Для того чтобы создать VLAN на коммутаторе и задать ему имя необходимо в режиме глобального конфигурирование ввести следующие команды:
console(config)# vlan database переходим в конфигурации VLAN
console(config-vlan)# vlan 10 name Management создаем “VLAN 10” и задаем ему имя “Management”
Для того, чтобы произвести обновление ПО с использованием CLI необходимо подключиться к коммутатору при помощи терминальной программы (например HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.
Настройки терминальной программы при подключении к коммутатору через последовательный порт:
выбрать соответствующий последовательный порт.
установить скорость передачи данных – 115200 бит/с.
задать формат данных: 8бит данных, 1 стоповый бит, без контроля четности.
отключить аппаратное и программное управление потоком данных.
задать режим эмуляции терминала VT100 (многие терминальные программы используют данный режим эмуляции терминала в качестве режима по умолчанию).
Загрузка файла системного ПО в энергонезависимую память коммутатора
Для загрузки файла системного ПО необходимо в командной строке CLI ввести следующую команду:
сopy tftp:// xxx.xxx.xxx.xxx/File Name image, где
xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, с которого будет производиться загрузка файла системного ПО;
File Name – имя файла системного ПО;
и нажать Enter. В окне терминальной программы должно появиться следующее:
COPY-I-FILECPY: Files Copy - source URL tftp://xxx.xxx.xxx.xxx/ File Name destination URL flash://image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Если загрузка файла прошла успешно, то появится сообщение вида
COPY-N-TRAP: The copy operation was completed successfully
Выбор файла системного ПО, который будет активен после перезагрузки коммутатора
Для того, чтобы произвести выбор файла системного ПО, который будет активен после перезагрузки, необходимо в командной строке CLIввести следующую команду:
boot system { image-1 | image-2 }, где
image-1, image-2 – файл системного ПО.
После выбора необходимо произвести перезагрузку коммутатора командой reload.
Необходимо использовать команду
console#set interface active <имя интерфейса>
Доступ к коммутатору можно ограничить при помощи Management ACL.
Ниже приведен пример ограничения доступа по IP-адресу источника (IP 192.168.1.12).
1. Создать Management ACL с указанием IP-адреса источника:
console#configure
console(config)#management access-list IP
console(config-macl)# permit ip-source 192.168.1.12
console(config-macl)#exit
2. Применить созданный Management ACL:
console(config)#management access-class IP
Для просмотра информации по созданным и примененным листам необходимо воспользоваться командами show:
console#show management access-list
IP
----
permit ip-source 192.168.1.12
! (Note: all other access implicitly denied)
console-only
------------
deny
! (Note: all other access implicitly denied)
console#show management access-class
Management access-class is enabled, using access-list IP
Широковещательный шторм – это размножение широковещательных сообщений в каждом узле, которое приводит к лавинообразному росту их числа и парализует работу сети. Коммутаторы MES имеют функцию, позволяющую ограничить скорость передачи широковещательных кадров, принятых коммутатором.
Пример настройки.
Перейти в режим конфигурирования интерфейса Ethernet и включить функцию (например, для интерфейса tengigabitethernet 1/0/1):
console(config)# interface tengigabitethernet 1/0/1
console(config-if)# storm-control broadcast enable
Задать максимальную скорость для широковещательного трафика на этом интерфейсе (например, 8500 кбит/с):
console(config-if)# storm-control broadcast level kbps 8500
Задать действия при обнаружении шторма: отображать информацию в логах и/или отключать порт
console(config-if)#storm-control broadcast logging
console(config-if)#storm-control broadcast shutdown
Пример настройки для коммутаторов с версией 4.0.х
Перейти в режим конфигурирования интерфейса .
Включить функцию. Ограничения настраиваются либо при помощи указания полосы пропускания в kbps, либо в процентах от полосы пропуская - level
console(config)# interface tengigabitethernet 1/0/1
console(config-if)#storm-control broadcast level 2
console(config-if)#storm-control broadcast kbps 8500
Кнопка "F" - функциональная кнопка для перезагрузки устройства и сброса к завод-ским настройкам:
- при нажатии на кнопку длительностью менее 10 с. происходит пере-загрузка устройства;
- при нажатии на кнопку длительностью более 10 с. происходит сброс настроек устройства до заводской конфигурации.
Отключить кнопку можно командой:
reset-button disable
Чтобы запретить сброс устройства к заводстким настройкам, но разрешить перезагрузку, следует ввести команду:
reset-button reset-only
Команда, которая позволяет посмотреть статистику по пакетам на физическом интерфейсе
show interfaces counters [interface-id]
Например,
sh interfaces counters GigabitEthernet 0/12
Port |
InUcastPkts |
InMcastPkts |
InBcastPkts |
InOctets |
gi1/0/12 |
52554 |
133762 |
48 |
110684852 |
Port |
OutUcastPkts |
OutMcastPkts |
OutBcastPkts |
OutOctets |
gi1/0/12 |
42121 |
81577 |
22 |
71762424 |
Alignment Errors: 0
Принятые пакеты содержат контрольную сумму не кратную восьми.
FCS Errors: 0
Принятые пакеты содержат ошибки контрольной суммы CRC
Single Collision Frames: 0
Количество кадров , принятых с единичной коллизией и впоследствии переданные успешно
Multiple Collision Frames: 0
Количество кадров , принятых больше, чем с одной коллизией и впоследствии переданные успешно
SQE Test Errors: 0
Количетство раз, когда принят SQE TEST ERROR.
Deferred Transmissions: 0
Количество кадров, для которых первая передача задерживается из-за занятости среды передачи
Late Collisionss: 0
Количество раз когда обнаружена Late Collisions
Excessive Collisions: 0
Количество непереданных кадров из-за excessive collisions
Carrier Sense Errors: 0
Количество раз, когда происходили ошибки из-за потери несущей при попытке передаче данных
Oversize Packets: 0
Количество принятых, кадров, превышающих максимально разрешенный размер кадра
Internal MAC Rx Errors: 0
Количество кадров, приём которых сопровождался внутренними ошибками на физическом уровне
Symbol Errors: 0
Количество раз, когда интерфейс не может интерпретировать принятый символ
Received Pause Frames: 0
Количество принятых пакетов, содержащих pause-frame
Transmitted Pause Frames: 0
Количество переданных пакетов, содержащих pause-frame
В качестве, примера, настроим соседство OSPF между коммутаторами MES3124 (версия 2.5.х) и MES3124 (версия 3.5.х).
Настройка для версии 2.5.х
1) Создаем interface vlan для создания соседства
console(config)#interface vlan 10
console(config-if)#ip address 10.10.10.6 255.255.255.252
console(config-if)#exit
2) Настройки в режиме глобальной конфигурации
console(config)#router ospf enable
console(config)#router ospf area 4.4.4.4
console(config)#router ospf redistribute connected
console(config)#router ospf router-id 1.1.1.1
3) Настройка интерфейса ip
console(config)#interface ip 10.10.10.6
console(config-ip)#ospf
console(config-ip)#ospf area 4.4.4.4
console(config-ip)#exit
Настройка для версии 3.5.х и 4.0
1) Создаем interface vlan для создания соседства
console(config)#interface vlan 10
console(config-if)#ip address 10.10.10.5 255.255.255.252
console(config-if)#exit
2) Настройки в режиме глобальной конфигурации
console(config)#router ospf 1
console(router_ospf_process)#network 10.10.10.5 area 4.4.4.4
console(router_ospf_process)#router-id 5.5.5.5
console(router_ospf_process)#exit
Контроль работы протокола
Просмотр ospf соседей - sh ip ospf neighbor
Просмотр таблицы LSDB - show ip ospf database
Просмотр состяния ospf - sh ip ospf
Протокол RADIUS используется для аутентификации, авторизации и учета. Сервер RADIUS использует базу данных пользователей, которая содержит данные проверки подлинности для каждого пользователя. Таким образом, использование протокола RADIUS обеспечивает дополнительную защиту при доступе к ресурсам сети, а также при доступе к самому коммутатору.
Конфигурацию будем выполнять на базе коммутатора MES2324.
1. Для начала необходимо указать ip-адрес radius-сервера и указать key:
MES2324B(config)#radius-server host 192.168.10.5 key test
2. Далее установить способ аутентификации для входа в систему по протоколу radius:
MES2324B(config)#aaa authentication login authorization default radius local
Примечение: На коммутаторах серии 23xx, 33xx, 53xx используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 4.0.6 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке. На коммутаторах серии 1000, 2000, 3000 уже имеется этот функционал.
3. Установить способ аутентификации при повышении уровня привилегий:
MES2324B(config)#aaa authentication enable authorization default radius enable
Чтобы не потерять доступ до коммутатора (в случае недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
4. Создать учетную запись:
MES2324B(config)#username tester password eltex privilege 15
5. Задать пароль на доступ в привилегированный режим:
MES2324B(config)#enable password eltex
Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).
Функция зеркалирования портов предназначена для контроля сетевого трафика путем пересылки копий входящих и/или исходящих пакетов с одного или нескольких контролируемых портов на один контролирующий порт.
При зеркалировании более одного физического интерфейса возможны потери трафика. Отсутствие потерь гарантируется только при зеркалировании одного физического интерфейса.
К контролирующему порту применяются следующие ограничения:
Порт не может быть контролирующим и контролируемым портом одновременно;
Порт не может быть членом группы портов;
IP-интерфейс должен отсутствовать для этого порта;
Протокол GVRP должен быть выключен на этом порту.
К контролируемым портам применяются следующие ограничения:
Порт не может быть контролирующим и контролируемым портом одновременно.
Пример настройки SPAN.
Организуем мониторинг трафика с порта GigabitEthernet 0/1 и с vlan 3 на примере MES2324
2324(config)#interface GigabitEthernet 0/2
2324(config-if)#port monitor GigabitEthernet 0/1
2324(config-if)# port monitor vlan 3
Пример настройки RSPAN.
Oрганизуем мониторинг трафика с порта GigabitEthernet 0/1 через vlan 100. На промежуточных коммутаторах, где прописан vlan 100 должен быть отключен mac learning в данном vlan и очищена таблица мак-адресов.
MES2324(config)#port monitor mode network
MES2324(config)#port monitor remote vlan 100
MES2324(config)#interface GigabitEthernet 0/2
MES2324(config-if)#switchport mode trunk
MES2324(config-if)#switchport trunk allowed vlan add 100
MES2324(config-if)#port monitor remote
MES2324(config-if)#port monitor GigabitEthernet0/1
На ряде моделей в ПО доступна настройка увеличения qos tail-drop mirror-limit, позволяющая увеличить лимиты для передачи отзеркалированного трафика
qos tail-drop mirror-limit rx 50
qos tail-drop mirror-limit tx 50
При эксплутации коммутаторов в сетях клиентов могут возникать ситуации, когда на коммутаторе фиксируется высокая загрузка CPU ~ 80-100%.
Клиенты обращаются в службу поддержки с просьбой помочь разобраться, что вызывает такую аномально высокую загрузку. Для анализа ситуации службе поддержки требуется информация по процессам, полученная в момент проблемы из debug режима.
Переходим в debug
console#debug
>debug
Enter DEBUG Password: ***** (debug)
DEBUG>set tasks utilize
DEBUG>print tasks utilize
DEBUG>print tasks utilize
TASK NAME 5-seconds minute 5-minutes
-----------------------------------------
IDLE 75 N/A N/A
BRMN 12 N/A N/A
3SWF 1 N/A N/A
HLTX 3 N/A N/A
IDLE - бездействие системы
Описание процессов на CPU можно найти в приложении в "Руководстве по эксплуатации к оборудованию".
Найти имя процесса, который больше всего занимает ресурсы CPU. (IDLE - бездействие системы, по данному таску снимать статистику не нужно)
Вывести таблицу и найти в ней <ID> процесса по имени.
DEBUG>print os tasks
DEBUG>print os tasks
Name |
ID |
Status |
S-size |
S-cusg |
S-musg |
Prio |
TS |
FP |
PrType |
IDLE |
15C649C |
Ready |
1000 |
9E8 |
9FC |
2 |
OFF |
0 |
|
BRMN |
160281C |
PEND |
4000 |
3A4 |
16FC |
4 |
ON |
0 |
|
...........
В момент пиковой загрузки CPU несколько раз (не меньше 10) подряд выполнить
DEBUG>print os stack <TASK_ID>
DEBUG>print os stack 160281C
Name ID Stck-size Stck-cusg Stck-musg Prio. TS
BRMN 160281C 4000 128 16FC 4 ON
Task Stack:
158758
15965C
171534
72A86C
72A95C
66F00C
122040
Все полученные данные нужно предоставить в техническую поддержку при обращении
Пример конфигурации для коммутаторов серии MES2000, MES3000
gi 0/7 - mac авторизация
gi 0/8 - mac авторизация с назначением влана
gi 0/18 - 802.1x авторизация
no spa
vlan database
vlan 100,200
exit
dot1x system-auth-control
!
aaa authentication dot1x default radius none
radius-server host 192.168.1.10 encrypted key da90833f59be
!
interface gigabitethernet 1/0/17
switchport access vlan 100
exit
!
interface gigabitethernet 1/0/7
switchport access vlan 100
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x mac-authentication mac-only
dot1x port-control auto
spanning-tree portfast
exit
!
interface gigabitethernet 1/0/8
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x mac-authentication mac-only
dot1x radius-attributes vlan
dot1x port-control auto
spanning-tree portfast
dot1x host-mode multi-sessions
exit
!
interface gigabitethernet 1/0/18
switchport access vlan 100
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x port-control auto
spanning-tree disable
spanning-tree bpdu filtering
exit
!
interface vlan 100
ip address 192.168.1.20 255.255.255.0
exit
!
interface vlan 200
dot1x guest-vlan
exit
Пример конфигурации для коммутаторов серии MES2300, MES3300
gi 0/7 - mac авторизация
gi 0/8 - 802.1x авторизация
no spa
vlan database
vlan 100,200
exit
dot1x system-auth-control
!
aaa authentication dot1x default radius none
radius-server host 192.168.1.10 encrypted key da90833f59be
!
interface gigabitethernet1/0/7
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x authentication mac
dot1x port-control auto
switchport access vlan 100
exit
!
interface gigabitethernet1/0/8
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x port-control auto
switchport access vlan 100
exit
!
interface vlan 100
ip address 192.168.1.20 255.255.255.0
exit
Протокол Multiple STP (MSTP) является наиболее современной реализацией STP, поддерживающей использование VLAN. MSTP предполагает конфигурацию необходимого количества экземпляров связующего дерева (spanning tree) вне зависимости от числа групп VLAN на коммутаторе. Каждый экземпляр (instance) может содержать несколько групп VLAN. Недостатком протокола MSTP является то, что на всех коммутаторах, взаимодействующих по MSTP, должны быть одинаково сконфигурированы группы VLAN.
Примечание: Всего можно сконфигурировать 64 экземпляра MSTP.
йн
Пример настройки MSTP:
spanning-tree mode mst
!
spanning-tree mst configuration
instance 1 vlan 201,301
instance 2 vlan 99
instance 3 vlan 203,303
name test
exit
Примечание: По умолчанию все vlan'ы находятся в 0 instance.
Да, такая возможность есть. Пример для порта GigabitEthernet 1/0/1:
console# test cable-diagnostics tdr interface GigabitEthernet 1/0/1
Port |
Pair |
Result |
Lenght [m] |
Date |
gi1/0/1 |
1-2 |
Open |
4 |
24-Mar-2014 10:16:22 |
|
3-6 |
Open |
4 |
|
|
4-5 |
Open |
4 |
|
|
7-8 |
Open |
4 |
|
Обрыв на расстоянии 4м по каждой паре.
Длина кабеля для FastEthernet портов измеряется только с помощью tdr, и только если кабель не вставлен в абонентское устройство (есть разрыв на линии).
MES1124MB#test cable-diagnostics tdr int fa0/2
....
Port Pair Result Length [m] Date
--------- ---- ------------------- ---------- --------------------------
fa1/0/2 1-2 Open 1 11-Feb-2017 11:44:49
3-6 Open 1
MES1124MB#
Да. Для этого необходимо воспользоваться командой:
show fiber-ports optical-transceiver
Для этого используется команда вида:
copy tftp://<ip address>/File Name unit://*/image ,
где
<ip address> – IP-адрес TFTP сервера, с которого будет производиться загрузка файла системного ПО;
File Name – имя файла системного ПО
Да, возможно.
Для этого необходимо воспользоваться командой:
show fiber-ports optical-transceiver interface {fastethernet fa_port| gigabitethernet gi_port | tengigabitethernet te_port} detailed
Пример
console#show fiber-ports optical-transceiver interface GigabitEthernet0/2 detailed
Port Temp Voltage Current Output Input LOS Transceiver
[C] [V] [mA] Power Power Type
[mW / dBm] [mW / dBm]
----------- ------ ------- ------- ------------- ------------- --- -------------
gi1/0/2 39 3.31 6.10 0.24 / -6.09 0.38 / -4.16 N/S Fiber
Temp - Internally measured transceiver temperature
Voltage - Internally measured supply voltage
Current - Measured TX bias current
Output Power - Measured TX output power in milliWatts
Input Power - Measured RX received power in milliWatts
LOS - Loss of signal
N/A - Not Available, N/S - Not Supported, W - Warning, E - Error
Transceiver information:
Vendor name: OEM
Serial number: BL2A3859
Connector type: LC
Type: SFP/SFP+
Compliance code: 1000BASE-LX
Laser wavelength: 1310 nm
Transfer distance: 20000 m
Diagnostic: supported
Примечание: на коммутаторах 23хх, 33хх и т.д. с версией 4.0.х команда имеет вид
show fiber-ports optical-transceiver interface {gigabitethernet gi_port | tengigabitethernet te_port}
Коммутаторы MES поддерживают SFP-трансиверы, которые соответствуют стандартам INF-8074_2000 и SFF-8472-2010 (для модулей поддерживающих DDM).
Для SFP+ стандарт SFF-8431.
К конкретным производителям привязки нет.
Системные журналы позволяют вести историю событий, произошедших на устройстве, а также контролировать произошедшие события в реальном времени. В журнал заносятся события семи типов: чрезвычайные, сигналы тревоги, критические и не критические ошибки, предупреждения, уведомления, информационные и отладочные.
console(config)#logging host {ip_address |host} [port port] [severity level] [facility facility] [description text]
Пример: logging host 192.168.1.1 severity debugging
Команда включает передачу аварийных и отладочных сообщений на
удаленный SYSLOG сервер 192.168.1.1.
- ip_address– IPv4 или IPv6-адрес SYSLOG-сервера;
- host – сетевое имя SYSLOG-сервера;
- port – номер порта для передачи сообщений по протоколу
SYSLOG;
- level – уровень важности сообщений, передаваемых на
SYSLOG-сервер;
- facility – услуга, передаваемая в сообщениях;
- text – описание SYSLOG-сервера.
Примечание: можно настроить несколько Syslog-серверов.
Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству, при этом поддерживая совместимость с RADIUS и другими процессами проверки подлинности.
Конфигурацию будем выполнять на базе коммутатора MES2324.
1. Для начала необходимо указать ip-адрес tacacs-сервера и указать key:
MES2324B(config)#tacacs-server host 192.168.10.5 key secret
2. Далее установить способ аутентификации для входа в систему по протоколу tacacs+:
MES2324B(config)#aaa authentication login authorization default tacacs local
Примечение: На коммутаторах серии 23xx, 33xx, 53xx используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 4.0.6 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке. На коммутаторах серии 1000, 2000, 3000 уже имеется этот функционал.
3. Установить способ аутентификации при повышении уровня привилегий:
MES2324B(config)#aaa authentication enable authorization default tacacs enable
Чтобы не потерять доступ до коммутатора (в случае недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
4. Создать учетную запись:
MES2324B(config)#username tester password eltex privilege 15
5. Задать пароль на доступ в привилегированный режим:
MES2324B(config)#enable password eltex
6. Разрешить ведение учета (аккаунта) для сессий управления.
MES2324B(config)#aaa accounting login start-stop group tacacs+
7. Включить ведение учета введенных в CLI команд по протоколу tacacs+.
MES2324B(config)#aaa accounting commands stop-only group tacacs+
Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).
Устройство поддерживает два режима работы группы портов (port-channel) – статическая группа и группа, управляемая по протоколу LACP.
Рассмотрим настройку статических групп.
Необходимо выполнить следующее:
1) Перейти в режим конфигурирования порта:
MES2324B(config)#interface GigabitEthernet0/2
2) Настроить статическую группу:
MES2324B(config-if)#channel-group 1 mode on , где
1- Номер группы
On – добавить порт в статическую группу
Примечание: В port-channel можно добавлять порты только одного типа.
