В настоящее время очень популярными становятся маршрутизаторы Eltex ESR. Иногда встает задача настроить PPPoE на маршрутизаторах ESR. Рассмотрим на примере одного из моих товарищей, который стал обладателе маршрутизатора Eltex ESR-200. Есть задача в рабочем офисе организовать работу локальной сети состоящей из парка вычислительной техники и различной оргтехника. Рассмотрим создание минимально необходимой базовой конфигурации, обеспечивающей решение поставленной задачи это настройка PPPoE соединения и DHCP сервера. Обычно я не использую заводскую конфигурацию т.к. приходится изменять многие настройки для моего удобства. В нашем примере создадим собственную конфигурацию. Вопросы обновления прошивки, и подключения к консольному порту для последующего конфигурирования устройства в данном руководстве не рассматриваются. 1. Удалим заводскую конфигурацию (factory-config) по умолчанию. Для полного удаления текущей конфигурации устройства необходимо выполнить следующую последовательность команд: #copy system:default-config system:candidate-config #commit #confirm 2. Создадим необходимую конфигурацию. Опишем в конфигурации минимально необходимы объекты: object-group service DHCP_SERVER description "DHCP_SERVER" port-range 67 exit object-group service DHCP_CLIENT description "DHCP_CLIENT" port-range 68 exit object-group service DNS port-range 53 exit object-group service NTP description "NTP" port-range 123 exit object-group service SSH description "SSH" port-range 22 exit object-group service SNMP description "SNMP" port-range 161 exit object-group network LOCAL_LAN description "LOCAL_LAN" ip prefix 192.168.1.0/24 exit Определим зоны безопасности для настройки правил Firewall, это зоны для локальной сети и сети Интернет. security zone LOCAL_LAN description "LOCAL_LAN_NETWORK" exit security zone INTERNET description "INTERNET" exit Создадим интерфейс типа BRIDGE, и присвоим зону безопасности LOCAL_LAN. По умолчанию будем использовать VLAN=1. Если требуется использовать другой VLAN, то настройка интерфейсов может незначительно отличатся. bridge 1 description "LOCAL_LAN" vlan 1 security-zone LOCAL_LAN ip address 192.168.1.1/24 enable exit Определим назначение интерфейсов. Интерфейс Gi 1/0/1 будет использоваться для подключения к ISP, интерфейс Gi 1/0/2-4 для подключения к локальной сети предприятия. interface gigabitethernet 1/0/1 description "INTERNET" security-zone INTERNET exit interface gigabitethernet 1/0/2 mode switchport security-zone LOCAL_LAN lldp transmit lldp receive exit interface gigabitethernet 1/0/3 mode switchport security-zone LOCAL_LAN lldp transmit lldp receive exit interface gigabitethernet 1/0/4 mode switchport security-zone LOCAL_LAN lldp transmit lldp receive exit Создадим PPPoE соединение которое будет работает с Интернет провайдером через интерфейс gigabitethernet 1/0/1. В некоторых случаях необходимо указать методы аутентификации, это зависит от настроек со стороны оборудования провайдера. tunnel pppoe 1 authentication method mschap authentication method mschap-v2 authentication method eap authentication method pap interface gigabitethernet 1/0/1 description "INTERNET_PPPOE" security-zone INTERNET ip tcp adjust-mss 1452 username password ascii-text enable exit Если планируете использовать SNMP необходимо включить и указать пароль для чтения и записи параметров. snmp-server snmp-server community public ro snmp-server community private rw Опишем правила прохождения трафика через Firewall маршрутизатора. На маршрутизаторах ESR, Firewall включён по умолчанию. Разрешим прохождения трафика из зоны безопасности локальной сети в сеть Интернет без ограничений. security zone-pair LOCAL_LAN INTERNET rule 10 action permit enable exit exit Разрешим прохождения трафика без ограничений в зоне безопасности локальной сети. security zone-pair LOCAL_LAN LOCAL_LAN rule 10 action permit enable exit exit Разрешим прохождения трафика из зоны безопасности локальной сети (LOCAL_LAN) зону self (на всех маршрутизаторах создана по умолчанию зона безопасности self, к этой зоне относятся все IP-адреса маршрутизатора и внутренние сервисы). Трафик между self-зоной и любой другой по умолчанию разрешён. security zone-pair LOCAL_LAN self rule 10 description "разрешим подключение к маршрутизатору по протоколу SSH" action permit match protocol tcp match destination-port SSH enable exit rule 20 description "разрешим прохождение icmp на настроенный BRIGE интерфейс с адресом 192.168.1.1" action permit match protocol icmp enable exit rule 30 description "разрешим прохождение DHCP запросов на DHCP сервер настроенный на ESR" action permit match protocol udp match source-port DHCP_CLIENT match destination-port DHCP_SERVER enable exit rule 40 description "разрешим синхронизацию NTP от внутреннего NTP сервера на ERS" action permit match protocol udp match destination-port NTP enable exit rule 50 description "разрешим доступ к маршрутизатору по SNMP" description "MONITORING SNMP" action permit match protocol udp match destination-port SNMP enable exit exit Разрешим прохождения трафика из сети Интернет в зону self. security zone-pair INTERNET self rule 10 description "разрешим синхронизацию времени ESR" action permit match protocol udp match destination-port NTP enable exit rule 20 description "запретим ответы icmp на запросы из сети Интернет" action deny match protocol icmp enable exit exit Настроим трансляцию адресов nat source ruleset INTERNET to tunnel pppoe 1 rule 10 description "ACCESS TO INTERNET" match source-address LOCAL_LAN action source-nat interface enable exit exit exit Настроим DHCP сервер на ESR. Желательно использовать DNS-сервера предоставляемые интернет-провайдером! ip dhcp-server ip dhcp-server pool LAN-POOL network 192.168.1.0/24 address-range 192.168.1.10-192.168.1.254 default-router 192.168.1.1 dns-server 8.8.8.8 exit Настроим статический маршрут в сеть Интернет ip route 0.0.0.0/0 tunnel pppoe 1 Включим SSH сервер для удалённого подключения к маршрутизатору ip ssh server Включим протокол LLDP lldp enable Настроим протокол NTP для синхронизации времени. clock timezone gmt +3 ntp enable ntp server 132.163.96.1 minpoll 4 exit ntp server 194.190.168.1 minpoll 4 exit Проверка работоспособности настройки на ESR: ESR# show tunnels status Tunnel Admin Link MTU Local IP Remote IP Last change state state ---------------- ----- ----- ------ ---------------- ---------------- ------------------------- pppoe 1 Up Up 1492 XXX.XXX.XXX.XX XX.XXX.XXX.X 1 minute and 21 seconds ESR# ESR# ping ya.ru PING ya.ru (5.255.255.242) 56 bytes of data. !!!!! --- ya.ru ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4005ms rtt min/avg/max/mdev = 45.634/47.485/49.124/1.206 ms ESR#