере.
6. DHCP сервер
Для удобства администрирования и для того чтобы не прописывать адреса на рабочих станциях в ручную, включен DHCP сервер. Размечено адресное пространство и заданы шлюз и DNS сервер. Подключив рабочее место к портам №2 - №5 ПК получит указанные параметры.
7. Можно еще отметить
## настроено логирование с указанием кол-ва и размера файлов с уровнем info syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
severity info
## включено разрешение DNS-имен domain lookup enable
## включен SSH server для удаленной настройки ip ssh server
## включен протокол синхронизации времени ntp enable ntp broadcast-client enable
Команда ntp broadcast-client enable включает режим приёма широковещательных сообщений NTP-серверов, но ее желательно отключать! Сделать это можно подставив перед командой NO. no ntp broadcast-client enable
Заключение
В статье рассмотрели основные настройки ESR-15R которые нам предлагает завод eltex для работы "из коробки". Если вам лень или нет возможности тратить время на настройку роутера, то заводская конфигурация предоставляет все необходимое для работы. Созданы зоны безопасности, настроен dhcp-server, NAT и есть немного правил для firewall. После покупки мы просто подключили ESR в сеть и начали работать. Инженеры eltex позаботились о нашем времени, и нашей безопасности)
Если вы хотите подробнее рассмотреть конфигурацию или она нужна вам в текстовом виде, пишите в комментарии.