Рассмотрим настройку LACP-групп.
Необходимо выполнить следующее:
1) Перейти в режим конфигурирования порта:
MES2324B(config)#interface GigabitEthernet0/2
2) Настроить LACP-группу:
MES2324B(config-if)#channel-group 1 mode auto , где
1- Номер группы
auto – добавить порт в LACP группу в режиме active.
Примечание: В зависимости от типа портов в группе (fastethernet/gigabitethernet/tengigabitethernet) рекомендуется предварительно настроить на соответствующем port-channel скорость. Т.е если в port-channel 1 будут порты tengigabitethernet, следовательно выполнить такую настройку на port-channel 1:
MES2324B(config-if)#interface Port-Channel 1
MES2324B(config-if)#speed 10000
Коммутаторы MES23хх/33хх/5324 можно объединять в стек до 8 устройств. В режиме стекирования MES5324 использует XLG порты для синхронизации, остальные коммутаторы семейства, кроме MES2308(P), XG порты. MES2308 и MES2308P используют
оптические 1G-порты. При этом для стекирования устройств должны использоваться для MES5324 - QSFP(40G), для MES23хх и MES33хх SFP+(10G), для MES2308(P) - SFP(1G).
При этом указанные порты не участвуют в передаче данных. Возможны две топологии синхронизирующихся устройств – кольцевая и линейная. Рекомендуется использовать кольцевую топологию для повышения отказоустойчивости стека.
Коммутаторы по умолчанию уже работают в режиме стека с UNIT ID 1
Настройка
console(config)#stack configuration links {fo1-4| te1-4 | gi9-12}
console(config)#stack configuration unit-id {1-8}
Конфигурация применится после сохранения настроек и перезагрузки
Для настройки максимального количества MACадресов, которое может изучить порт, необходимо перейти в режим конфигурирования интерфейса и выполнить следующие настройки:
Установить режим ограничения изучения максимального количества MACадресов:
console(config-if)# port security mode max-addresses
Задать максимальное количество адресов, которое может изучить порт, например, 1:
console(config-if)# port security max 1
Включить функцию защиты на интерфейсе:
console(config-if)# port security
Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Таким образом, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.
Поскольку функция контроля защиты IP-адреса использует таблицы соответствий DHCP snooping, имеет смысл использовать данную функцию, предварительно настроив и включив DHCP snooping.
Пример настройки
Включить функцию защиты IP-адреса для фильтрации трафика на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Интерфейс в 1-й группе VLAN:
console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan 1
console(config)# ip source-guard
Создать статическую запись в таблице соответствия для интерфейса, например, для gigabitethernet /0/1: IP-адрес клиента – 192.168.1.210, его MAC-адрес – 00:60:70:4A:AB:AF:
console(config)# ip source-guard binding 00:60:70:4A:AB:AF 1 192.168.1.210 gigabitethernet 1/0/1
Включить функцию защиты IP-адреса для интерфейса gigabitethernet /0/1:
console(config-if)# ip source-guard
Да, возможно. Для этого необходимо воспользоваться функцией multicast snooping profile.
Например, на порту gigabitethernet 1/0/1 разрешено просматривать только MC группу с адресом 233.99.61.1:
создать MC профиль:
multicast snooping profile IPTV
match ip 233.99.61.1
exit
привязать MC профиль к порту:
interface gigabitethernet 1/0/1
multicast snooping profile add IPTV
exit
Да, возможно. Пример настройки ограничения на порту gigabitethernet1/0/1 количества подписок до 2:
interface gigabitethernet 1/0/1
multicast snooping max-groups 2
exit
Для режима trunk:
console(config-if)#switchport trunk allowed vlan remove all
Для режима general:
console(config-if)#switchport general allowed vlan remove all
Настройка multicast-tv VLAN
Функция «Multicast-TV VLAN» дает возможность использовать для передачи многоадресного трафика одну VLAN в сети оператора и доставлять этот трафик пользователям даже в том случае, если они не являются членами этой VLAN. За счет функции «Multicast-TV VLAN» может быть сокращена нагрузка на сеть оператора за счет отсутствия дублирования многоадресных данных, например, при предоставлении услуги IPTV.
Схема применения функции предполагает, что порты пользователей работают в режиме «access»или «customer» и принадлежат к любой VLAN за исключением multicast-tv VLAN. Пользователи имеют возможность только получать многоадресный трафик из multicast-tv VLAN и не могут передавать данные в этой VLAN. Кроме того, в коммутаторе должен быть настроен порт-источник multicast-трафика, который должен быть участником multicast-tv VLAN.
Пример конфигурирования
Включить фильтрацию многоадресных данных
console(config)# bridge multicast filtering
Настроить VLAN пользователей (VID100-124), multicast-tvVLAN(VID1000), VLAN управления (VID1200)
console(config)# vlan database
console(config-vlan)# vlan 100-124,1000,1200
console(config-vlan)# exit
Настроить порты пользователей
console(config)# interface range fa1/0/1-24
console(config-if)# switchport mode access
console(config-if)# switchport access vlan 100
console(config-if)# switchport access multicast-tv vlan 1000
console(config-if)# bridge multicast unregistered filtering
console(config-if)#exit
Настроить uplink-порт, разрешив передачу многоадресного трафика, трафика пользователей и управление
console(config)# interface gi1/0/1
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 100-124,1000,1200
console(config-if)#exit
Настроить igmpsnooping глобально и на интерфейсах, добавить привязку групп
console(config)# ip igmp snooping
console(config)# ip igmp snooping vlan 1000
console(config)# ip igmp snooping vlan 100
console(config)# ip igmp snooping vlan 101
console(config)# ip igmp snooping vlan 102
…
console(config)# ip igmp snooping vlan 124
Настроить интерфейс управления
console(config)# interface vlan 1200
console(config-if)# ip address 192.168.33.100 255.255.255.0
console(config-if)# exit
Да, возможно. Для этого необходимо в режиме глобального конфигурирования воспользоваться командой rate-limit
rate-limit vlan_id rate burst,
где
vlan_id – номерVLAN;
rate – средняя скорость трафика (CIR), кбит/с;
burst – размер сдерживающего порога (ограничение скорости) в байтах.
Необходимо в режиме настройки Ethernet интерфейса выполнить команду:
switchport default-vlan tagged
Необходимо в режиме настройки Ethernet интерфейса выполнить команду:
switchport forbidden default-vlan
DHCP-relay внутри одного vlan
При наличие необходимости отправить DHCP-request на сервер юникастом, используя только один vlan, необходимо выполнить настройки
IP адрес сервера 192.168.1.10, ip адрес коммутатора 10.1.1.238
ip dhcp relay address 192.168.1.10
ip dhcp relay enable
ip dhcp relay information option suboption-type custom
ip dhcp relay information policy replace
!
interface vlan 1
ip address 10.1.1.238 255.255.255.0
no ip address dhcp
ip dhcp relay enable
exit
!
ip default-gateway 10.1.1.
Для настройки порта в режиме access/trunk перейдите в режим конфигурирования интересующего интерфейса и введите комманды:
В режиме Access:
console(config)# interface fastethernet 0/1
console(config)# switchport mode access
console(config)# switchport access vlan 10
В режиме Trunk:
console(config)# switchport mode trunk
console(config)# switchport trunk allowed vlan add all для пропуска всех VLAN’ов либо
console(config)# switchport trunk allowed vlan add 10,20,30 для определенного диапазона
При наличие необходимости отправить DHCP-request на сервер юникастом, используя только один vlan, необходимо выполнить настройки
IP адрес сервера 192.168.1.10, ip адрес коммутатора 10.1.1.238
ip dhcp relay address 192.168.1.10
ip dhcp relay enable
ip dhcp relay information option suboption-type custom
ip dhcp relay information policy replace
!
interface vlan 1
ip address 10.1.1.238 255.255.255.0
no ip address dhcp
ip dhcp relay enable
exit
!
ip default-gateway 10.1.1.1
Коммутаторы поддерживают функции DHCP Relay агента. Задачей DHCP Relay агента является передача DHCP-пакетов от клиента к серверу и обратно в случае, если DHCP-сервер находится в одной сети, а клиент в другой. Другой функцией является добавление дополнительных опций в DHCP-запросы клиента (например, опции 82).
Принцип работы DHCP Relay агента на коммутаторе: коммутатор принимает от клиента DHCP- запросы, передает эти запросы серверу от имени клиента (оставляя в запросе опции с требуемыми клиентом параметрами и, в зависимости от конфигурации, добавляя свои опции). Получив ответ от сервера, коммутатор передает его клиенту.
Пример настройки:
1) Включить глобально dhcp relay:
ip dhcp relay enable
2) Задать ip-адрес доступного dhcp-сервера (192.168.10.5):
ip dhcp relay address 192.168.10.5
3) Включить dhcp-опции:
ip dhcp relay information option suboption-type custom
либо
ip dhcp relay information option suboption-type tr101
4) Включить dhcp relay в клиентском vlan:
interface vlan 1
ip dhcp relay enable
5) В vlan'е где находится dhcp-сервера настроить ip-адрес:
interface vlan 10
ip address 192.168.10.90
Пример настройки для VLAN 101
Включить DHCPсервер и настроить пул выдаваемых адресов:
ip dhcp server
ip dhcp pool network Test
address low 192.168.101.10 high 192.168.101.254 255.255.255.0
default-router 192.168.101.2
dns-server 10.10.10.10
exit
Задать для интерфейса VLAN101 IPадрес и сетевую маску (это будет адрес DHCPсервера) :
interface vlan 101
ip address 192.168.101.1 255.255.255.0
exit
Назначить VLAN101 на Ethernet порт, к которому подключен пользователь (например, gi1/0/1):
interface gigabitethernet 1/0/1
switchport access vlan 101
exit
Необходимо подключить коммутатор к компьютеру при помощи кабеля RS-232 (через порт «Console»).
Используя терминальную программу (например, HyperTerminal) создайте подключение, произведя следующие настройки:
выберете соответствующий последовательный порт.
установите скорость передачи данных – 115200 бит/с.
задайте формат данных: 8 бит данных, 1 стоповый бит, без контроля четности.
отключите аппаратное и программное управление потоком данных.
Перезагрузите коммутатор и войдите в меню Startup, прервав загрузку нажатием клавиши <Esc> или <Enter> в течение первых двух секунд после появления сообщения автозагрузки:
Autoboot in 2 seconds - press RETURN or Esc. to abort and enter prom.
В появившемся меню выберете пункт«Password Recovery Procedure», нажав клавишу<3>.
Далее необходимо вернуться в меню Startup, нажав клавишу <Enter>, и продолжить загрузку коммутатора, нажав клавишу <Esc>.
При подключении имя пользователя и пароль будут проигнорированы.
Просмотр информации в выводе команд show
При просмотре информации командой show можно использовать несколько способов:
Для вывода информации полностью используем клавишу «а»
Для вывода информации постранично используем «space»
Для вывода информации построчно «enter»
При использовании команды
console# terminal datadump
вывод информации командой show будет происходить полностью, не постранично
Да, такая возможность есть.
Для этого необходимо воспользоваться командой
console#show system defaults
Коммутаторы MES позволяют резервировать конфигурацию на TFTP-сервере по таймеру или при сохранении текущей конфигурации.
Настройка:
1) Включаем автоматическое резервирование конфигурации на сервере
console(config)#backup auto
2) Указываем сервер, на который будет производиться резервирование конфигурации.
console(config)#backup server tftp://10.10.10.1
3) Указываем путь расположения файла на сервере
console(config)#backup path backup.conf
Примечание: При сохранении к префиксу будет добавляться текущая дата и время в формате ггггммддччммсс.
4) Включаем сохранение истории резервных копий
console(config)#backup history enable
5) Указываем промежуток времени, по истечении которого будет осуществляться автоматическое резервирование конфигурации, в минутах.
console(config)#backup time-period 500
6) Включаем резервирование конфигурации при сохранении пользователем конфигурации
console(config)#backup write-memory
Команды show backup и show backup history позволяют посмотреть информацию о настройках резервирования конфигурации и об удачных попытках резервирования на сервере.
Сброс конфигурации к заводским настройкам возможно осуществить через CLI, выполнив команду
delete startup-config
и перезагрузив коммутатор,
а также при помощи кнопки "F" на лицевой панели.
Для этого необходимо нажать и удерживать кнопку "F" не менее 15 секунд.
Коммутатор автоматически перезагрузится и начнет работу с заводскими настройками.
Для загрузки файла системного ПО необходимо в командной строке CLI ввести следующую команду:
boot system tftp:// <ip address>/File Name,
где
<ip address> – IP-адрес TFTP сервера, с которого будет производиться загрузка файла системного ПО;
File Name – имя файла системного ПО;
и нажать Enter. В окне терминальной программы должно появиться следующее:
COPY-I-FILECPY: Files Copy - source URL tftp:// <ip address>
Если загрузка файла прошла успешно, то появятся сообщения вида:
29-Feb-2016 12:50:14 %COPY-N-TRAP: The copy operation was completed successfully
По умолчанию файл системного ПО загружается в неактивную область памяти и будет активным после перезагрузки коммутатора.
После выбора необходимо произвести перезагрузку коммутатора командой reload.
Загрузка/выгрузка конфигурации
Для того, чтобы произвести загрузку/выгрузку файла конфигурации с использованием CLI необходимо подключиться к коммутатору при помощи терминальной программы (например HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.
Для загрузки файла первоначальной конфигурации с TFTP сервера необходимо в командной строке CLI ввести команду:
copy tftp:// xxx.xxx.xxx.xxx/File Name startup-config,
где
xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, с которого будет производиться загрузка конфигурационного файла;
File Name – имя конфигурационного файла;
и нажать Enter. В окне терминальной программы должно появиться следующее сообщение:
Overwrite file [startup-config] ?[Yes/press any key for no]....
Для записи конфигурационного файла необходимо нажать клавишу y. Если загрузка файла прошла успешно, то появится сообщение вида:
COPY-N-TRAP: The copy operation was completed successfully
Для выгрузки файла первоначальной конфигурации на TFTP сервер необходимо в командной строке CLI ввести следующую команду:
copy startup-config tftp:// xxx.xxx.xxx.xxx/File Name,
где
xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, на который будет производиться выгрузка конфигурационного файла;
File Name – имя конфигурационного файла;
и нажать Enter. Если выгрузка файла прошла успешно, то появится сообщение вида:
COPY-N-TRAP: The copy operation was completed successfully
Сброс настроек интерфейса на значения по умолчанию выполняется следующей командой:
console(config)#default interface {fastethernet fa_port | gigabitethernet gi_port | port-channel group | vlan vlan_id | tunnel tunnel_id | range {…}}
ACS - Auto Configuration Server - сервер автоматического конфигурирования абонентских устройств по протоколу TR-069.
Внутренний ACS сервер встроен в оборудование LTP-4X/LTP-8X и служит для конфигурирования абонентских устройств, подключенных к данным OLT.
Внешний ACS сервер устанавливается на отдельный сервер и служит для конфигурирования абонентских устройств, поддерживающих протокол TR-069.
Необходимо подключиться к WEB-интерфейсу ONT по IP-адресу 192.168.1.1, логин/пароль - user/user.
Перейти во вкладку «Device Info/DHCP». Из таблицы Вы сможете узнать IP-адреса, которые получили клиенты локальной сети и срок аренды.
В данном разделе производится конфигурирование расписания работы компьютеров с использованием дней недели и часов, по которым определенному компьютеру в локальной сети будет запрещен доступ в Интернет. Запрет можно осуществить двумя способами:
Существует два способа сброса абонентских терминалов NTP-X / NTU-X к заводским настройкам.
1. Подключиться к WEB конфигуратору абонентского терминала. IP-адрес устройства 192.168.1.1, логин/пароль - user/user.
Во вкладке «Management/Settings/Restore Default» нажать кнопку «Restore Default Settings» и подтвердить нажав «OK». Последует перезагрузка устройства и сброс конфигурации к заводским параметрам.
2. Удерживать системную клавишу "F" в течение 7-10 секунд. При этом индикатор «Power» загорится красным цветом, индикатор «PON» погаснет. Последует перезагрузка устройства и сброс конфигурации к заводским параметрам.
Доступ к услуге осуществляется через меню настроек абонентского порта на странице «VoIP/SIPAdvanced Setting» путем установки флага «Call barring» и задания необходимых параметров в полях «Call barring mode» и «Call barring digit map».
Возможно 3 варианта ограничения вызовов в зависимости от параметра, указанного в поле «Call barring mode»:
Использование услуги:
Значение «Call barring digit map» - 1150. Для ограничения всех исходящих вызовов в поле «Call barring mode» необходимо выбрать значение "Deny all".
Для того чтобы разрешить все исходящие вызовы, требуется выбрать "Allow all". Для запрета исходящих звонков на номер 1150 необходимо задать "Deny by digit map" в поле «Call barring mode».
Для того, чтобы в открытой сети (без пароля) ограничить доступ чужих лиц в вашу сеть, можно использовать функцию "Mac Filter". Фильтрация на основе MAC-адресов позволяет блокировать или разрешать доступ к сети Wi-Fi с учетом MAC-адреса Wi-Fi адаптера пользователя.
Для текущего SSID можно выбрать три режима работы фильтрации:
Изменение режима работы фильтра доступно только при включенном Wi-Fi. Для настройки необходимо:
Терминалы NTP-RG1402G-W/NTP-RG1402G-W:rev B/NTP-RG1402G-W:rev C поддерживают одну основную и 3 гостевых Wi-fi сети. Для того чтобы активировать гостевую сеть необходимо:
Дополнительно можно настроить:
Если Ваш провайдер предоставляет просмотр IPTV на PC через LAN порт терминала ONT, то для просмотра на устройствах подключаемых через Wi-Fi необходимо включить опцию "Enable Wireless Multicast Forwarding (WMF)" в настройках Wi-Fi.
Необходимо:
Настройку необходимо производить через WEB браузер (например Internet Explorer, Opera или Mozilla Firefox).
После этого Ваша сеть станет скрытой.
Максимальное количество Wi-Fi клиентов, которые могут подключиться к Вашему терминалу - 16.
Для того, чтобы ограничить количество клиентов необходимо подключиться к терминалу через Web браузер (IP-адрес 192.168.1.1 логин/пароль - user/user), перейти в меню "Wireless - Basic" и выставить значение опции "Max Client" от 1 до 16.
Необходимо подключиться к WEB-интерфейсу NTP-RG по IP-адресу 192.168.1.1, логин/пароль - user/user. Перейти во вкладку «Wireless/Basic», установить флаг в поле «Enable Wireless» и указать название сети в поле «SSID». Нажать кнопку «Apply».
Во вкладке «Security» в поле «Network Authentication» из перечня в выпадающем списке требуется выбрать режим аутентификации для беспроводной сети. Нажать кнопку «Apply».
open – открытый – защита беспроводной сети отсутствует (в этом режиме может использоваться только WEP-ключ);
Shared – общий (режим позволяет пользователям получать аутентификацию по их SSID или WEP-ключу);
802.1x– включает стандарт 802.1x(позволяет пользователям аутентифицироваться с использованием сервера аутентификации RADIUS, для шифрования данных используется WEP-ключ);
WPA – включает стандарт WPA (режим использует протокол WPA и требует использования сервера аутентификации RADIUS).
WPA-PSK – включает стандарт WPA-PSK (режим использует протокол WPA, но не требует использования сервера аутентификации RADIUS).
WPA2 – включает WPA2 (режим использует протокол WPA2 и требует использования сервера аутентификации RADIUS).
WPA2-PSK – включает WPA2-PSK (режим использует протокол WPA2, но не требует использования сервера аутентификации RADIUS).
Mixed WPA2/WPA – включает комбинацию WPA2/WPA (данный режим шифрования использует протоколы WPA2 и WPA, требует использования сервера аутентификации RADIUS).
Mixed WPA2/WPA-PSK – включает комбинацию WPA2/WPA PSK (этот режим шифрования использует протоколы WPA2-PSK и WPA-PSK, не требует использования сервера аутентификации RADIUS).
Например, если выбираем шифрование WPA2-PSK, то в поле «WPA/WAPI passphrase» необходимо указать ключ доступа по к Wi-Fi. При изменении ключа безопастности необходимо учитывать, что он должен содержать не менее 10 символов, латинские буквы в нижнем и верхнем регистрах, не менее одной цифры.
Следует убедиться, что беспроводный адаптер компьютера поддерживает выбранный тип шифрования.
Настройка завершена. Проверить подключение клиента к точке доступа NTP-RG.
Настройку необходимо производить через WEB браузер (например Internet Explorer, Opera или Mozilla Firefox). Необходимо подключиться к WEB - интерфейсу NTP по IP-адресу 192.168.1.1 логин/пароль - user/user.
Перейдите во вкладку Advanced Setup / NAT / Virtual Servers и нажмите кнопку ADD для добавления правила.
Select a Service - возможно выбрать из предлагаемого списка нужный сервис.
В случае, если в списке Select a Service нет требуемой программы, необходимо установить флаг Custom Service и прописать произвольное имя правила.
Server IP Address - укажите IP-адрес локальной машины (телефон, компьютер, камера), на которую необходимо пробросить порты.
External Port Start, External Port End - укажите порт или диапазон портов, по которым будет приходить запросы из внешней сети.
Internal Port Start, Internal Port End - укажите порт или диапазон портов, по который роутеру следует пробрасывать трафик во внутреннюю подсеть
Protocol - укажите протокол, по которому роутер будет пробрасывать трафик во внутренню подсеть (TCP, UDP, TCP/UDP).
Для сохранения/применения конфигурации нажмите кнопку "Apply/Save".
Настройка завершена.
Перед тем как проверить проброшены ли порты, убедитесь, что брандмауэры и антивирусы не блокируют проверяемые программы.
Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль - admin/password. Перейти во вкладку «Voice / Sip Advanced Setting», для своего аккаунта в поле Call waiting установить флаг. Нажать кнопку «Apply/Save».
Услуга «Анти-АОН» позволяет абоненту запретить или разрешить определение своего телефонного номера при исходящих звонках на любые телефонные номера.
Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль - admin/password.
Перейти во вкладку «Voice / Sip Advanced Setting», для своего аккаунта поставить галочку напротив Anonymous calling. Нажать кнопку «Apply/Save»Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль - admin/password. Перейти во вкладку «Voice / Sip Advanced Setting», для своего аккаунта указать вид переадресации и задать номер для перенаправления вызова. Нажать кнопку «Apply/Save».
Виды переадресации:
Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль - user/user. Перейти во вкладку «Advanced Setup/Parental control/URL Filter». Нажать кнопку «Add» для добавления новой записи.
В открывшемся окне необходимо указать порт и сайт, к которому будет закрыт доступ.
Если возникает необходимость выдачи опеределенного IP-адреса конкретному устройству (например, для проброса портов или настройки учетной записи на Smart TV), то в настройка NTP-RG1402G-W / NTP-RG1402G-WrevB / NTP-RG1402G-WrevC / NTP-2 / NTU-RG1402G-W / NTU-2W необходимо сделать следующее:
Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль - user/user. Перейти во вкладку «Advanced Setup/Parental control/Time Restriction». Нажать кнопку «Add» для добавления новой записи.
В открывшемся окне необходимо задать MAC-адрес сетевой карты компьютера, к которому будут применены ограничения, указать дни недели и время, когда будет ограничен доступ в интернет.
Всего можно добавить не более 16 записей.
Внимание!
Чтобы данные настройки работали корректно, необходимо перейти во вкладку «Management/Internet Time» и установить автоматическую синхронизацию по времени с сервером, указать часовой пояс вашего региона. Нажать кнопку «Apply/Save».
Необходимо подключиться к WEB-интерфейсу NTP-RG по IP-адресу 192.168.1.1, логин/пароль - admin/password.
Туннель поднимается на интерфейсе epon0.1/ppp0.1, поэтому перед началом настройки следует поднять этот интерфейс (получить адрес/поднять pppoe сессию). Затем необходимо перейти в меню «VPN/L2TP Client» и нажать кнопку «Add».
В открывшемся окне указать имя L2TP тоннеля и адрес L2TP сервера, нажать кнопку «Next».
Затем необходимо указать логин/пароль для соединения и включить NAT, нажать кнопку «Next».
Для завершения настройки необходимо нажать кнопку «Apply/Save».
В меню «Routing/Default Gateway» необходимо выставить интерфейс ppp1 (интерфейс L2TP соединения) в качестве маршрута по умолчанию.
Для наилучшего покрытия беспроводной сетью помещения рекомендуется располагать терминал в равном удалении от всех концов помещения. Очень важно не располагать терминал на близком расстоянии от источников отражения (не менее 5-10 см). Не рекомендуется располагать терминал в углах, в шкафах или других закрытых точках, которые представляют для распространения радиосигнала препятствия и помехи. Очень важно не располагать терминал за зеркальными поверхностями, так как зеркальная дверь в шкафу или зеркало расположенное на стене перед терминалом - существенно ухудшает распространение сигнала и нарушает стабильность работы беспроводной сети.
Не рекомендуется располагать терминал вблизи бытовых приборов, таких как микроволновые печи, телефоны, работающие в диапазоне 2,4–5 ГГц, передатчики видеосигнала, беспроводные динамики, работающие на частоте 2,4 или 5 ГГц, любые другие беспроводные устройства, работающие на частоте 2,4 ГГц или 5 ГГц (камеры, видеоняни, соседские беспроводные устройства и прочее).
В оптических абонентских устройствах ONT канал по умолчанию выбирается автоматически, на основе периодического анализа радиоэфира. Но вы можете вручную установить номер канала, в котором будет работать точка доступа. Абонентские устройства работающие на частоте 2.4Ггц имеют поддержку 13 каналов. Обращаем ваше внимание, что но не все клиентские устройства поддерживают работу на 12 и 13 каналах, поэтому если на точке доступа выбран для работы 12 или 13 беспроводной канал, то такие устройства не увидят точку доступа.
LTP-X# acs
(acs)ont
(acs-ont)show list all
## |
Serial |
Profile |
Hardware name |
Firmware |
Last contact |
1: |
ELTX1A2B3C4D |
ntu-rg1402w |
? |
[hwid = 0] |
1901-12-14 04:45:52 |
2: |
454C54581A2B3C4D |
0: Default |
NTU-RG-1402G-W |
3.25.5.75 |
2000-01-16 21:07:39 |
И вот тут непонятно, почему две ont?
Далее, при попытке сделать сброс к дефолту или реконфигруацию выводит сообщение:
LTP-4X(acs-ont-sn='ELTX1A2B3C4D')# reconfigure
ERROR: Cann't send command: ONT url not defined!
Дело в том, что acs не находит онт с серийным номером ELTX1A2B3C4D, т.к. формат должен быть числовой: 454C54581A2B3C4D, не зависимо от настроек LTP-4(config)# cli ont-sn-format.
Если онт онлайн, то ее не надо добавлять командой (acs-ont)add ont ххххххх, она сама появится в списке со своим серийным номером.
Итак, две онт с одинаковым с/н из-за того, что одна была добавлена пользователем с нечитаемым для acs-сервера форматом с/н, а вторая появилась автоматически, т.к. отсутствовала в списке.
Для перезагрузки ONT со станции необходимо выполнить команду
LTP-4X# send omci reset interface ont x/y
Для сброса к заводским настройкам
LTP-4X# send omci restore interface ont x/y
Где
x - номер канала 0..3,
y - ont ID 0..127
Примеры
LTP-4X# send omci reset interface ont 0 // Перезагрузить все ONT на канале 0
LTP-4X# send omci reset interface ont 0/1-10 // Перезагрузить все ONT 0-10 на канале 0
LTP-4X# send omci reset interface ont 1,2/4,10 // Перезагрузить все ONT 4 и 10 на каналах 1 и 2
Для загрузки текста профиля в графическом интерфейсе ACS.GUI внешнего ACS сервера необходимо, исключить из текста комнды set property и оставить только параметры конфигурирования, наример:
В дефолтной конфигурации на данном типе ONT установлен gpon password со значением "default", поэтому при добавлении ONT в конфигурацию OLT необходимо указать данный пароль.
LTP-4X(config)# interface ont 0/0
LTP-4X(config)(if-ont-0/0)# password default
Статус CFGFAILED означает что произошел сбой в процессе конфигурирования ONT. Причина этого сбоя - ошибки в конфигурации ONT на OLT.
Ниже приведены наиболее частые ошибки, которые приводят к сбою конфигурации ONT:
1) На сервис назначен профиль cross-connect, но не назначен профиль DBA;
2) В конфигурации ONT присутствуют 2 профиля cross-connect с типом management.
Настройку сетевых параметров терминала рекомендуется выполнять при подключении через COM-порт. Такой подход позволит избежать проблем с удаленным доступом к настраиваемому терминалу. При удаленной настройке будьте предельно внимательны.
Сначала необходимо прописать VLAN в конфигурации switch (коммутатора) LTP-8X. Для этого перейти из корневого меню в меню коммутатора командой <switch>
Перейти к конфигурированию коммутатора командой <configure>
Перейти к конфигурированию VLAN по его идентификатору <vlan [1..4094]>
Добавить во VLAN front-port, через который осуществляется управление:
Ввести команду для применения изменений в конфигурации коммутатора, предварительно поднявшись выше уровнем командой <exit>:
Далее необходимо перейти из корневого меню в раздел конфигурирования терминала и задать необходимые параметры:
По завершению конфигурирования обязательно ввести команды для применения и сохранения конфигурации устройства:
Изменения вступят в силу после применения конфигурации (команда commit).
LTP-8X(config)# do show management //просмотр сетевых параметров
Заводской IP-адрес устройства 192.168.1.2/24.
Для просмотра текущего IP-адрес введите:
Изменение IP-адреса и других сетевых параметров:
Ввести команды для применения и сохранения изменений в конфигурации устройства:
Изменения вступят в силу после применения конфигурации (команда commit).
Загрузка/выгрузка файлов конфигурации на/с устройства производится по протоколу TFTP.
Загрузка конфигурации
Для того чтобы загрузить файл конфигурации в терминал, необходимо запустить TFTP‑сервер. В директорию сервера (.../tftpboot) положить новый файл конфигурации LTP‑8X, и ввести команду:
где file.config — загружаемый файл конфигурации.
192.168.18.1 - host TFTP-сервера.
Выгрузка конфигурации
Необходимо запустить TFTP-сервер. Ввести команду:
где
backup.config — выгружаемый файл конфигурации, имя файла может быть любым.
192.168.18.1 - host TFTP-сервера.
Так же поддерживается автоматизация процесса создания резервных копий конфигурации:
задание адрес tftp-сервера, куда будет сохраняться файл конфигурации:
выгрузка конфигурации после каждого сохранения конфигурации:
выгрузка конфигурации по таймеру:
просмотр конфигурации автосохранения:
Ввести команды для применения и сохранения изменений в конфигурации устройства:
На LTP-8X конструкцией не предусмотрено наличие батарейки, поэтому при перезагрузке устройства (прерывании питания) происходит сброс времени.
Чтобы не настраивать время на устройстве вручную можно произвести настройку протокола синхронизации времени с сервером. Для этого необходимо произвести следующие настройки:
При возникновении проблем с сервисом IP-TV (артефакты, замирания, черный экран и прочее) нужно проверить будут ли наблюдаться подобные искажения с front-port'a OLT (таким образом будет исключены PON-чип и ONT из схемы).
Пример настройки для MA4000
1. Зайти в linux на Ма4000.
Далее выполнить telnet 10.255.255.x, где X это номер платы PLC-8+2, например если нужно подключиться к плате в слоту 11: telnet 10.255.255.13
Заходим в режим конфигурирования switch платы PLC-8.
PLC8-Slot11@ma4000> switch
PLC8-Slot11@ma4000(switch)# configure
PLC8-Slot11@ma4000(switch)(config)#
Настраиваем мультикаст VLAN, как показано в примере (например VLAN 30).
PLC8-Slot11@ma4000(switch)(config)# vlan 30
PLC8-Slot11@ma4000(switch)(config-vlan)# untagged front-port 0
PLC8-Slot11@ma4000(switch)(config-vlan)# ip igmp snooping mrouter del front-port 0
Operation successfull
PLC8-Slot11@ma4000(switch)(config-vlan)# exit
Настраиваем bridging между front-port и slot-channel, дополнительно устанавливаем PVID 30 на front-port, чтобы из нетегированного трафика делать тегированный.
PLC8-Slot11@ma4000(switch)(config)# interface front-port 0
PLC8-Slot11@ma4000(switch)(config-if)# pvid 30
PLC8-Slot11@ma4000(switch)(config-if)# bridging to slot-channel 0
PLC8-Slot11@ma4000(switch)(config-if)# exit
PLC8-Slot11@ma4000(switch)(config)# interface slot-channel 0
PLC8-Slot11@ma4000(switch)(config-if)# bridging to front-port 0
PLC8-Slot11@ma4000(switch)(config-if)# exit
PLC8-Slot11@ma4000(switch)(config)# config commit
Подключаем ПК к front-port платы PLC-8, на плате он обозначен как MGMT. Запрашиваем мультикаст группу. Если проблем с изображением не будет, то вероятней всего проблема на ONT (возможно некорректная конфигурация и прочее). Если проблема с фронт-порта также будет фиксироваться, то стоит проверить будут ли наблюдаться артефакты и прочее с фронт-порта платы PP4X.
Пример настройки для LTP
Заходим в режим конфигурирования switch
LTP> switch
LTP(switch)# configure
LTP(switch)(config)#
Настраиваем мультикаст VLAN, как показано в примере (например VLAN 30, запрашивать будем с front-port 0).
LTP(switch)(config)# vlan 30
LTP(switch)(config-vlan)# untagged front-port 0
LTP(switch)(config-vlan)# ip igmp snooping mrouter del front-port 0
Operation successfull
LTP(switch)(config-vlan)# exit
Настраиваем bridging между front-port и slot-channel, дополнительно устанавливаем PVID 30 на front-port, чтобы из нетегированного трафика делать тегированный.
PLC8-Slot11@ma4000(switch)(config)# interface front-port 0
PLC8-Slot11@ma4000(switch)(config-if)# pvid 30
PLC8-Slot11@ma4000(switch)(config-if)# bridging to slot-channel 0
PLC8-Slot11@ma4000(switch)(config-if)# exit
PLC8-Slot11@ma4000(switch)(config)# interface slot-channel 0
PLC8-Slot11@ma4000(switch)(config-if)# bridging to front-port 0
PLC8-Slot11@ma4000(switch)(config-if)# exit
PLC8-Slot11@ma4000(switch)(config)# config commit
По умолчанию на OLT разрешена работа только ONT производства ООО «Предприятие «ЭЛТЕКС». Для обеспечения работы ONT сторонних вендоров необходимо наличие на OLT лицензии. Для получения лицензии обратитесь в коммерческий отдел компании «ЭЛТЕКС».
Существует 2 способа загрузки лицензии на LTP:
1) Через команду copy с помощью TFTP сервера:
LTP-8X# copy tftp://<IP>/<PATH> fs://license
Download file from TFTP-server..
License successfully installed. Please reboot device for changes to make effect
Где:
IP – IP-адрес TFTP-сервера;
PATH – путь к файлу лицензии на TFTP-сервере.
2) Через CLI:
LTP-8X# license set """<license>"""
License successfully installed. Please reboot device for changes to make effect
Где:
license – полное содержимое файла лицензии, включая фигурные скобки.
После загрузки лицензии любым из способов необходима перезагрузка LTP:
LTP-8X# reboot
Загрузка лицензии на MA4000 осуществляется аналогично двумя способами. После загрузки лицензии на МА4000 лицензия активируется сразу, перезагружать MA4000 не требуется.
Файл лицензии сохраняется при перезагрузке, обновлении ПО, загрузке конфигурации. При сбросе OLT к заводским настройкам лицензия также удалится.
Устройство NTU-1 это OMCI бридж, настроить его можно только по OMCI (у данного терминала нет TR клиента).
Ниже в примере показано как в CLI конфигурируется Bridging для двух портов - FrontPort 0 и FrontPort 7.
Внимание! bridging между front портами может работать только при использовании model 2 или 3 в конфигурации OLT.
Пример:
LTP-X# acs
(acs)ont
(acs-ont)show list all
## |
Serial |
Profile |
Hardware name |
Firmware |
Last contact |
1: |
ELTX1A2B3C4D |
ntu-rg1402w |
? |
[hwid = 0] |
1901-12-14 04:45:52 |
2: |
454C54581A2B3C4D |
0: Default |
NTU-RG-1402G-W |
3.25.5.75 |
2000-01-16 21:07:39 |
И вот тут непонятно, почему две ont?
Далее, при попытке сделать сброс к дефолту или реконфигурацию выводит сообщение:
LTP-4X(acs-ont-sn='ELTX1A2B3C4D')# reconfigure
ERROR: Cann't send command: ONT url not defined!
Дело в том, что acs не находит онт с серийным номером ELTX1A2B3C4D, т.к. формат должен быть числовой: 454C54581A2B3C4D, не зависимо от настроек LTP-4(config)# cli ont-sn-format.
Если онт онлайн, то ее не надо добавлять командой (acs-ont)add ont ххххххх, она сама появится в списке со своим серийным номером.
Итак, две онт с одинаковым с/н из-за того, что одна была добавлена пользователем с нечитаемым для acs-сервера форматом с/н, а вторая появилась автоматически, т.к. отсутствовала в списке.
Модель взаимодействия абонентской приставки и провайдера, включает в себя собственный магазин приложений, который содержит отобранные приложений, за которые, провайдер будет нести ответственность. Работа других приложений, установленных пользователем самостоятельно, не гарантирована.
Необходимо выполнить:
Если у Вас имеется заводская версия прошивки fw31x-rev(A или B)-eltex-x.y.z-b№.fwe, и обновление через Android заканчивается ошибкой: “Внимание, данная версия прошивки не поддерживается вашим устройством”, то нужно выполнить следующее:
NV-10x поддерживает работу плейлистов формата xspf и m3u. Предпочтительнее использовать формат xspf. Для данного фомата реализована поддержка дополнительных тегов, подробное описание в руководстве: http://eltex.nsk.ru/upload/iblock/556/rukovodstvo-po-sozdaniyu-pley_lista-iptv-nv_100_-nv_102.pdf
Также приставка поддерживает ТВ-программы в формате jtv.
Возможно, ваш телевизор не поддерживает некоторые режимы работы порта HDMI.
В данном случае рекомендуется в меню Настройки раздела Видео/Аудио:
Вероятнее всего, вы выставили режим работы HDMI, который не поддерживается вашим телевизором. Зажмите кнопку F на пульте от приставки и удерживайте до тех пор, пока на экране не появится список доступных режимов. Попробуйте выставить один из предложенных режимов, если изображение опять исчезло, повторите процедуру с кнопкой F, но в этот раз выберите следующий режим.
Для того чтобы определить, поддерживается ли wi-fiадаптер приставкой, необходимо знать его VID(Vendor ID) и PID(Product ID). Посмотреть эту информацию можно несколькими способами:
1. При наличии адаптера и ПК с ОС Windows:
· вы увидите примерно такую надпись USB\VID_0CF3\&PID_9271\12345. , в которой:
2. При отсутствии возможности посмотреть данную информацию на ПК:
Попробуйте найти VID/PIDпо модели адаптера на следующих сайтах:
После этого необходимо найти соответствующую пару значений в текстовом документе по ссылке http://download.eltex-media.ru/nv/nv100/archive/wifi_new.txt. Если соответствие найдено, то ваш адаптер поддерживается, если нет, то, к сожалению, данное устройство работать не будет. P.S. Необходимо искать информацию по полной маркировке адаптера, вплоть до ревизии. Если вы не нашли модель адаптера на указанных выше сайтах, то, скорее всего, ваш адаптер не поддерживается. Для более точной информации нужно воспользоваться способом 1.
Наиболее вероятная причина проблемы это то, что на данной модели Router(а) между медными портами и WiFi настроен Bridge. Таким образом многоадресная рассылка (multicast), при просмотре с приставки через медь, разлетается по всем портам, в частности и в беспроводной интерфейс - в связи с этим возникают проблемы, т.к. WiFi оказывается загружен посторонним трафиком.
В качестве решения данной проблемы предлагается включение функции udpxy на приставке. Функция будет работать при условии поддержки данного функционала на встречной стороне (Router).
Следуйте инструкции по восстановлению заводской прошивки, см Руководство по эксплуатации в Центре Загрузки (http://eltex.nsk.ru/support/downloads/).
Подключите WiFi-адаптер к порту USB приставки. Откройте Настройки раздел Сеть. В поле Типвыберите Беспроводной. Нажмите кнопку «Поиск WiFi сетей». Из списка выберите нужную точку доступа (Access Point). При необходимости введите ключ для подключения к Wi-Fi.
В случае если медиацентр NV-102 не загружается и восстановление до заводской прошивки по кнопке F не помогает, остается последний вариант самостоятельного восстановления - смена образа ПО.
По окончанию восстановления медицентр будет перезагружен. На нем будет установлена новая заводская прошивка. После этого можете обновиться на прошивку Вашего провайдера или любую другую из Центра Загрузки
Если у Вас при загрузке приставки после экранов "загрузка" и "Проверика обновлений" не появлется главное меню приставки, но при этом светодиод статуса устройтсва мигает зеленым и красным светом, то возможно в программном обеспечении медиацентра есть плагины от старых версий ПО, которые не совместимы с новыми.
В этом случае выполните действия:
В результате медиацентр не будет подгружать архив кастомизации провайдера config.tar.gz, в котором, чаще всего, и содержатся устарые плагины. Если у Вас вновь пропало изображение после пункта 3 - устаревший плагин уже вшит в прошивку. Обратитесь к провайдеру по этой проблеме.
В сервисе Youtube регулярно появляются правки и нововведения, вследствии которых мы можем гарантировать его стабильную работу только на актуальных версиях прошивок.
Если у Вас Youtube не работает, выполните следующие действия:
На примере оператора “Новотелеком”
Для установки плагина p2p вам необходимо:
1. Установить новую прошивку (на сайте в соответствующем разделе) и скачать плагин p2p (по ссылке в changelog’е одной из последних прошивок).
2. Подключиться к приставке по telnet, логин:root, пароль: мак адрес приставки (a8f94b…).
3. Ввести команду для перемонитрования раздела sdk на запись. mount -o remount,rw /sdkВнимание!!! В случае ошибочных действий вы можете испортить системную часть приставки, что может повлечь за собой порчу прошивки. В случае порчи восстановите прошивку до заводской и установите заново текущую согласно руководству по локальному обновлению программного обеспечения.
4. Вставить USB flash накопитель c плагином и файлами конфигурации (см. ниже) в USB порт приставки.
5. Скопировать все три файла в папку /sdk/qt/STBGUI_PLUGIN/p2ptv с помощью команд:
cp /mnt/stb/local/”your_flash_name”/libp2ptv.so /sdk/qt/STBGUI_PLUGIN/p2ptv/
cp /mnt/stb/local/”your_flash_name”/p2ptv_desc.txt /sdk/qt/STBGUI_PLUGIN/p2ptv/
cp /mnt/stb/local/”your_flash_name”/p2ptv.config /sdk/qt/STBGUI_PLUGIN/p2ptv/
Чтобы узнать “your_flash_name”, наберите команду mount, например:
eltex-nv102[~]# mount
/dev/sda1 on /mnt/stb/local/JetFlash-Transcend 4GB-part1 type vfat (rw,relatime,fmask=0022,dmask=0022,codepage=cp437,iocharset=utf8,shortname=mixed,errors=remount-ro)
В данном случае путь до USB flash накопителя будет таким: /mnt/stb/local/JetFlash-Transcend\ 4GB-part1/
Введите команду sync и перезагрузите приставку.
Содержимое p2ptv_desc.txt (для Новотелеком):
hub=peers.cn.ru:411
Содержимое p2ptv.config (для Новотелеком):
?device=eltex-nv101-mkv&api-version=2
http://www.cn.ru/films/xml/tags/
http://www.cn.ru/films/xml/list/
http://www.cn.ru/films/xml/search/
Если у вас другой оператор, тогда вам необходимо знать адрес хаба и адреса афиши, и прописать их в файлах p2ptv_desc.txt и p2ptv.config
1. Необходимо скачать make архив (разобранная прошивка) последнего релиза. Для этого нужно определить номер последнего релиза для модели на странице http://eltex.nsk.ru/support/downloads/ и в соответствии с версией составить ссылку для скачивания сборочного архива. Например:
http://download.eltex-media.ru/nv/nv100/archive/nv101img_160927_0.416.179.zip - ссылка на последний релиз
http://download.eltex-media.ru/nv/nv100/archive/make_fw_160927_0.416.179.tar.bz2 - ссылка на соответствующий make архив
http://download.eltex-media.ru/nv/nv102/archive/nv102ssk_161222_0.1.12.zip - ссылка на последний релиз
http://download.eltex-media.ru/nv/nv102/archive/make_fw_161222_0.1.12.tar.bz2 - ссылка на соответствующий make архив
То есть, вам нужно в ссылке на make архив из данной статьи вставить дату и номер версии последней релизной версии.
Так сделано, потому что make архив предыдущего релиза всегда удаляется с сервера, а хранится только актуальный.
2. Скачать плагин-браузер для запуска "Смотрешки", конфиг и иконки.
3. Положить 4 файла в папку с любым названием, например smotreshka и скопировать в директорию "/sdk/qt-install-4.7.0/STBGUI_PLUGIN/" (в распакованном make архиве).
4. Для того, чтобы логин/пароль сохранялся при выходе из приложения, нужно:
DIR_SCRIPTS=custom_scripts
4. Добавьте директорию и файлы скриптов в sdk_files_and_dirs.txt
У вас получится примерно так:
${DIR_ELTEX}/lib \
${DIR_SCRIPTS}"
FILES="
И внизу:
sch_fq_codel.ko \
loadStorage.sh \
saveStorage.sh"
5. Воспользоваться руководством по сборке прошивки (стр.3, пример про приложение "Радио").
Если у вас на сети организован сервер обновлений, то необходимо в корень положить архив config.tar.gz (создать самостоятельно).
С содержимым:
В файл file_list.txt нужно перечислить пути, куда копировать данные файлы:
/sdk/qt/STBGUI_PLUGIN/smotreshka/libstbbrowser.so
/sdk/qt/STBGUI_PLUGIN/smotreshka/PluginManifest.xml
/sdk/qt/STBGUI_PLUGIN/smotreshka/smotreska_logo.png
/sdk/qt/STBGUI_PLUGIN/smotreshka/smotreska_logo_small.png
/sdk/custom_scripts/loadStorage.sh
/sdk/custom_scripts/saveStorage.sh
В конце последней строки обязательно нужно поставить Enter (перевод строки)!
При каждом запуске приставка проверяет наличие данного архива, скачивает его и копирует файлы в соответствии с file_list.txt
Подробнее про кастомизацию с помощью архива можно почитать в рукуводстве на сайте по ссылке.
1. Необходимо скачать make архив (разобранная прошивка) последнего релиза. Для этого нужно определить номер последнего релиза для модели на странице http://eltex.nsk.ru/support/downloads/ и в соответствии с версией составить ссылку для скачивания сборочного архива. Например:
http://download.eltex-media.ru/nv/nv100/archive/nv101img_160927_0.416.179.zip - ссылка на последний релиз
http://download.eltex-media.ru/nv/nv100/archive/make_fw_160927_0.416.179.tar.bz2 - ссылка на соответствующий make архив
http://download.eltex-media.ru/nv/nv102/archive/nv102ssk_161222_0.1.12.zip - ссылка на последний релиз
http://download.eltex-media.ru/nv/nv102/archive/make_fw_161222_0.1.12.tar.bz2 - ссылка на соответствующий make архив
То есть, вам нужно в ссылке на make архив из данной статьи вставить дату и номер версии последней релизной версии.
Так сделано, потому что make архив предыдущего релиза всегда удаляется с сервера, а хранится только актуальный.
2. Скачать плагин-браузер для запуска "Смотрешки", конфиг и иконки.
3. Положить 4 файла в папку с любым названием, например smotreshka и скопировать в директорию "/sdk/qt-install-4.7.0/STBGUI_PLUGIN/" (в распакованном make архиве).
4. Для того, чтобы логин/пароль сохранялся при выходе из приложения, нужно:
DIR_SCRIPTS=custom_scripts
4. Добавьте директорию и файлы скриптов в sdk_files_and_dirs.txt
У вас получится примерно так:
${DIR_ELTEX}/lib \
${DIR_SCRIPTS}"
FILES="
И внизу:
sch_fq_codel.ko \
loadStorage.sh \
saveStorage.sh"
5. Воспользоваться руководством по сборке прошивки (стр.3, пример про приложение "Радио").
В случае когда не удается загрузить медиацентр ни с рабочей, ни с резервной прошивки, можно прибегнуть к процедуре восстановления со сменой заводского ПО при помощи образа.
В процессе на экране будет отображаться надпись "Загрузка". Весь процесс занимает 10-15 минут. По окончанию восстановления будет загружена резервная завдосткая прошивка, с котрой можно обновиться на актуальную версию. Прошивки дсотупны в Центре загрузки: http://eltex.nsk.ru/support/downloads/
Актуальные make архивы последних релизов можно скачать с ftp:
ftp://ftp.eltex.org/nv10x/
Пользователь: stbguest
Пароль: GuestSTB15@
В случае, когда не удается обновить ПО через web-интерфейс или консоль (Тelnet, SSH), существует возможность резервного обновления ПО через RS-232.
Для того чтобы обновить встроенное ПО устройства, необходимы следующие программы:
Программа терминалов (например, TERATERM, SecureCRT, Putty);
Программа TFTP сервера.
Последовательность действий при обновлении устройства:
Подключиться к порту Ethernet устройства.
Подключить скрещенным кабелем Com-порт компьютера к Console-порту устройства.
Запустить терминальную программу.
Настроить скорость передачи 115200, формат данных 8 бит, без паритета, 1 бит стоповый, без управления потоком.
Запустить на компьютере программу TFTP-сервера (компьютер, на котором запущен TFTP-сервер и устройство должны находиться в одной сети) и указать путь к папке smg_files. В ней создать папку smg или smg1016m или smg2016, в зависимости от модели оборудования. Далее положить в них файлы прошивок, чтобы конечный путь стал таким:
для SMG1016M -/smg_files/smg1016m/smg1016M_kernel, /smg_files/smg1016m/smg1016M_initrd;
для SMG1016 -/smg_files/smg/smg1016_kernel, /smg_files/smg/smg1016_initrd;
для SMG2016 -/smg_files/smg2016/smg2016_kernel, /smg_files/smg2016/smg2016_initrd.
Включить устройство. Остановить загрузку путем ввода команды stop в момент появления следующей надписи:
U-Boot 2009.06 (Feb 09 2010 - 20:57:21)
CPU: AMCC PowerPC 460GT Rev. A at 800 MHz (PLB=200, OPB=100, EBC=100 MHz)
Security/Kasumi support
Bootstrap Option B - Boot ROM Location EBC (16 bits)
32 kB I-Cache 32 kB D-Cache
Board: SMG-1016Mv2 board, AMCC PPC460GT Glacier based, 2*PCIe, Rev. FF
I2C: ready
DRAM: 512 MB
SDRAM test phase 1:
SDRAM test phase 2:
SDRAM test passed. Ok!
FLASH: 64 MB
NAND: 128 MiB
DTT: 1 FAILED INIT
Net: ppc\_4xx\_eth0, ppc\_4xx\_eth1
Type run flash\_nfs to mount root filesystem over NFS
Autobooting in 3 seconds, press 'stop' for stop
=>
Задать IP-адрес устройства:
set ipaddr <ipaddr>
где <ipaddr> - новый IP-адрес SMG.
Например: set ipaddr 192.168.2.2
Задать сетевую маску:
set netmask <netmask>
где <netmask> - сетевая маска.
Например: set netmask 255.255.255.0
Задать IP-адрес TFTP-сервера:
set serverip <tftp-ip>
где <tftp-ip> - IP-адрес компьютера, на котором запущен TFTP-сервер.
Например: set serverip 192.168.2.5
Активировать сетевой интерфейс командой mii si
Обновить ядро Linux:
для SMG1016m или SMG2016 командой run flash_kern;
для SMG1016 командой run updatekern.
Обновить файловую систему:
для SMG1016m или SMG2016 командой run flash_initrd;
для SMG1016 командой run updateinit.
В настоящий момент на устройстве существуют следующие ограничения:
Общее количество префиксов - 2048
Общее количество масок в каждом префиксе - 4096
Максимальная длина каждой маски - 1000 символов
Общее количество модификаторов - 8192
Общее количество SIP интерфейсов - 255
Общее количество транковых групп - 255
Максимальное количество планов нумерации - 16
Максимальное количество связок для абонентского типа регистрации на интерфейсах SIP - 3000
Максимальное число транковых направлений - 32
Максимальное число транковых групп в транковых направлениях - 32
Максимальное количество PBX профилей - 32
Максимальное количество сетевых интерфейсов - 10 с возможностью увеличения до 40 при установке лицензии SMG-VNI
На версиях ПО с RC12 до 3.2.1 количество транковых групп и SIP-интерфейсов было меньше - 64.
На версиях ПО RC11 и ниже были следующие ограничения:
Общее количество префиксов - 255
Общее количество масок в префиксе - 512
Максимальная длина каждой маски - 1000 символов
Общее количество модификаторов - 8192
Максимальное количество планов нумерации – 1
На SMG1016m/2016 есть 3 списка адресов:
Белый список IP адресов
Черный список IP адресов
Список заблокированных IP адресов
Сами списки находятся по следующему пути /tmp/disk/fail2ban
Соответственно, чтобы выгрузить списки с помощью tftp (на данный момент выгрузка доступна и из под web) достаточно ввести команду
cd /tmp/disk/fail2ban
tftp -pl <имя файла> <адрес сервера>
Чтобы загрузить списки с удаленного TFTP сервера можно использовать следующую команду:
cd /tmp/disk/fail2ban
tftp -gl <имя файла> <адрес сервера>
После загрузки файла в вебе нужно выключить/включить fail2ban, чтобы списки применились.
Балансировка нагрузки позволяет обеспечить распределение нагрузки между соседними ТД. Для того, чтобы избежать перегрузки полосы пропускания, точка доступа отклоняет подключение новых пользователей при достижении определенного уровня утилизации канала, что вынуждает новых пользователей подключаться к менее загруженным точкам.
Настроить балансировку нагрузки можно в меню "Manage" в подменю "Load Balancing".
Для конфигурирования доступны следующие поля:
- Enabled – балансировка нагрузки включена;
- Disabled – балансировка нагрузки выключена.
- Utilization for No New Associations – уровень утилизации полосы пропускания точки доступа, при превышении которой происходит запрет на подключение новых клиентов, задается в %. По умолчанию – 0.
Нажмите кнопку «Update» для сохранения внесенных изменений.
Диапазон частот, ГГц |
Коэффициент усиления антенны на WEP-2ac, dBi |
Коэффициент усиления антенны на WEP-12ac, dBi |
2,4 |
5 |
5 |
5 |
5-5.2 |
6 |
Точки доступа поддерживают следующие EAP методы аутентификации:
для Ноtspot - EAP-MD5
для Enterprise - EAP-PEAP, EAP-TLS, EAP-TTLS, EAP-MD5
Нужно понимать, что если клиент хорошо видит ТД, то это совсем не значит, что ТД также хорошо видит клиента. Обычно мощность передатчика клиентского оборудования ниже.
Нужно понять с какой причиной отключается клиент от ТД. Вопрос определения MAC адреса клиентского устройства можно решить, например, попросив его авторизироваться под уникальным тестовым аккаунтом созданным на Radius (после подключения посмотреть мак адрес клиента в таблице аккаунтинга (Radius- Таблица подключения пользователей)). После выяснения мак адреса необходимо в журнале событий в СУ (События - Журнал событий) по мак адресу просмотреть причины отключения его от ТД в указанный промежуток времени.
Основные причины:
- RSSI -89, 'Disconnected by minimal signal level'
Уровень сигнала воспринимаемый ТД может сильно зависит от расположения клиента (меняется его диаграмма направленности сигнала)
Такая причина стандартно появляется при роуминге клиента между точками – когда клиент сам не инициирует отключение, но уровень от него ниже критического(заданного в настройках), его отключает точка – после чего клиент должен авторизироваться на ТД с лучшим уровнем.
При неправильном радиопланировании может выйти так что клиент находясь в своем кабинете будет попадать в пограничную зону – и ТД будет видеть его с плохим уровнем сигнала – что приведет к частым отключением по данной причине.
- RSSI -67, 'Restart hostapd'
Сообщение такого плана говорит, что о том что на ТД был перезапущен радиомодуль – соответственно все клиенты подключенные к данной сети при этом отключаются от ТД. Перезапуск может происходить из-за:
периодически из-за смены канала (если включен планировщик каналов, закладка Конфигурация-Cluster.Main-ChannelPlanner-Status). Нужно проверить какой период перепланирования выставлен. При необходимости увеличить его, либо отключить планировщик
в СУ происходит синхронизация SSID через заданные промежутки времени – если в процессе синхронизации изменяются настройки то Radio-модуль также будет перезапущен. Необходимо проверить период синхронизаций в разделе Администрирование - Задачи по расписанию, графа “Проверка и исправление SSID привязок"
- 'Sending station inactivity'
Данная причина говорит о том, что точка доступа удалила запись о клиенте из своей памяти тк связь с ним была потеряна и при этом от клиента не было пакета на логическое завершение сессии. Это может быть связано с резким ухудшением сигнала что в свою очередь приводит к потере пакета отключения клиента. Возможно в помещении есть мертвые зоны.
- 'Sending station is leaving (or has left) BSS'
Чтобы настроить роуминг 802.11r через EMS выполните следующее:
1. На всех точках доступа, участвующих в роуминге необходимо настроить режим работы кластера. Выделите в дереве устройств точку доступа. Зайдите на вкладку "Конфигурация", "Cluster.Main". Нажмите кнопку "Редактировать" и установите "Cluster mode" в режим "SoftWLC". Нажмите кнопку "Сохранить". Повторите действия на остальных ТД.
2. Далее необходимо на всех точках настроить одинаковые SSID. Для этого откройте пункт меню "Wireless", "Менеджер SSID" и создайте SSID. Задайте имя, домен, выберите все радио-интерфейсы для назначения SSID, задайте режим безопасности WPA Enterprise и оставьте включенным только режим шифрования WPA 2 (Enable pre-authentication = off, MFP = not required), сделайте настройки RADIUS, задайте VLAN ID.
Сделайте привязку созданного SSID ко всем точкам доступа. Для этого выделите созданный SSID в списке и нажмите кнопку "Добавить SSID привязку". В дереве устройств выберите точки доступа, на которых настраиваете роуминг, нажмите кнопку "Добавить привязку" (индикатор в дереве сменится с желтого на зеленый), установите галочку "Запустить проверку SSID после добавления в БД", нажмите кнопку "Принять".
После этого созданный SSID появится на VAP во вкладке "Конфигурация", "Виртуальные точки доступа" на каждом радио-интерфейсе.
3. Настройка роуминга.
В меню выберите пункт "Wireless", "Менеджер настройки FBT на ТД". Установите "FT over DS"="on". Задайте R0 Key Holder, в качестве R1 Key Holder используйте MAC адрес одной из виртуальных точек в роуминговой сети.
Укажите:
Mobility Domain = 0,
Reassociation Deadline=1000 ms,
RRB key = <шестнадцатизначный ключ>.
Нажмите кнопку "Добавить" и выберите сначала точку доступа, а затем на ней настроенные VAP и нажмите кнопку "Добавить", затем "Принять".
4. Результат настройки можно увидеть на вкладке "Конфигурация", "Key holder data"
1. Во вкладке VAP.
На устройствах настройте виртуальные точки доступа с одинаковым SSID, использующих один VLAN ID.
Настройте шифрование, как показано на скриншотах .
Нажмите Update.
1.1. Для авторизации WPA Enterprise
1.2. Для WPA Personal
2. Перейдите на вкладку Fast BSS Transition
2.1. Укажите настроенную Вами виртуальную точку и установите параметры, указанные на скриншоте. В качеcтве R1 Key Holder используйте MAC адрес одной из виртуальных точек в роуминговой сети. Нажмите Update.
Эти параметры должны быть одинаковыми на всех точках доступа, участвующих в роуминге.
2.2. В графе MAC Address необходимо указать адрес VAP интерфейса соседней точки доступа. Эти адреса можно получить, подключившись к точке доступа по telnet, командой ifconfig.
Пример:
wlan0 Link encap:Ethernet HWaddr A8:F9:4B:B0:33:80 # mac соответствует VAP0 на первом радиоинтерфейсе
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:1808174
TX packets:537831 errors:14 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:69653835 (66.4 MiB)
Interrupt:163
wlan0vap1 Link encap:Ethernet HWaddr A8:F9:4B:B0:33:81 # mac соответствует VAP1 на первом радиоинтерфейсе
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:3291 errors:0 dropped:0 overruns:0 frame:1808174
TX packets:539183 errors:5 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:352099 (343.8 KiB) TX bytes:65897272 (62.8 MiB).
В графе NAS ID укажите ранее введенный R0 Key Holder.
В графе RRB Key введите любую последовательность цифр, например 1234567890123456 (должна быть одинакова для всех точек доступа).
Нажмите кнопку Add.
Аналогичным образом в эту таблицу нужно добавить адреса всех встречных интерфейсов, участвующих в роуминге, кроме локального.
После чего нажмите Update.
2.3. В графе MAC Address необходимо указать адрес VAP интерфейса соседней точки доступа. Эти адреса можно получить, подключившись к точке доступа по telnet, командой ifconfig.
В графе R1 Key Holder укажите ранее значение, введенное в пункте 1.
В графе RRB Key введите любую последовательность цифр, например 1234567890123456 (должна быть одинакова для всех точек доступа).
Нажмите кнопку Add.
Аналогичным образом в эту таблицу нужно добавить адреса всех встречных интерфейсов, участвующих в роуминге, кроме локального.
После чего нажмите Update.
Настроить ограничение скорости можно тремя способами:
1. Через вкладку «Виртуальные точки доступа». Настройка таким способом позволяет организовать ограничение скорости для всех клиентов, которые подключатся к этой wi-fi сети. Для настройки ограничения скорости перейдите на вкладку "Виртуальные ТД", перейдите в режим редактирования VAP, на которой хотите настроить ограничение по скорости. В поле "Bandwidth Limit Down" укажите значение ограничения скорости от ТД к клиентскому устройству, в поле "Bandwidth Limit Down" - от клиентского устройства до ТД.
2. Через настройку тарифного плана. Настройка ограничения скорости с помощью тарифного плана позволит организовать ограничение скорости для всех клиентов, которые будут проходить авторизацию с этим тарифным планом. Для настройки ограничения по скорости через тарифный план перейдите в меню "Radius" на вкладку "Управление тарифными планами". Ограничение по скорости настраивается путем настройки параметров "Максимальная скорость входящего трафика" и "Максимальная скорость исходящего трафика".
3. С помощью Radius. Настройка ограничения скорости c помощью Radius позволяет ограничить скорости передачи трафика для конкретного аккаунта клиента. Для настройки ограничения по скорости для конкретного radius пользователя перейдите в меню "Radius" на вкладку "Управление пользователями". Ограничение по скорости настраивается путем настройки параметров "Максимальная скорость входящего трафика" и "Максимальная скорость исходящего трафика".
При возникновении ошибки "Auth failed, ems-server is unavailable" необходимо выполнить следующие действия:
1. Проверьте запущен ли EMS. Для этого выполните команду sudo service eltex-ems status. Если EMS не запущен, то запустите его командой sudo service eltex-ems start
2. Если EMS запущен, а при подключении к GUI EMS все равно возникает ошибка, то выполните очистку cache браузера и java.
3. Если после очистки cache доступ не появился, проверьте открыты ли порты 8080 и 9310 на оборудовании между SoftWLC и ПК, на котором запускается GUI EMS.
Есть два способа применить шаблон на точку доступа:
1. Применение шаблона при инициализации точки.
2. Применение шаблона на точку доступа, которая уже добавлена в дерево.
Для применения шаблона при инициализации точки доступа выберите узел «EMS», во вкладке «Инициализация ТД WIFI» нажмите кнопку «Параметры». В появившемся окне выберите тип устройства и нажмите кнопку «Ок». В открывшемся окне перейдите на вкладку «Конфигурация» и выберите нужный шаблон. Нажмите кнопку «Принять». Выбранный шаблон будет применяться при инициализации всех появившихся ТД в дальнейшем.
Для применения шаблона на точку доступа, которая уже добавлена в дерево, выберите узел «EMS» и перейдите на вкладку «Список устройств». В открывшейся вкладке выберите точку доступа, на которую необходимо применить конфигурацию, или группу точек и в поле «Групповые операции» выберите «Конфигурация ТД». Нажмите кнопку «Выполнить». В открывшемся окне выберите файл шаблона и нажмите кнопку «Принять».
Примечание! Конфигурация виртуальных точек доступа и настройка captive portal не включены в шаблон конфигурации и выполняются через Менеджер SSID.
В SoftWLC существует возможность централизованного назначения SSID на несколько точек доступа. Для этого используется “Менеджер SSID”, который находится в меню “Wireless”.
Создание SSID в базе
Чтобы создать SSID, нажмите кнопку “Добавить SSID”. Заполните необходимые параметры, два из которых являются обязательными: имя SSID и домен. Домен выбирается из списка существующих по нажатию кнопки в конце строки. Статус SSID показывает текущее состояние: Locked - услуга временно заблокирована для пользователей, Operational - услуга доступна. Далее настаиваются стандартные параметры для виртуальных точек доступа, на которые будет назначаться SSID: статус VAP, режим безопасности, радио-интерфейсы, к которым применится SSID, параметры использования RADIUS и т.д. Здесь же, при необходимости использования, настраиваются параметры Minimal Signal и Captive Portal. После нажатия кнопки “Принять” созданный SSID отобразится на вкладке “База SSID”.
Добавление привязки SSID
Далее необходимо назначить SSID на точки доступа, для этого выделите созданный SSID и нажмите кнопку “Добавить SSID привязку “. В появившемся окне выберите ключ для привязки. Привязка может осуществляться по MAC-адресу точки доступа, по IP-адресу точки доступа или по домену узла. Затем выделите объекты для привязки (точки доступа или узлы) и нажмите кнопку “Создать привязку”, индикатор в дереве сменится с желтого на зеленый (для исключения точки доступа из перечня выбранных – выделите ее и нажмите кнопку «Нет привязки», индикатор в дереве сменится с зеленого на желтый), после чего нажмите кнопку “Принять”.
Назначение привязки SSID
Назначение привязки SSID на точки доступа можно сделать двумя способами:
запустить проверку SSID сразу после добавления в БД путем установки соответствующего флага при добавлении привязки;
на вкладке “Привязки SSID”, путем выделения нужной привязки и нажатия кнопки “Исправить”. Будет производится проверка, установлен ли SSID в соответствии с правилом привязки на определенную точку доступа, и в случае отрицательного результата производится переустановка SSID на нее. Аналогичные проверки выполняются специальным монитором “Проверка и исправление SSID привязок”, период срабатывания которого можно настроить в меню “Администрирование” -> “Настройка сервера” -> “Задачи по расписанию (мониторы)”.
Процесс назначения SSID можно контролировать на вкладке “Задачи”. SSID будет назначен на первую выключенную VAP на точке доступа. Результат можно увидеть на вкладке “Конфигурация”, “Виртуальные точки доступа”.
Как известно, в беспроводных сетях в качестве среды распространения сигнала используются радиоволны (радиоэфир), и работа устройств и передача данных в сети происходит без использования кабельных соединений. В связи с этим на работу беспроводных сетей воздействует большее количество различного рода помех.
Условно источники помех можно разделить на пять категорий:
Другие Wi-Fi сети, которые находятся в зоне действия данной беспроводной сети, или данная беспроводная сеть попадает в зону действия других беспроводных сетей. Вышесказанное утверждение имеет смысл, только если наводящие беспроводные сети работают в том же, или близком частотном диапазоне.У Wi-Fi, используется два частотных диапазона – 2.4 и 5 ГГц, которые не могут оказывать друг на друга никакого влияния. У беспроводных сетей Wi-Fi есть несколько стандартов: 802.11b/g работают в дипазоне 2.4 ГГц, 802.11a - 5 ГГц, 802.11n могут работать в обоих частотных диапазонах. В частотном диапазоне Wi-Fi 2.4 ГГц доступны 13 каналов, с шириной в 20 МГц (стандарты 802.11b/g) и 40 МГц (стандарт 802.11n) с интервалом в 5 МГц между несущими каналов. Устройство, работающие в радиусе действия на близком канале оказывает помехи, сила которых зависит от приближенности канала и как вытекающее от силы излучателя. Для избегания взаимных помех, устройства должны работать на каналах, несущие которых удалены на 25 МГц друг от друга – это 5 несущих. Из вышесказанного становится ясно, что, для избегания помех, устройства должны работать на удалении как минимум в 5 каналов, например на 1-ом и 6-ом.
Bluetooth-устройства, работающие в зоне покрытия вашего Wi-Fi-устройства. Bluetooth и Wi-Fi работают в диапазоне 2,4 ГГц зачастую не могут работать одновременно, поскольку RF-сигналы обоих устройств мешают друг другу, особенно если антенны находятся в непосредственной близости друг от друга.
Большие расстояния между Wi-Fi-устройствами. Необходимо помнить, что беспроводные устройства Wi-Fi имеют ограниченный радиус действия. Например, домашний интернет-центр с точкой доступа Wi-Fi стандарта 802.11b/g имеет радиус действия до 60 м в помещении и до 400 м вне помещения. В помещении дальность действия беспроводной точки доступа может быть ограничена несколькими десятками метров - в зависимости от конфигурации комнат, наличия капитальных стен и их количества, а также других препятствий.
Препятствия.
• Наличие препятствий на пути распространения сигнала
Объекты, мешающие распространению радиосигналов вне помещения, могут быть любыми, наиболее распространены здания, линии электропередач, деревья и т.д. Очень часто недооценивают влияние деревьев. Следует учитывать, что один метр кроны ослабляет сигнал до 6 дБ! Для устранения препятствий можно изменить место установки антенн, поднять антенны выше препятствий (с учетом зоны Френеля, о чем будет написано ниже), либо организовать передачу видео от беспроводных камер с использованием промежуточных ретрансляторов или мостов. Внутри помещения причиной помех радиосигнала также могут являться зеркала и тонированные окна. Ниже показана таблица потери эффективности сигнала Wi-Fi при прохождении через различные среды.
Препятствие Дополнительные потери (dB) Эффективное расстояние*
Открытое пространство 0 100%
Окно без тонировки (отсутствует металлизированное покрытие) 3 70%
Окно с тонировкой (металлизированное покрытие) 5-8 50%
Деревянная стена 10 30%
Межкомнатная стена (15,2 см) 15-20 15%
Несущая стена (30,5 см) 20-25 10%
Бетонный пол/потолок 15-25 10-15%
Монолитное железобетонное перекрытие 20-25 10%
*Эффективное расстояние - означает, насколько уменьшится радиус действия после прохождения соответствующего препятствия по сравнению с открытым пространством. Например, если на открытом пространстве радиус действия Wi-Fi до 400 метров, то после прохождения одной межкомнатной стены он уменьшится до 400 м x 15% = 60 метров. После второй еще раз 60 м x 15% = 9 метров. А после третьей 9 м x 15% = 1,35 метров. Таким образом, через три межкомнатные стены, скорее всего, беспроводное соединение установить не получится.
• Наличие препятствия в зоне Френеля Зона Френеля – это область вокруг линии прямой видимости, в которой распространяются радиоволны. Как правило, перекрывание 20% зоны Френеля не вызывает больших потерь сигнала. Но при перекрывании более 40% потери становятся уже значительными.
Расстояние между антеннами, м |
Требуемый радиус первой зоны Френеля на частоте 2.4 ГГц, м |
Требуемый радиус первой зоны Френеля на частоте 5 ГГц, м |
300 |
3,06 |
2,12 |
1600 |
7 |
4,9 |
8000 |
15,81 |
10,95 |
10000 |
17,68 |
12,25 |
15000 |
21,65 |
15 |
5.Различная бытовая техника, работающая в зоне покрытия вашего Wi-Fi-устройства. Бытовые приборы, которые могут оказать влияние на работу беспроводной сети:
Микроволновые СВЧ-печи. Эти приборы могут ослаблять уровень сигнала Wi-Fi, т.к. обычно также работают в диапазоне 2,4 ГГц.
Детские радионяни. Эти приборы работают в диапазоне 2,4 ГГц и дают наводки, в результате чего ухудшается качество связи Wi-Fi.
Мониторы с ЭЛТ, электромоторы, беспроводные телефоны и другие беспроводные устройства.
Телефоны, работающие в диапазоне 2,4–5 ГГц. Беспроводные телефоны, работающие в этом диапазоне, могут вызывать помехи в работе беспроводных устройств или сетей.
Передатчики видеосигнала (передатчики или приемники), работающие на частоте 2,4 или 5 ГГц.
Беспроводные динамики, работающие на частоте 2,4 или 5 ГГц.
Некоторые внешние мониторы и ЖК-дисплеи. Определенные дисплеи могут создавать заметные гармонические помехи в диапазоне между 11 и 14 каналами на частоте 2,4 ГГц. Наиболее интенсивные помехи могут исходить от портативного компьютера с подключенным к нему внешним дисплеем. Попробуйте изменить рабочую частоту вашей точки доступа, например на 5 ГГц, или использовать один из первых десяти каналов на частоте 2,4 ГГц.
Функция Band steer – настройка приоритета подключения клиентов к WiFi сетям, работающим в 5 ГГц.
В настоящее время диапазон частот 2,4 ГГц сильно нагружен, из-за чего скорость передачи информации по стандартам 802.11b/g/n, использующим этот диапазон может быть довольно низкой, несмотря на хороший уровень сигнала и качественное оборудование. Для улучшения этой ситуации в эксплуатацию активно вводятся устойства, работающие по стандартам 802.11a/n/ac в диапазоне частот 5 ГГц. Диапазон 5 ГГц пока мало распространен, поэтому клиентские устройства, работающие в этом диапазоне, используют также и диапазон 2,4 ГГц. Из-за этого могут возникать ситуации, кода клиенты, имеющие возможность подключаться к сетям стандарта a/n/ac будут работать в сетяхb/g/n, тем самым не получают максимально возможную скорость доступа. Для решения это проблемы разработана функция Band steer, позволяющая автоматически подключать пользователей к 5 ГГц сетям, если они имеют такую возможность.
Настройка Band steer
Для работы этой функции необходимо настроить радиоинтерфейсы на точке доступа WEP-12AC или WOP-12AC таким образом, чтобы один из них работал в диапазоне 2,4 ГГц, а другой в 5 ГГц. Это можно выполнить, используя WEB интерфейс точки доступа.Перейдите в раздел «Wireless Settings» и установите значения для Radio1 в поле Mode выберите “IEEE 802.11b/g/n”, для Radio2 в поле Mode выберите “IEEE 802.11a/n/ac”. Затем нажмите кнопку «Update».
Следующим шагом будет создание виртуальных точек (VAP) на каждом радиоинтерфейсе. Эти виртуальные точки должны иметь одинаковые параметры, включая SSID и пароль, если используется шифрование. Номер VAP значения не имеет.
Перейдите в раздел «VAP» и настройте виртуальную точку на первом радиоинтерфейсе. Затем нажмите кнопку «Update». После этого выберите второй радиоинтерфес, установив значение «2» в параметре «Radio» и настройте точно такую же виртуальную точку доступа. Нажмите «Update». После этого настройки вступят в силу и функция Band steer начнет работать.
Перед запуском апплета EMS через приложение Java Web Start убедитесь, что на ПК установлен Oracle Java*.
В строке браузера введите следующий адрес:
http://<ip address SoftWLC>:8080/ems/jws/
При этом в браузере появится предложение открыть или скачать файл с расширением jnlp. Откройте этот файл с помощью приложения Java Web Start.
Для создания ярлыка на рабочем столе для запуска апплета EMS в Java Control Panel должно быть включено хранение временных файлов.
*Рекомендуем использовать Oracle Java 8
Настройка белых/черных списков MAC-адресов клиентов, которым разрешено/запрещено подключаться к данной точке доступа, выполняется в меню "Manage" в подменю "MAC Authentication".
Для создания белого списка в поле "Filter" выберите Allow only stations in list, для создания черного списка - Block all stations in list.
В поле введите MAC-адрес клиентского устройства и нажмите кнопку "Add". Введенный MAC-адрес должен отобразится в поле "Stations List". После добавления в список все необходимых MAC-адрес нажмите кнопку "Update".
Для удаления MAC-адрес из списка необходимо выделить нужный MAC-адрес и нажать кнопку "Remove".
После создания списка необходимо перейти в подменю "VAP". В настройках VAP, для которого необходимо применить созданный список, в поле "MAC Auth Type" выберите Local и нажмите кнопку "Update".
Расположение лог-файлов с системе:
Лог-файлы EMS сервера можно найти в /var/log/eltex-ems/black_box.txt и /var/log/eltex-ems/ems_error.txt
Лог-файлы Captive portal можно найти в /var/log/eltex-portal/debug_ep.txt и /var/log/eltex-portal/error_ep.txt
Лог-файл авторизации по смс можно найти в /var/log/eltex-portal/sms_ep.txt
2. Выгрузка лог-файлов через GUI EMS
Для копирования логов с EMS сервера в главном меню выберите пункт "Администрирование", "Получить логи работы сервера EMS".
Процесс получения логов отображается во вкладке "Задачи" (Alt+F6).После завершения задачи двойным кликом откройте ее и скачайте по ссылке архив, содержащий следующие логи работы EMS и captive portal:
/var/log/eltex-portal/debug_ep.txt;
/var/log/eltex-portal/error_ep.txt;
/var/log/eltex-portal/sms_ep.txt;
/var/log/eltex-ems/black_box.txt;
/var/log/eltex-ems/ems_error.txt.
Иногда возникает необходимость обновления прошивки через консоль. Причина тому может быть разная: автоматизация обновления или аварийные работы.
Обновление производится в 2 этапа:
Загрузка файла ПО:
tftp -l /tmp/firmware.gz -gr tau2m-1.14.1.527.tar.gz 192.168.0.5
Обновление ПО
upgrade firmware.gz
Далее ждете обновления приблизительно минуту, появится вывод:
UPGRADE SUCCESSFULL
и делаете
reboot
Для снятия трассировки с TAU используется протокол syslog. TAU может отправлять логи на syslog-сервер или записывать их в локальный журнал. Содержимое локального журнала можно просмотреть через WEB-браузер.
Настройка syslog производится в меню Сетевые настройки (Network settings) -> Журнал (Syslog). Для получения полной информации о процессах происходящих в ТАУ и принимаемых/передаваемых сигнальных сообщениях необходимо выставить следующие уровни:
в разделе Настройка журнала (Syslog configuration) указать IP-адрес и порт syslog сервера, на который неоюходимо отправлять логи, или выставить флаг Сохранять журнал в файл (Syslog to file) для записи логов в локальный журнал;
в разделе Тип записи (Application) установить все флаги;
при использовании протокола SIP выставить в параметре Уровень отладки SIP (SIP Log Level) значение 5 signal protocol;
при использовании протокола H323 выставить в параметре Уровень отладки Н.323 значение 4 debug_a;
в разделе VAPI установить флаг Включить (Enabled), установить Уровень отладки библиотеки (Lib Level) равным 1 и Уровень отладки приложения (App Level) равным 4;
подтвердить настройки нажав на кнопку Применить изменения (Submit changes);
для запуска логирования необходимо нажать кнопку Запустить журналирование (Start syslog), для остановки вывода логов - Остановить журналирование (Stop syslog).
В случае если запись логов идет в локальный файл, то для просмотра его содержимого необходимо нажать кнопку Показать журнал (Show syslog). Для очистки файла нужно нажать кнопку Очистить журнал (Clear syslog).
Внимание! При большой нагрузке включенная трассировка может привести к некорректной работе оборудования, задержкам выдачи тоновых сигналов и обмене сигнальными сообщениями. Поэтому рекомендуется снимать трассировку в период наименьшей нагрузки на TAU и после снятия необходимых логов необходимо отключить все уровни отладки (убрать все флаги и выставить все уровни в значение none) и остановить вывод логов.
В случае возникновения ситуации с необходимостью резервного восстановления ПО, необходимо у коммерческого отдела компании запросить переходник для COM-порта (представляет из себя 5-пиновый переходник)
Порядок восстановления ПО включает в себя следующие действия:
Необходимо распаковать архив файла программного обеспечения (актуальный можно скачать на сайте) и положить на tftp сервер файлы
tau4-8-uImage – файл ядра устройства TAU8
tau4-8-root.jffs2-16k – файловая система TAU8
rg-uImage – файл ядра устройства RG14XX
rg-root.jffs2-16k – файловая система RG14XX
Снять крышку с устройства и подключиться переходником COM-порта к разьемам на плате. Контакт, помеченный треугольником на разъеме переходника, подключается на противоположный земле вывод разьема на плате. Земля обозначена буквой G
Параметры для подключения ком порта:
скорость: 115200,
бит данных: 8,
паритет: нет,
стоповые биты: 1,
управление потоком: нет
Перезагрузить устройство по питанию и зайти в U-Boot. Для этого в момент появления строк
U-Boot 1.1.6 (Sep 2 2011 - 11:35:09) Mindspeed $Name: u-boot\_6\_00\_4 $
DRAM: 256 MB
Comcerto Flash Subsystem Initialization
Flash: 0 kB
NAND: board\_nand\_init nand->IO\_ADDR\_R =30000000
32 MiB
*** Warning - bad CRC or NAND, using default environment
In: serial
Out: serial
Err: serial
Reserve MSP memory
Net: comcerto\_gemac0, comcerto\_gemac1
Switch: Realtek RTL8367RB
Enter 'stop' for stop autoboot
набрать команду stop. На экране появиться приглашение
Из под uboot необходимо ввести следующие команды:
для TAU8:
Comcerto-1000 > set serverip <tftp-server IP> - ip адрес ПК на котором запущен tftp сервер;
Comcerto-1000 > set ipaddr <IP rg> - ip-адрес rg на время загрузки файлов;
Comcerto-1000 > set uimage tau4-8-uImage – имя файла ядра устройства; (set uimage rg-uImage для RG14xx)
Comcerto-1000 > set fsfile tau4-8-root.jffs2-16k – имя файла с файловой системой;
для RG14xx:
Comcerto-1000 > set serverip <tftp-server IP> - ip адрес ПК на котором запущен tftp сервер;
Comcerto-1000 > set ipaddr <IP rg> - ip-адрес rg на время загрузки файлов;
Comcerto-1000 > set uimage rg-uImage – имя файла ядра устройства;
Comcerto-1000 > set fsfile rg-root.jffs2-16k – имя файла с файловой системой
Подключить к WAN-порту устройства ПК с запущенным tftp-сервером. Запустить с консоли устройства пинг до ПК. В случае если ПК доступен, то в консоли выведется:
host <IP> is alive
Если пинг не происходит, то остановите его нажатием <Ctrl>+<C> и проверьте правильность сетевых настроек ПК и устройства. Посмотреть текущее сетевые настройки в убуте можно командой printenv
Далее необходимо по очереди ввести команды на обновления ядра и файловой системы устройства:
Comcerto-1000 > run updatekernel - команда на загрузку ядра
Comcerto-1000 > run updatenandfs - команда на загрузку файловой системы
Существуют следующие способы автоматического конфигурирования шлюзов TAUXX.IP.
Через протокол конфигурирования tr-069
Описание настройки TAUXX.IP есть в документации в разделе "Настройка протокола мониторинга и управления устройством TR-069 (ACS)"
Это самый правильный способ, но для него понадобится ACS сервер, который сопрягаясь с билинговой системой или чем-то иным будет конфигурировать параметры шлюзов налету (не останавливая их работу) по протоколу tr-069.
Преимуществами tr-069, над тем же SNMP, являются:
большая надежность протокола, т.к. он работает поверх TCP;
большая защищенность протокола, т.к. есть поддержка различных схем авторизации basic, digest;
способность работы через NAT (TAUXX.IP может использовать STUN сервер и сообщать ACS серверу свой внешний адрес).
Описание настройки ACS сервера приведено в соответствующей документации.
Через автообновление (автопровижжинг)
Описание настройки TAUXX.IP есть в документации в разделе "5.1.1.10. Настройка автоматического обновления (Autoupdate)" и Приложении Ж.
Суть этого метода и его принципиальное отличие от tr-069 в том, что инициатором обмена является TAUXX.IP, а не сервер. Помимо этого файл конфигурации будет передаваться целиком, а не определенные параметры. TAUXX.IP по таймеру циклически делает запрос на сервер автоконфигурирования и скачивает нужный файл конфигурации (или ПО). Далее если TAUXX.IP находит отличие этого файла от текущего, то конфигурация на шлюзе обновляется.
Также существует механизм версионности файлов, подробней о котором написано в документации в Приложении Ж.
Ваша задача будет в автоматической генерации файлов конфигурации, в зависимости от системы билинга и выкладывании их на сервер автоконфигурирования.
3) По протоколу SNMP
Суть данного метода мало чем отличается от других примеров использования SNMP.
На SNMP менеджере автоматически запускаются разного рода скрипты, которые считывают и задают параметры в конфигурации TAUXX.IP.
В качестве SNMP менеджера может выступать любой SNMP сервер, также существует готовое решение Eltex.EMS
4) По telnet через CLI.
Описание есть в документации:
http://eltex.nsk.ru/upload/iblock/6cf/tau32m_ip-versiya-2.13.1.pdf
Раздел РЕЖИМ КОМАНДНОЙ СТРОКИ И РАБОТА В ТЕРМИНАЛЬНОМ РЕЖИМЕ
Этот метод можно назвать ручным, т.к. вся нагрузка по конфигурированию падает на автоматизатора.
Суть метода в написании скриптов, которые будут запускаться на сервере в зависимости от нужных факторов или системы билинга.
Скрипты должны автоматически подключаться по telnet/ssh к нужной TAUXX.IP и изменять конфигурацию нужным образом командами CLI или bysybox (linux).
Многоканальный номер - это номер, позволяющий принимать несколько звонков одновременно.
Рассмотрим порядок создания многоканального номера.
TAU4, TAU8, RG14
В разделе PBX -> SIP -> Профили SIP откройте настройки первого профиля. Данный профиль будет использоваться для абонентских портов устройства. В настройках профиля задайте следующие настройки:
название профиля;
режим использования прокси-сервера и его адрес;
проверьте, что флаг Регистрация не установлен;
при необходимости задайте SIP домен;
нажмите на строчку Настройка плана нумерации и в появившемся окне пропишите необходимые префиксы. Для организации вызовов по внутренней нумерации добавьте префикс с @{local}, который отправлять вызов на собственный адрес устройства (например, при использовании на портах внутренней нумерации 101-108 префикс будет прописываться как 10[1-8]@{local});
для сохранения изменений нажмите кнопку Сохранить.
В разделе PBX -> SIP -> Профили SIP откройте настройки второго профиля. Данный профиль будет использоваться для группы вызова. В настройках профиля задайте следующие настройки:
название профиля;
режим использования прокси-сервера и его адрес;
установите флаг Регистрация и пропишите адрес сервера регистрации;
при необходимости задайте SIP домен и установите флаг Применять SIP Domain для регистрации;
для сохранения изменений нажмите кнопку Сохранить.
В меню PBX -> Группы серийного искания (каждый новый вызов занимает первый свободный порт) или PBX -> Группы вызова (поддерживается три вида искания свободного абонента: групповой , задержанный групповой и поисковый) добавьте новую группу:
установите флаг Включить группу;
задайте имя группы (произвольное);
в параметре Профиль SIP выставите профиль SIP с включенной регистрацией (созданный в пункте 2);
в поле Номер телефона необходимо указать внешний номер, который должен регистрироваться на вышестоящем сервере;
в полях Имя пользователя и Пароль пропишите логин и пароль для регистрации, которые выданы для внешнего номера;
при использовании группы вызова задайте тип группы вызова:
Group – сигнал вызова подается на все порты в группе одновременно;
Serial – количество портов, на которые подается вызывной сигнал, увеличивается на один по истечении таймаута вызова следующего порта;
Cyclic – сигнал вызова циклически через интервал, равный таймауту вызова следующего порта, подается по очереди на каждый порт в группе;
в параметре Размер очереди вызовов указывается максимальное число вызовов, которые может принять группа. Вызов ставится в очередь в случае отсутствия свободных портов;
в поле Таймаут ответа на вызов, сек указывается интервал времени, по истечении которого вызов будет отклонен при неполучении ответа;
для сохранения изменений нажмите кнопку Сохранить.
Произвести настройку абонентских портов в разделе PBX –> FXS:
установите флаг Включен напротив используемых портов;
пропишите внутреннюю нумерация на комплектах;
назначьте SIP-профиль без регистрации (созданный в п.1);
задайте имя пользователя и пароль для регистрации, которые выданы для внешнего номера. Эти параметры должны совпадать с настройкой в п.3;
в параметре Альтернативный номер пропишите внешний номер (он должен совпадать с прописанным в п.3 в параметре Номер телефона);
для сохранения изменений нажмите кнопку Сохранить.
Чтобы все внесенные изменения вступили в силу необходимо нажать кнопку "Применить" в левой части экрана.
TAU1M, TAU2M, RG24
В разделе IP-телефония -> Профили откройте настройки первого профиля. Данный профиль будет использоваться для абонентских портов устройства. Регистрация в параметрах профиля должна быть выключена. В настройках профиля задайте следующие настройки:
название профиля;
режим использования прокси-сервера и его адрес;
проверьте, что флаг Регистрация не установлен;
при необходимости задайте SIP домен;
в подразделе Настройка плана нумерации пропишите необходимые префиксы. Для организации вызовов по внутренней нумерации добавьте префикс с @{local}, который отправлять вызов на собственный адрес устройства (например, при использовании на портах внутренней нумерации 101-108 префикс будет прописываться как 10[1-8]@{local});
для подтверждения изменений нажмите кнопку Применить.
В разделе IP-телефония -> Профили откройте настройки второго профиля. Данный профиль будет использоваться для группы вызова. В настройках профиля задайте следующие настройки:
название профиля;
режим использования прокси-сервера и его адрес;
установите флаг Регистрация и пропишите адрес сервера регистрации;
при необходимости задайте SIP домен и установите флаг Применять SIP Domain для регистрации;
для подтверждения изменений нажмите кнопку Применить.
В меню IP-телефония -> Группы вызова добавьте новую группу:
установите флаг Включить;
задайте имя группы (произвольное);
в параметре Профиль выставите профиль SIP с включенной регистрацией (созданный в пункте 2);
в поле Номер телефона необходимо указать внешний номер, который должен регистрироваться на вышестоящем сервере;
в полях Имя пользователя для аутентификации и Пароль для аутентификации пропишите логин и пароль для регистрации, которые выданы для внешнего номера;
задайте тип группы вызова:
Group – сигнал вызова подается на все порты в группе одновременно;
Serial – количество портов, на которые подается вызывной сигнал, увеличивается на один по истечении таймаута вызова следующего порта;
Cyclic – сигнал вызова циклически через интервал, равный таймауту вызова следующего порта, подается по очереди на каждый порт в группе;
в параметре Размер очереди вызовов указывается максимальное число вызовов, которые может принять группа. Вызов ставится в очередь в случае отсутствия свободных портов;
для подтверждения изменений нажмите кнопку Применить.
Произвести настройку абонентских портов в разделе IP-телефония –> Настройка линий:
установите флаг Включить;
пропишите внутреннюю нумерация на комплектах в параметре Номер телефона;
назначьте SIP-профиль без регистрации (созданный в п.1);
в подразделе Аутентификация задайте имя пользователя и пароль для регистрации, которые выданы для внешнего номера. Эти параметры должны совпадать с настройкой в п.3;
установите флаг Использовать альтернативный номер и пропишите внешний номер (номер должен совпадать с прописанным в п.3 в параметре Номер телефона);
для подтверждения изменений нажмите кнопку Применить.
Функция Destination NAT (DNAT) состоит в преобразовании IP-адреса назначения у пакетов, проходящих через сетевой шлюз.
DNAT используется для перенаправления трафика, идущего на некоторый «виртуальный» адрес в публичной сети, на «реальный» сервер в локальной сети, находящийся за сетевым шлюзом. Эту функцию можно использовать для организации публичного доступа к серверам, находящимся в частной сети и не имеющим публичного сетевого адреса.
Задача: Организовать доступ из публичной сети, относящейся к зоне «UNTRUST», к серверу локальной сети в зоне «TRUST». Адрес сервера в локальной сети - 10.1.1.100. Сервер должен быть доступным извне по адресу 1.2.3.4, доступный порт 80.
Решение:
Создадим зоны безопасности «UNTRUST» и «TRUST». Установим принадлежность используемых сетевых интерфейсов к зонам. Одновременно назначим IP-адреса интерфейсам.
esr# configure
esr(config)# security zone UNTRUST
esr(config-zone)# exit
esr(config)# security zone TRUST
esr(config-zone)# exit
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# security-zone TRUST
esr(config-if-gi)# ip address 10.1.1.1/25
esr(config-if-gi)# exit
esr(config)# interface tengigabitethernet 1/0/1
esr(config-if-te)# ip address 1.2.3.4/29
esr(config-if-te)# security-zone UNTRUST
esr(config-if-te)# exit
Создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.
NET_UPLINK – профиль адресов публичной сети;
SERVER_IP – профиль адресов локальной сети;
SRV_HTTP – профиль портов.
esr(config)# object-group network NET_UPLINK
esr(config-object-group-network)# ip address 1.2.3.4
esr(config-object-group-network)# exit
esr(config)# object-group service SRV_HTTP
esr(config-object-group-network)# port 80
esr(config-object-group-network)# exit
esr(config)# object-group network SERVER_IP
esr(config-object-group-network)# ip address 10.1.1.100
esr(config-object-group-network)# exit
Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 1.2.3.4 из внешней сети.
esr(config)# nat destination
esr(config-dnat)# pool SERVER_POOL
esr(config-dnat-pool)# ip address 10.1.1.100
esr(config-dnat-pool)# ip port 80
esr(config-dnat-pool)# exit
Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «UNTRUST». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».
esr(config-dnat)# ruleset DNAT
esr(config-dnat-ruleset)# from zone UNTRUST
esr(config-dnat-ruleset)# rule 1
esr(config-dnat-rule)# match destination-address NET_UPLINK
esr(config-dnat-rule)# match protocol tcp
esr(config-dnat-rule)# match destination-port SERV_HTTP
esr(config-dnat-rule)# action destination-nat pool SERVER_POOL
esr(config-dnat-rule)# enable
esr(config-dnat-rule)# exit
esr(config-dnat-ruleset)# exit
esr(config-dnat)# exit
Для пропуска трафика, идущего из зоны «UNTRUST» в «TRUST», создадим соответствующую пару зон. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP», и прошедший преобразование DNAT.
esr(config)# security zone-pair UNTRUST TRUST
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address SERVER_IP
esr(config-zone-rule)# match protocol any
esr(config-zone-rule)# match destination-nat
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
esr(config)# exit
Изменения конфигурации вступят в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Произведенные настройки можно посмотреть с помощью команд:
esr# show ip nat destination pools
esr# show ip nat destination rulesets
esr# show ip nat proxy-arp
esr# show ip nat translations
Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров, а также решает проблему балансировки трафика между резервными линками.
Задача: Настроить маршрут к серверу (108.16.0.1/28) с возможностью балансировки нагрузки.
Решение:
Предварительно нужно выполнить следующие действия:
настроить зоны для интерфейсов te1/0/1 и te1/0/2;
указать IP-адреса для интерфейсов te1/0/1 и te1/0/2.
Основной этап конфигурирования:
Настроим маршрутизацию:
еsr(config)# ip route 108.16.0.0/28 wan load-balance rule 1
Создадим правило WAN:
еsr(config)# wan load-balance rule 1
Укажем участвующие интерфейсы:
еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/2
еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/1
Включим созданное правило балансировки и выйдем из режима конфигурирования правила:
еsr(config-wan-rule)# enable
еsr(config-wan-rule)# exit
Создадим список для проверки целостности соединения:
еsr(config)# wan load-balance target-list google
Создадим цель проверки целостности:
esr(config-target-list)# target 1
Зададим адрес для проверки, включим проверку указанного адреса и выйдем:
еsr(config-wan-target)# ip address 8.8.8.8
еsr(config-wan-target)# enable
еsr(config-wan-target)# exit
Настроим интерфейсы. В режиме конфигурирования интерфейса te1/0/1 указываем nexthop:
еsr(config)# interface tengigabitethernet 1/0/1
еsr(config-if)# wan load-balance nexthop 203.0.0.1
В режиме конфигурирования интерфейса te1/0/1 указываем список целей для проверки соединения:
еsr(config-if)# wan load-balance target-list google
В режиме конфигурирования интерфейса te1/0/1 включаем WAN-режим и выходим:
еsr(config-if)# wan load-balance enable
еsr(config-if)# exit
В режиме конфигурирования интерфейса te1/0/2 указываем nexthop:
еsr(config)# interface tengigabitethernet 1/0/2
еsr(config-if)# wan load-balance nexthop 65.6.0.1
В режиме конфигурирования интерфейса te1/0/2 указываем список целей для проверки соединения:
еsr(config-if)# wan load-balance target-list google
В режиме конфигурирования интерфейса te1/0/2 включаем WAN-режим и выходим:
еsr(config-if)# wan load-balance enable
еsr(config-if)# exit
Изменения конфигурации вступят в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Для переключения в режим резервирования настроим следующее:
Заходим в режим настройки правила WAN:
еsr(config)# wan load-balance rule 1
Функция MultiWAN также может работать в режиме резервирования, в котором трафик будет направляться в активный интерфейс c наибольшим весом. Включить данный режим можно следующей командой:
еsr(config-wan-rule)# failover
Изменения конфигурации вступят в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — протокол, предназначенный для управления устройствами в IP-сетях на основе архитектур TCP/UDP. SNMP предоставляет данные для управления в виде переменных, описывающих конфигурацию управляемой системы.
Задача: Настроить SNMPv3 сервер с аутентификацией и шифрованием данных для пользователя admin. IP-адрес маршрутизатора esr - 192.168.52.41, ip-адрес сервера - 192.168.52.8
Решение:
Предварительно нужно выполнить следующие действия:
указать зону для интерфейса gi1/0/1;
настроить IP-адрес для интерфейсов gi1/0/1.
Основной этап конфигурирования:
Включаем SNMP-сервер:
esr(config)# snmp-server
Создаем пользователя SNMPv3:
esr(config)# snmp-server user admin
Определим режим безопасности:
esr(snmp-user)# authentication access priv
Определим алгоритм аутентификации для SNMPv3-запросов:
esr(snmp-user)# authentication algorithm md5
Устанавим пароль для аутентификации SNMPv3-запросов:
esr(snmp-user)# authentication key ascii-text 123456789
Определим алгоритм шифрования передаваемых данных:
esr(snmp-user)# privacy algorithm aes128
Устанавим пароль для шифрования передаваемых данных:
esr(snmp-user)# privacy key ascii-text 123456789
Активируем SNMPv3-пользователя :
esr(snmp-user)# enable
Определяем сервер-приемник Trap-PDU сообщений:
esr(config)# snmp-server host 192.168.52.41
Изменения конфигурации вступят в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Проблема. Порты XG в down после конфигурирования LACP на ESR-1000
Решение. По умолчанию на port-channel установлен режим: speed 1000M, необходимо выставить: speed 10Gесли в port-channel включаем XG интерфейсы.
esr(config)# interface port-channel 1
esr(config-port-channel)# speed 10G
Изменения конфигурации вступают в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Проблема.
Не удалось получить маршруты по BGP и/или OSPF, сконфигурированных в VRF. Соседство успешно устанавливается, но в записи маршрутов в RIB отказано:
%ROUTING-W-KERNEL: Can not install route. Reached the maximum number of BGP routes in the RIB
Решение.
Необходимо выделить ресурс RIB для VRF, по умолчанию он равен нулю. Делаем это в режиме конфигурирования VRF:
esr(config)# ip vrf <NAME>
esr(config-vrf)# ip protocols ospf max-routes 12000
esr(config-vrf)# ip protocols bgp max-routes 1200000
esr(config-vrf)# end
Изменения конфигурации вступают в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Настроим аутентификацию сессии OSPF с использованием алгоритма MD5:
Настроим key-chain, содержащий необходимый пароль для аутентификации:
esr(config)# key-chain auth_ospf
esr(config-keychain)# key 1
esr(config-keychain-key)# key-string ascii-text password
Дополняем конфигурацию на необходимом интерфейсе:
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip ospf authentication algorithm md5
esr(config-if-gi)# ip ospf authentication key-chain auth_ospf
Изменения конфигурации вступят в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
VRF (Virtual Routing and Forwarding) – технология, которая позволяет изолировать маршрутную информацию, принадлежащую различным классам (например, маршруты одного клиента).
Рисунок 1 – Схема сети
Задача: К маршрутизатору серии ESR подключены 2 сети, которые необходимо изолировать от остальных сетей.
Решение:
Создадим VRF:
esr(config)# ip vrf bit
esr(config-vrf)# exit
Создадим зону безопасности:
esr(config)# security zone vrf-sec
esr(config-zone)# ip vrf forwarding bit
esr(config-zone)# exit
Создадим правило для пары зон и разрешим любой TCP/UDP-трафик:
esr(config)# security zone-pair vrf-sec vrf-sec
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address any
esr(config-zone-rule)# match protocol udp
esr(config-zone-rule)# match source-port any
esr(config-zone-rule)# match destination-port any
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# rule 2
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address any
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-port any
esr(config-zone-rule)# match destination-port any
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
Создадим привязку интерфейсов, назначим IP-адреса, укажем принадлежность к зоне:
esr(config)# interface gigabitethernet 1/0/7
esr(config-if-gi)# ip vrf forwarding bit
esr(config-if-gi)# ip address 10.20.0.1/24
esr(config-if-gi)# security-zone vrf-sec
esr(config-if-gi)# exit
esr(config)# interface gigabitethernet 1/0/14.10
esr(config-subif)# ip vrf forwarding bit
esr(config-subif)# ip address 10.30.0.1/16
esr(config-subif)# security-zone vrf-sec
esr(config-subif)# exit
esr(config)# exit
Изменения конфигурации вступят в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Информацию об интерфейсах, привязанных к VRF, можно посмотреть командой:
esr# show ip vrf
Таблицу маршрутов VRF можно просмотреть с помощью команды:
esr# show ip route vrf bit
Netflow — сетевой протокол, предназначенный для учета и анализа трафика. Netflow позволяет передавать данные о трафике (адрес отправителя и получателя, порт, количество информации и др.) с сетевого оборудования (сенсора) на коллектор. В качестве коллектора может использоваться обычный сервер.
Задача: Организовать учет трафика с интерфейса gi1/0/1 для передачи на сервер через интерфейс gi1/0/8 для обработки.
Рисунок 1 – Схема сети
Решение:
Предварительно нужно выполнить следующие действия:
На интерфейсах gi1/0/1, gi1/0/8 отключить firewall командой «ip firewall disable». (С версии ПО 1.1.0 необязательно отключать firewall)
Назначить IP-адреса на портах.
Основной этап конфигурирования:
Укажем IP-адрес коллектора:
esr(config)# netflow collector 10.10.0.2
Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1/0/1:
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip netflow export
Активируем netflow на маршрутизаторе.:
еsr(config)# netflow enable
Изменения конфигурации вступят в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Для просмотра статистики Netflow используется команда:
esr# show netflow statistics
QoS (Quality of Service) – технология предоставления различным классам трафика различных приоритетов в обслуживании. Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.
Задача: Классифицировать приходящий трафик по подсетям (10.0.11.0/24, 10.0.12.0/24), произвести маркировку по DSCP (38 и 42) и произвести разграничение по подсетям (40 Мбит/с и 60 Мбит/с), ограничить общую полосу до 250 Мбит/с, остальной трафик обрабатывать через механизм SFQ.
Рисунок 1 – Схема сети
Решение:
Настроим списки доступа для фильтрации по подсетям, выходим в глобальный режим конфигурации:
esr(config)# ip access-list extended fl1
esr(config-acl)# rule 1
esr(config-acl-rule)# action permit
esr(config-acl-rule)# match protocol any
esr(config-acl-rule)# match source-address 10.0.11.0 255.255.255.0
esr(config-acl-rule)# match destination-address any
esr(config-acl-rule)# enable
esr(config-acl-rule)# exit
esr(config-acl)# exit
esr(config)# ip access-list extended fl2
esr(config-acl)# rule 1
esr(config-acl-rule)# action permit
esr(config-acl-rule)# match protocol any
esr(config-acl-rule)# match source-address 10.0.12.0 255.255.255.0
esr(config-acl-rule)# match destination-address any
esr(config-acl-rule)# enable
esr(config-acl-rule)# exit
esr(config-acl)# exit
Создаем классы fl1 и fl2, указываем соответствующие списки доступа, настраиваем маркировку:
esr(config)# class-map fl1
esr(config-class-map)# set dscp 38
esr(config-class-map)# match access-group fl1
esr(config-class-map)# exit
esr(config)# class-map fl2
esr(config-class-map)# set dscp 42
esr(config-class-map)# match access-group fl2
esr(config-class-map)# exit
Создаём политику и определяем ограничение общей полосы пропускания:
esr(config)# policy-map fl
esr(config-policy-map)# shape average 250000
Осуществляем привязку класса к политике, настраиваем ограничение полосы пропускания и выходим:
esr(config-policy-map)# class fl1
esr(config-class-policy-map)# shape average 40000
esr(config-class-policy-map)# exit
esr(config-policy-map)# class fl2
esr(config-class-policy-map)# shape average 60000
esr(config-class-policy-map)# exit
Для другого трафика настраиваем класс с режимом SFQ:
esr(config-policy-map)# class class-default
esr(config-class-policy-map)# mode sfq
esr(config-class-policy-map)# fair-queue 800
esr(config-class-policy-map)# exit
esr(config-policy-map)# exit
Включаем QoS на интерфейсах, политику на входе интерфейса gi 1/0/19 для классификации и на выходе gi1/0/20 для применения ограничений и режима SFQ для класса по умолчанию:
esr(config)# interface gigabitethernet 1/0/19
esr(config-if-gi)# qos enable
esr(config-if-gi)# service-policy input fl
esr(config-if-gi)# exit
esr(config)# interface gigabitethernet 1/0/20
esr(config-if-gi)# qos enable
esr(config-if-gi)# service-policy output fl
esr(config-if-gi)# exit
Изменения конфигурации вступят в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Для просмотра статистики используется команда:
esr# do show qos policy statistics gigabitethernet 1/0/20
Проблема.
После внесения изменений в правилах обработки трафика, проходящего между зонами безопасности Firewall, новые параметры не отрабатывают для ранее активных сессий.
Решение. Все изменения, внесенные в конфигурацию Firewall, применимы только для новых сессий. На ранее активные сессии новые параметры не повлияют.
Рекомендуется очистить активные сессии, после применения изменений параметров Firewall, командой:
esr# clear ip firewall session
Базовый QoS
QoS (Quality of Service) – технология предоставления различным классам трафика различных приоритетов в обслуживании. Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.
Задача: Настроить следующие ограничения на интерфейсе gigabitethernet 1/0/8: передавать трафик с DSCP 22 в восьмую приоритетную очередь, трафик с DSCP 14 в седьмую взвешенную очередь, установить ограничение по скорости в 60 Мбит/с для седьмой очереди.
Рисунок 1 – Схема сети
Решение:
Для того чтобы восьмая очередь стала приоритетной, а с первой по седьмую взвешенной, ограничим количество приоритетных очередей до 1:
esr(config)# priority-queue out num-of-queues 1
Перенаправим трафик с DSCP 22 в восьмую приоритетную очередь:
esr(config)# qos map dscp-queue 22 to 8
Перенаправим трафик с DSCP 14 в седьмую взвешенную очередь:
esr(config)# qos map dscp-queue 14 to 7
Включим QoS на входящем интерфейсе со стороны LAN:
esr(config)# interface gigabitethernet 1/0/5
esr(config-if-gi)# qos enable
esr(config-if-gi)# exit
Включим QoS на интерфейсе со стороны WAN:
esr(config)# interface gigabitethernet 1/0/8
esr(config-if-gi)# qos enable
Установим ограничение по скорости в 60Мбит/с для седьмой очереди:
esr(config-if)# traffic-shape queue 7 60000
esr(config-if)# exit
Изменения конфигурации вступят в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Просмотреть статистику по QoS можно командой (только для ESR-100/ESR-200):
esr# show qos statistics gigabitethernet 1/0/8
Firewall – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Задача: Разрешить обмен сообщениями по протоколу ICMP между устройствами ПК1, ПК2 и маршрутизатором ESR.
Рисунок 1 - схема сети.
Решение:
Для каждой сети ESR создадим свою зону безопасности:
esr# configure
esr(config)# security zone LAN
esr(config-zone)# exit
esr(config)# security zone WAN
esr(config-zone)# exit
Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:
esr(config)# interface gi1/0/2
esr(config-if-gi)# ip address 192.168.12.2/24
esr(config-if-gi)# security-zone LAN
esr(config-if-gi)# exit
esr(config)# interface gi1/0/3
esr(config-if-gi)# ip address 192.168.23.2/24
esr(config-if-gi)# security-zone WAN
esr(config-if-gi)# exit
Для настройки правил зон безопасности потребуется создать профиль адресов сети «LAN», включающий адреса, которым разрешен выход в сеть «WAN», и профиль адресов сети «WAN».
esr(config)# object-group network WAN
esr(config-object-group-network)# ip address-range 192.168.23.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN
esr(config-object-group-network)# ip address-range 192.168.12.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.12.1
esr(config-object-group-network)# exit
esr(config)# object-group network WAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.23.3
esr(config-object-group-network)# exit
Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК1 к ПК2. Действие правил разрешается командой enable:
esr(config)# security zone-pair LAN WAN
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address WAN
esr(config-zone-rule)# match source-address LAN
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
Для пропуска трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК2 к ПК1. Действие правил разрешается командой enable:
esr(config)# security zone-pair WAN LAN
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address LAN
esr(config-zone-rule)# match source-address WAN
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Создадим пару зон для трафика, идущего из зоны «WAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК2 и маршрутизатором ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «WAN»:
esr(config)# security zone-pair WAN self
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address WAN
esr(config-zone-rule)# match source-address WAN_GATEWAY
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
Создадим пару зон для трафика, идущего из зоны «LAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:
esr(config)# security zone-pair LAN self
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address LAN
esr(config-zone-rule)# match source-address LAN_GATEWAY
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
esr(config)# exit
Изменения конфигурации вступят в действие по следующим командам:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Посмотреть членство портов в зонах можно с помощью команды:
esr# show security zone
Посмотреть пары зон и их конфигурацию можно с помощью команд:
esr# show security zone-pair
esr# show security zone-pair configuration
Посмотреть активные сессии можно с помощью команд:
esr# show ip firewall sessions
Bridge (мост) — это способ соединения двух сегментов Ethernet на канальном уровне без использования протоколов более высокого уровня, таких как IP. Пакеты передаются на основе Ethernet-адресов, а не IP-адресов. Поскольку передача выполняется на канальном уровне (уровень 2 модели OSI), трафик протоколов более высокого уровня прозрачно проходит через мост.
Задача №1
Объединить в единый L2 домен интерфейсы маршрутизатора, относящиеся к локальной сети, и L2TPv3-туннель, проходящий по публичной сети. Для объединения использовать VLAN 333.
Рисунок 1 - схема сети.
Решение:
Создадим VLAN 333:
esr(config)# vlan 333
esr(config-vlan)# exit
Создадим зону безопасности «trusted»:
esr(config)# security-zone trusted
esr(config-zone)# exit
Добавим интерфейсы gi1/0/11, gi1/0/12 в VLAN 333:
esr(config)# interface gigabitethernet 1/0/11-12
esr(config-if)# switchport general allowed vlan add 333 tagged
Создадим bridge 333, привяжем к нему VLAN 333 и укажем членство в зоне «trusted»:
esr(config)# bridge 333
esr(config-bridge)# vlan 333
esr(config-bridge)# security-zone trusted
esr(config-bridge)# enable
Установим принадлежность L2TPv3-туннеля к мосту, который связан с локальной сетью (настройка L2TPv3-туннеля рассматривается в разделе 7.18). В общем случае идентификаторы моста и туннеля не должны совпадать с VID как в данном примере.
esr(config)# tunnel l2tpv3 333
esr(config-l2tpv3)# bridge-group 333
Задача №2
Настроить маршрутизацию между VLAN 50 (10.0.50.0/24) и VLAN 60 (10.0.60.1/24). VLAN 50 должен относиться к зоне «LAN1», VLAN 60 – к зоне «LAN2», разрешить свободную передачу трафика между зонами.
Решение:
Создадим VLAN 50, 60:
esr(config)# vlan 50,60
esr(config-vlan)# exit
Создадим зоны безопасности «LAN1» и «LAN2»:
esr(config)# security-zone LAN1
esr(config-zone)# exit
esr(config)# security-zone LAN2
esr(config-zone)# exit
Назначим интерфейсам gi1/0/11, gi1/0/12 VLAN 50:
esr(config)# interface gigabitethernet 1/0/11-12
esr(config-if-gi)# switchport general allowed vlan add 50 tagged
Назначим интерфейсу gi1/0/14 VLAN 60:
esr(config)# interface gigabitethernet 1/0/14
esr(config-if-gi)# switchport general allowed vlan add 60 tagged
Создадим bridge 50, привяжем VLAN 50, укажем IP-адрес 10.0.50.1/24 и членство в зоне «LAN1»:
esr(config)# bridge 50
esr(config-bridge)# vlan 50
esr(config-bridge)# ip address 10.0.50.1/24
esr(config-bridge)# security-zone LAN1
esr(config-bridge)# enable
Создадим bridge 60, привяжем VLAN 60, укажем IP-адрес 10.0.60.1/24 и членство в зоне «LAN2»:
esr(config)# bridge 60
esr(config-bridge)# vlan 60
esr(config-bridge)# ip address 10.0.60.1/24
esr(config-bridge)# security-zone LAN2
esr(config-bridge)# enable
Создадим правила в Firewall, разрешающие свободное прохождение трафика между зонами:
esr(config)# security zone-pair LAN1 LAN2
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol any
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address any
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
esr(config)# security zone-pair LAN2 LAN1
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol any
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address any
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
esr(config)# exit
Изменения конфигурации вступят в действие по следующим командам:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Посмотреть членство интерфейсов в мосте можно командой:
esr# show interfaces bridge
LACP — протокол для агрегирования каналов, позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала.
Задача: Настроить агрегированный канал между маршрутизатором ESR и коммутатором.
Рисунок 1 – Схема сети
Решение:
Предварительно нужно выполнить следующие настройки:
На интерфейсах gi1/0/1, gi1/0/2 отключить зону безопасности командой «no security-zone».
Основной этап конфигурирования:
Cоздадим интерфейс port-channel 2:
esr(config)# interface port-channel 2
Включим физические интерфейсы gi1/0/1, gi1/0/2 в созданную группу агрегации каналов:
esr(config)# interface gigabitethernet 1/0/1-2
esr(config-if-gi)# channel-group 2 mode auto
Изменения конфигурации вступят в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Дальнейшая конфигурация port-channel проводится как на обычном физическом интерфейсе.
VRRP (Virtual Router Redundancy Protocol) — сетевой протокол, предназначенный для увеличения доступности маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего IP-адреса, который и будет использоваться как шлюз по умолчанию для компьютеров в сети.
Задача 1: Организовать виртуальный шлюз для локальной сети в VLAN 50, используя протокол VRRP. В качестве локального виртуального шлюза используется IP адрес 192.168.1.1
Рисунок 1 – Схема сети
Решение:
Предварительно нужно выполнить следующие действия:
создать соответствующий саб-интерфейс;
настроить зону для саб-интерфейса;
указать IP-адрес для саб-интерфейса.
Основной этап конфигурирования:
Настроим маршрутизатор R1.
В созданном саб-интерфейсе настроим VRRP. Укажем уникальный идентификатор VRRP:
R1(config)# interface gi 1/0/5.50
R1(config-subif)# vrrp id 10
Укажем IP-адрес виртуального шлюза 192.168.1.1/24:
R1(config-subif)# vrrp ip 192.168.1.1
Включим VRRP:
R1(config-subif)# vrrp
R1(config-subif)# exit
Изменения конфигурации вступят в действие после применения:
R1# commit
Configuration has been successfully committed
R1# confirm
Configuration has been successfully confirmed
Произвести аналогичные настройки на R2.
Задача 2: Организовать виртуальные шлюзы для подсети 192.168.20.0/24 в VLAN 50 и подсети 192.168.1.0/24 в VLAN 60, используя протокол VRRP c функцией синхронизации Мастера. Для этого используем объединение VRRP-процессов в группу. В качестве виртуальных шлюзов используются IP-адреса 192.168.1.1 и 192.168.20.1.
Рисунок 2 – Схема сети
Решение:
Предварительно нужно выполнить следующие действия:
создать соответствующие саб-интерфейсы;
настроить зону для саб-интерфейсов;
указать IP-адреса для саб-интерфейсов.
Основной этап конфигурирования:
Настроим маршрутизатор R1.
Настроим VRRP для подсети 192.168.1.0/24 в созданном саб-интерфейсе.
Укажем уникальный идентификатор VRRP:
R1(config-sub)# interface gi 1/0/5.50
R1(config-subif)# vrrp id 10
Укажем IP-адрес виртуального шлюза 192.168.1.1:
R1(config-subif)# vrrp ip 192.168.1.1
Укажем идентификатор VRRP-группы:
R1(config-subif)# vrrp group 5
Включим VRRP:
R1(config-subif)# vrrp
R1(config-subif)# exit
Настроим VRRP для подсети 192.168.20.0/24 в созданном саб-интерфейсе.
Укажем уникальный идентификатор VRRP:
R1(config-sub)# interface gi 1/0/6.60
R1(config-subif)# vrrp id 20
Укажем IP-адрес виртуального шлюза 192.168.20.1:
R1(config-subif)# vrrp ip 192.168.20.1
Укажем идентификатор VRRP-группы:
R1(config-subif)# vrrp group 5
Включим VRRP:
R1(config-subif)# vrrp
R1(config-subif)# exit
Изменения конфигурации вступят в действие после применения:
R1# commit
Configuration has been successfully committed
R1# confirm
Configuration has been successfully confirmed
Произвести аналогичные настройки на R2.
RIP — дистанционно-векторный протокол динамической маршрутизации, который использует количество транзитных участков в качестве метрики маршрута. Максимальное количество транзитных участков (hop), разрешенное в RIP, равно 15. Каждый RIP-маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд. RIP работает на 3-м уровне стека TCP/IP, используя UDP-порт 520.
Задача: Настроить на маршрутизаторе протокол RIP для обмена маршрутной информацией с соседними маршрутизаторами. Маршрутизатор должен анонсировать статические маршруты и подсети 115.0.0.0/24, 14.0.0.0/24, 10.0.0.0/24. Анонсирование маршрутов должно происходить каждые 25 секунд.
Рисунок 1 - Схема сети.
Решение:
Предварительно нужно настроить IP-адреса на интерфейсах согласно схеме сети, приведенной на рисунке 1.
Перейдём в режим конфигурирования протокола RIP:
esr(config)# router rip
Укажем подсети, которые будут анонсироваться протоколом: 115.0.0.0/24, 14.0.0.0/24 и 10.0.0.0/24:
esr(config-rip)# network 115.0.0.0/24
esr(config-rip)# network 14.0.0.0/24
esr(config-rip)# network 10.0.0.0/24
Для анонсирования протоколом статических маршрутов выполним команду:
esr(config-rip)# redistribute static
Настроим таймер, отвечающий за отправку маршрутной информации:
esr(config-rip)# timers update 25
После установки всех требуемых настроек включаем протокол:
esr(config-rip)# enable
Изменения конфигурации вступят в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Для того чтобы просмотреть таблицу маршрутов RIP воспользуемся командой:
esr# show ip rip
Помимо настройки протокола RIP, необходимо в firewall разрешить UDP-порт 520.
В маршрутизаторах серии ESR реализована возможность анализировать трафик на интерфейсах из CLI. Сниффер запускается командой monitor.
esr# monitor gigabitethernet 1/0/1
Для удобства использования организована возможность фильтрации вывода, например:
esr# monitor gigabitethernet 1/0/1 ?
destination-address Filter by destination IP address
detailed Detailed output
packets Count packets
protocol Choose protocol type
source-address Filter by source IP address
<cr>
esr# monitor gigabitethernet 1/0/1 protocol ?
0-255 Filter by IP protocol number
RDP Filter by RDP protocol
ah Filter by AH protocol
arp Filter by ARP protocol
eigrp Filter by EIGRP protocol
esp Filter by ESP protocol
gre Filter by GRE protocol
icmp Filter by ICMP protocol
icmp6 Filter by ICMP6 protocol
igmp Filter by IGMP protocol
igrp Filter by IGRP protocol
ipip Filter by IPIP protocol
l2tp Filter by L2TP protocol
ospf Filter by OSPF protocol
pim Filter by PIM protocol
tcp Filter by TCP protocol
udp Filter by UDP protocol
vrrp Filter by VRRP protocol
Зеркалирование трафика — функция маршрутизатора, предназначенная для перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора (локальное зеркалирование) или на удаленное устройство (удаленное зеркалирование).
Задача: Организовать удаленное зеркалирование трафика по VLAN 50 с интерфейса gi1/0/11 для передачи на сервер для обработки.
Рисунок 1 – Схема сети
Решение:
Предварительно нужно выполнить следующие действия:
Создать VLAN 50;
На интерфейсе gi 1/0/5 добавить VLAN 50 в режиме general.
Основной этап конфигурирования:
Укажем VLAN, по которой будет передаваться зеркалированный трафик:
еsr1000(config)# port monitor remote vlan 50
На интерфейсе gi 1/0/5 укажем порт для зеркалирования:
еsr1000(config)# interface gigabitethernet 1/0/5
еsr1000(config-if-gi)# port monitor interface gigabitethernet 1/0/11
Укажем на интерфейсе gi 1/0/5 режим удаленного зеркалирования:
еsr1000(config-if-gi)# port monitor remote
Изменения конфигурации вступят в действие после применения:
esr1000# commit
Configuration has been successfully committed
esr1000# confirm
Configuration has been successfully confirmed
В случае организации сети с ассиметричной маршрутизацией, Firewall будет запрещать "неправильный (ошибочный)" входящий трафик (не открывающий новое соединение и не принадлежащий никакому установленному соединению) из соображений безопасности.
Разрешающее правило в Firewall, так же не решит поставленную задачу для подобных схем.
Решить задачу можно, отключив Firewall на входном интерфейсе:
esr(config-if-gi)# ip firewall disable
Изменения конфигурации вступают в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Статическая маршрутизация – вид маршрутизации, при котором маршруты указываются в явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации.
Задача: Настроить доступ к сети Internet для пользователей локальной сети 192.168.1.0/24 и 10.0.0.0/8, используя статическую маршрутизацию. На устройстве R1 создать шлюз для доступа к сети Internet. Трафик внутри локальной сети должен маршрутизироваться внутри зоны LAN, трафик из сети Internet должен относиться к зоне WAN.
Рисунок 1 - схема сети.
Решение:
Зададим имя устройства для маршрутизатора R1:
esr# hostname R1
esr#(config)# do commit
R1#(config)# do confirm
Для интерфейса gi1/0/1 укажем адрес 192.168.1.1/24 и зону «LAN». Через данный интерфейс R1 будет подключен к сети 192.168.1.0/24:
R1(config)# interface gi1/0/1
R1(config-if-gi)# security-zone LAN
R1(config-if-gi)# ip address 192.168.1.1/24
R1(config-if-gi)# exit
Для интерфейса gi1/0/2 укажем адрес 192.168.100.1/30 и зону «LAN». Через данный интерфейс R1 будет подключен к устройству R2 для последующей маршрутизации трафика:
R1(config)# interface gi1/0/2
R1(config-if-gi)# security-zone LAN
R1(config-if-gi)# ip address 192.168.100.1/30
R1(config-if-gi)# exit
Для интерфейса gi1/0/3 укажем адрес 128.107.1.2/30 и зону «WAN». Через данный интерфейс R1 будет подключен к сети Internet:
R1(config)# interface gi1/0/3
R1(config-if-gi)# security-zone WAN
R1(config-if-gi)# ip address 128.107.1.2/30
R1(config-if-gi)# exit
Создадим маршрут для взаимодействия с сетью 10.0.0.0/8, используя в качестве шлюза устройство R2 (192.168.100.2):
R1(config)# ip route 10.0.0.0/8 192.168.100.2
Создадим маршрут для взаимодействия с сетью Internet, используя в качестве nexthop шлюз провайдера (128.107.1.1):
R1(config)# ip route 0.0.0.0/0 128.107.1.1
Изменения конфигурации на маршрутизаторе R1 вступят в действие по следующим командам:
R1# commit
Configuration has been successfully committed
R1# confirm
Configuration has been successfully confirmed
Зададим имя устройства для маршрутизатора R2:
esr# hostname R2
esr#(config)# do commit
R2#(config)# do confirm
Для интерфейса gi1/0/1 укажем адрес 10.0.0.1/8 и зону «LAN». Через данный интерфейс R2 будет подключен к сети 10.0.0.0/8:
R2(config)# interface gi1/0/1
R2(config-if-gi)# security-zone LAN
R2(config-if-gi)# ip address 10.0.0.1/8
R2(config-if-gi)# exit
Для интерфейса gi1/0/2 укажем адрес 192.168.100.2/30 и зону «LAN». Через данный интерфейс R2 будет подключен к устройству R1 для последующей маршрутизации трафика:
R2(config)# interface gi1/0/2
R2(config-if-gi)# security-zone LAN
R2(config-if-gi)# ip address 192.168.100.2/30
R2(config-if-gi)# exit
Создадим маршрут по умолчанию, указав в качестве nexthop IP-адрес интерфейса gi1/0/2 маршрутизатора R1 (192.168.100.1):
R2(config)# ip route 0.0.0.0/0 192.168.100.1
Изменения конфигурации на маршрутизаторе R2 вступят в действие по следующим командам:
R2# commit
Configuration has been successfully committed
R2# confirm
Configuration has been successfully confirmed
Проверить таблицу маршрутов можно командой:
esr# show ip route
В случае, если DHCP-клиент не имеет возможности обратиться к DHCP-серверу напрямую (например, если они находятся в разных широковещательных доменах), используется так называемый DHCP-ретранслятор (relay agent), который обрабатывает клиентский широковещательный DHCP-запрос и отправляет его на DHCP-сервер в виде unicast пакета, а полученный от DHCP-сервера ответ, в свою очередь, перенаправляет DHCP-клиенту.
Предварительно необходимо сконфигурировать интерфейсы:
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip address 10.0.0.1/24
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)# ip address 192.168.0.1/24
Настройки DHCP-ретранслятора на ESR сводятся к:
1. Включению DHCP relay глобально на устройстве командой
esr(config)# ip dhcp-relay
2. Указанию на интерфейсе со стороны DHCP-клинта IP адреса DHCP-сервера, на который будут перенаправляться клиентские запросы.
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)# ip helper-address 10.0.0.2
Чтобы изменения вступили в силу, необходимо ввести следующие команды:
esr# commit
Configuration has been commited
esr# confirm
Configuration has been confirmed
VRRP tracking — механизм позволяющий активировать статические маршруты в зависимости от состояния VRRP.
Задача: Для подсети 192.168.0.0/24 организован виртуальный шлюз 192.168.0.1/24 с использованием протокола VRRP на основе аппаратных маршрутизаторов R1 и R2. Так же между маршрутизаторами R1 и R2 есть линк с вырожденной подсетью 192.168.1.0/30. Подсеть 10.0.1.0/24 терминируется только на маршрутизаторе R2. ПК имеет IP адрес 192.168.0.4/24 и шлюз по умолчанию 192.168.0.1
Когда маршрутизатор R1 находится в состоянии vrrp backup, трафик от ПК в подсеть 10.0.1.0/24 пойдет без дополнительных настроек. Когда маршрутизатор R1 находится в состоянии vrrp master, необходим дополнительный маршрут для подсети 10.0.1.0/24 через интерфейс 192.168.1.2.
Рисунок 1 – Схема сети
Исходные конфигурации маршрутизаторов:
Маршрутизатор R1
hostname R1
interface gigabitethernet 1/0/1
switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/1.741
ip firewall disable
ip address 192.168.0.2/24
vrrp ip 192.168.0.1/24
vrrp
exit
interface gigabitethernet 1/0/2
switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/2.742
ip firewall disable
ip address 192.168.1.1/30
exit
Маршрутизатор R2
hostname R2
interface gigabitethernet 1/0/1
switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/1.741
ip firewall disable
ip address 192.168.0.3/24
vrrp id 10
vrrp ip 192.168.0.1/24
vrrp
exit
interface gigabitethernet 1/0/2
switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/2.742
ip firewall disable
ip address 192.168.1.2/30
exit
interface gigabitethernet 1/0/4
ip firewall disable
ip address 10.0.1.1/24
exit
Решение:
На маршрутизаторе R2 никаких изменений не требуется, так как подсеть 10.0.1.0/24 терминируется на нем, и в момент, когда R1 выступает в роли vrrp master, пакеты будут переданы в соответствующий интерфейс. На маршрутизаторе необходимо создать маршрут для пакетов с IP адресом назначения из сети 10.0.1.0/24 в момент, когда R1 выступает в роли vrrp master.
Для этого создадим tracking-ogject с соответствующим условием:
R1(config)# tracking 1
R1(config-tracking)# vrrp 10 state master
R1(config-tracking)# enable
R1(config-tracking)# exit
Создадим статический маршрут в подсеть 10.0.1.0/24 через 192.168.1.2, который будет работать в случае удовлетворения условия из tracking 1:
R1(config)# ip route 10.0.1.0/24 192.168.1.2 track 1
Dual-Homing – технология резервирования соединений, позволяет организовать надежное соединение ключевых ресурсов сети на основе наличия резервных линков.
Задача: Организовать резервирование L2-соединений маршрутизатора ESR для VLAN 50-55 через устройства SW1 и SW2.
Рисунок 1 – Схема сети
Решение:
1. Предварительно нужно выполнить следующие действия:
Создадим VLAN 50-55:
esr-1000(config)# vlan 50-55
Необходимо отключить STP на интерфейсах gigabitethernet 1/0/9 и gigabitethernet 1/0/10, так как совместная работа данных протоколов невозможна:
esr-1000(config)# interface gigabitethernet 1/0/9-10
esr-1000(config-if-gi)# spanning-tree disable
Интерфейсы gigabitethernet 1/0/9 и gigabitethernet 1/0/10 добавим в VLAN 50-55 в режиме general.
esr-1000(config-if-gi)# switchport general allowed vlan add 50-55
esr-1000(config-if-gi)# exit
2. Основной этап конфигурирования:
Сделаем интерфейс gigabitethernet 1/0/10 резервным для gigabitethernet 1/0/9:
esr-1000(config)# interface gigabitethernet 1/0/9
esr-1000(config-if-gi)# backup interface gigabitethernet 1/0/10 vlan 50-55
Изменения конфигурации вступят в действие после применения:
esr-1000# commit
Configuration has been successfully committed
esr-1000# confirm
Configuration has been successfully confirmed
Просмотреть информацию о резервных интерфейсах можно командой:
esr-1000# show interfaces backup
IPsec – это набор протоколов, которые обеспечивают защиту передаваемых с помощью IP-протокола данных. Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
Рисунок 1 – Схема сети
Задача: Настроить IPsec-туннель между R1 и R2.
R1 IP адрес - 120.11.5.1;
R2 IP адрес - 180.100.0.1;
IKE:
группа Диффи-Хэллмана: 2;
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5.
IPSec:
алгоритм шифрования: AES 128 bit;
алгоритм аутентификации: MD5.
Решение:
1. Конфигурирование R1
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
esr# configure
esr(config)# interface gi 1/0/1
esr(config-if-gi)# ip address 120.11.5.1/24
esr(config-if-gi)# security-zone untrusted
esr(config-if-gi)# exit
Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:
esr(config)# tunnel vti 1
esr(config-vti)# local address 120.11.5.1
esr(config-vti)# remote address 180.100.0.1
esr(config-vti)# enable
esr(config-vti)# exit
Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:
esr(config)# object-group service ISAKMP
esr(config-object-group-service)# port-range 500
esr(config-object-group-service)# exit
Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:
esr(config)# ip route 10.0.0.0/16 tunnel vti 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# mode route-based
esr(config-ike-gw)# bind-interface vti 1
esr(config-ike-gw)# version v2-only
esr(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel immediate
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit
2. Конфигурирование R2
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
esr# configure
esr(config)# interface gi 1/0/1
esr(config-if)# ip address 180.100.0.1/24
esr(config-if)# security-zone untrusted
esr(config-if)# exit
Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:
esr(config)# tunnel vti 1
esr(config-vti)# remote address 120.11.5.1
esr(config-vti)# local address 180.100.0.1
esr(config-vti)# enable
esr(config-vti)# exit
Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:
esr(config)# object-group service ISAKMP
esr(config-addr-set)# port-range 500
esr(config-addr-set)# exit
Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:
esr(config)# ip route 10.0.0.0/16 tunnel vti 1
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# exit
Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# mode route-based
esr(config-ike-gw)# bind-interface vti 1
esr(config-ike-gw)# version v2-only
esr(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec туннеля:
esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel immediate
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit
Состояние туннеля можно посмотреть командой:
esr# show security ipsec vpn status ipsec1
Конфигурацию туннеля можно посмотреть командой:
esr# show security ipsec vpn configuration ipsec1
GRE (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты. GRE может использоваться для организации VPN на 3-м уровне модели OSI. В маршрутизаторе ESR реализованы статические неуправляемые GRE-туннели, то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах. Параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером.
Задача: Организовать L3-VPN между офисами компании через IP-сеть, используя для туннелирования трафика протокол GRE.
в качестве локального шлюза для туннеля используется IP-адрес 115.0.0.1;
в качестве удаленного шлюза для туннеля используется IP-адрес 114.0.0.10;
IP-адрес туннеля на локальной стороне 25.0.0.1/24
Рисунок 1 – Схема сети
Решение:
Создадим туннель GRE 10:
esr(config)# tunnel gre 10
Укажем локальный и удаленный шлюз (IP-адреса интерфейсов, граничащих с WAN):
esr(config-gre)# local address 115.0.0.1
esr(config-gre)# remote address 114.0.0.10
Укажем IP-адрес туннеля 25.0.0.1/24:
esr(config-gre)# ip address 25.0.0.1/24
Также туннель должен принадлежать к зоне безопасности, для того чтобы можно было создать правила, разрешающие прохождение трафика в firewall. Принадлежность туннеля к зоне задается следующей командой:
esr(config-gre)# security-zone untrusted
Включим туннель:
esr(config-gre)# enable
esr(config-gre)# exit
На маршрутизаторе должен быть создан маршрут до локальной сети партнера. В качестве интерфейса назначения указываем ранее созданный туннель GRE:
esr(config)# ip route 172.16.0.0/16 tunnel gre 10
Для применения изменений конфигурации выполним следующие команды:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
После применения настроек трафик будет инкапсулироваться в туннель и отправляться партеру, независимо от наличия GRE-туннеля и правильности настроек с его стороны.
Опционально для GRE-туннеля можно указать следующие параметры:
Включить вычисление и включение в пакет контрольной суммы заголовка GRE и инкапсулированного пакета для исходящего трафика:
esr(config-gre)# local checksum
Включить проверку наличия и корректности контрольной суммы GRE для входящего трафика:
esr(config-gre)# remote checksum
Указать уникальный идентификатор:
esr(config-gre)# key 15808
Указать значение DSCP, MTU, TTL:
esr(config-gre)# dscp 44
esr(config-gre)# mtu 1426
esr(config-gre)# ttl 18
Состояние туннеля можно посмотреть командой:
esr# show tunnels status gre 10
Счетчики входящих и отправленных пакетов можно посмотреть командой:
esr# show tunnels counters gre 10
Конфигурацию туннеля можно посмотреть командой:
esr# show tunnels configuration gre 10
Настройка туннеля IPv4-over-IPv4 производится аналогичным образом.
Задача: Необходимо связать разные VLAN в одну подсеть на уровне L2 - объеденить в бродкаст домен.
Решение:
Для решения поставленной задачи будем использовать бридж и саб интерфейсы (число саб интерфейсов соответствует числу VLAN ID, которые необходимо объеденить, в примере их два).
1) на маршрутизаторе создаем бридж:
bridge 3
ip firewall disable
enable
exit
2) создаем на маршрутизаторе саб интерфейсы и привязываем их к бриджу:
interface gigabitethernet 1/0/4.1001
bridge-group 3
exit
interface gigabitethernet 1/0/4.1002
bridge-group 3
exit
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Теперь фреймы ( в том числе броадкаст) будут распространяться между VLAN 1001 и 1002.
Примечание: На bridge 3 можно навесить IP адрес и внести его в зону безопасности или оставить firewall отключенным:
bridge 3
security-zone trusted
ip address 192.0.2.254/24
enable
exit
Теперь после применения конфигурации, IP 192.0.2.254 можно использовать, например, как шлюз для подсети из VLAN 1001 и 1002, и маршрутизировать трафик далее.
Рассмотрим пример конфигурации нескольких IPv4 адресов на одном порту (возможно внести до 8-ми адресов):
interface gigabitethernet 1/0/20
ip firewall disable
ip address 192.0.2.1/24
ip address 192.0.2.254/24
ip address 192.0.2.10/30
exit
Все IPv4 адреса, принадлежащие разным подсетям, будут являться primary. В нашем примере это 192.0.2.1 и 192.0.2.10.
Второй и все последующие IPv4 адреса из подсети /24 - это secondary адреса, в примере - 192.0.2.254.
Если на интерфейсе включить VRRP, без указания source ip, например:
interface gigabitethernet 1/0/20
ip firewall disable
ip address 192.0.2.1/24
ip address 192.0.2.254/24
ip address 192.0.2.10/30
vrrp id 100
vrrp ip 192.0.2.2
vrrp
exit
То в качестве адреса источника vrrp ip будет использоваться первый IPv4 адрес с интерфейса, проверим это, используя команду monitor (будем фильтровать по IP адресу назначения,т.к. для VRRP выделен адрес 224.0.0.18):
esr-1000# monitor gigabitethernet 1/0/20 destination-address 224.0.0.18
17:19:13.591043 00:00:5e:00:01:64 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 54: (tos 0xc0, ttl 255, id 18, offset 0, flags [none], proto VRRP (112), length 40)
192.0.2.1 > 224.0.0.18: vrrp 192.0.2.1 > 224.0.0.18: VRRPv2, Advertisement, vrid 100, prio 100, authtype none, intvl 1s, length 20, addrs: 192.0.2.2
17:19:14.592882 00:00:5e:00:01:64 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 54: (tos 0xc0, ttl 255, id 19, offset 0, flags [none], proto VRRP (112), length 40)
192.0.2.1 > 224.0.0.18: vrrp 192.0.2.1 > 224.0.0.18: VRRPv2, Advertisement, vrid 100, prio 100, authtype none, intvl 1s, length 20, addrs: 192.0.2.2
17:19:15.593250 00:00:5e:00:01:64 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 54: (tos 0xc0, ttl 255, id 20, offset 0, flags [none], proto VRRP (112), length 40)
192.0.2.1 > 224.0.0.18: vrrp 192.0.2.1 > 224.0.0.18: VRRPv2, Advertisement, vrid 100, prio 100, authtype none, intvl 1s, length 20, addrs: 192.0.2.2
3 packets captured
3 packets received by filter
0 packets dropped by kernel
В качестве адреса источника используется первый primary адрес - 192.0.2.1, что справедливо и для всех остальных случаев: например выполнение команды ping, traceroute и т.д.
При создании сабинтерфейса тип инкапсуляции и VLAN ID задается автоматически, индекc сабинтерфейса является идентификатором VID.
В заводской конфигурации (factory-config) прописан параметр:
ntp broadcast-client enable
Данной командой включается режим приёма широковещательных сообщений от NTP-серверов.
Маршрутизатор работает в качестве NTP-клиента. Если в конфигурации устройства заданы NTP пиры
и серверы, то в широковещательном режиме они игнорируются.
Соответственно, при указании NTP сервера дата и время не обновится.
ntp enable
ntp server 115.0.0.2
exit
Для устранения проблемы необходимо удалить ntp broadcast-client из конфигурации:
no ntp broadcast-client enable
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Firewall сервисного маршрутизатора ESR закрывает неактивные сессии, в том числе и сессий SSH/Telnet.
Для поддержания сессии в активном состоянии необходимо настроить передачу keepalive пакетов. Опция отправки keepalive настраивается в клиенте SSH, например для клиента PuTTY раздел “Соединение”.
В свою очередь, на маршрутизаторе можно выставить время ожидания до закрытия неактивных сессий TCP (в примере выставлен 1 час):
esr(config)# ip firewall sessions tcp-estabilished-timeout 3600
Изменения конфигурации вступают в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
В текущей релизной версия ПО - 1.2.0 доступны лицензии для функционала BRAS, Wi-Fi, wiSLA (активация SLA агента, используемого для мониторинга параметров качества канала связи).
Для установки лицензии необходимо файл лицензии загрузить на маршрутизатор с TFTP, FTP или SCP сервера:
esr# copy tftp://А.B.C.D:/NPXXXXXXXX.lic system:licence
esr# copy ftp://admin:password@А.B.C.D:/NPXXXXXXXX.lic system:licence
esr# copy scp://admin:password@A.B.C.D:/NPXXXXXXXX.lic system:licence
Процесс активации лицензии происходит автоматически после перезагрузки оборудования.
esr# reload system
Очистка конфигурации происходит путем копирования конфигурации по умолчанию в candidate-config и применения внесенных изменений:
esr# copy fs://default-config fs://candidate-config
Процесс сброса на заводскую конфигурацию аналогичен.
esr# copy fs://factory-config fs://candidate-config
Изменения конфигурации вступают в действие после применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
Чтобы выполнить сброс к заводским настройкам, нужно выполнить команды:
Сброс конфигурации до заводских настроек
esr-Х# copy system:factory-config system:candidate-config
Copy factory configuration to candidate configuration...
Read factory configuration...
Применение конфигурации
esr-Х# commit
Nothing to commit in configuration
2017-01-16T08:57:27+00:00 %CLI-I-CRIT: user admin from console input: commit
esr-Х# confirm
Nothing to confirm in configuration. You must commit some changes first.
2017-01-16T08:57:30+00:00 %CLI-I-CRIT: user admin from console input: confirm
Если нет удаленного доступа, то нужно нажать функциональную кнопку F на передней панели более, чем на 10 секунд. При отпускании кнопки маршрутизатор перезагрузится с заводскими настройками.