В настоящее время очень популярными становятся маршрутизаторы Eltex ESR. Иногда встает задача настроить PPPoE на маршрутизаторах ESR. Рассмотрим на примере одного из моих товарищей, который стал обладателе маршрутизатора Eltex ESR-200.
Есть задача в рабочем офисе организовать работу локальной сети состоящей из парка вычислительной техники и различной оргтехника. Рассмотрим создание минимально необходимой базовой конфигурации, обеспечивающей решение поставленной задачи это настройка PPPoE соединения и DHCP сервера.
Обычно я не использую заводскую конфигурацию т.к. приходится изменять многие настройки для моего удобства. В нашем примере создадим собственную конфигурацию. Вопросы обновления прошивки, и подключения к консольному порту для последующего конфигурирования устройства в данном руководстве не рассматриваются.
1. Удалим заводскую конфигурацию (factory-config) по умолчанию. Для полного удаления текущей конфигурации устройства необходимо выполнить следующую последовательность команд:
#copy system:default-config system:candidate-config #commit #confirm
2. Создадим необходимую конфигурацию. Опишем в конфигурации минимально необходимы объекты:
object-group service DHCP_SERVER description "DHCP_SERVER" port-range 67 exit object-group service DHCP_CLIENT description "DHCP_CLIENT" port-range 68 exit object-group service DNS port-range 53 exit object-group service NTP description "NTP" port-range 123 exit object-group service SSH description "SSH" port-range 22 exit object-group service SNMP description "SNMP" port-range 161 exit object-group network LOCAL_LAN description "LOCAL_LAN" ip prefix 192.168.1.0/24 exit
Определим зоны безопасности для настройки правил Firewall, это зоны для локальной сети и сети Интернет.
security zone LOCAL_LAN description "LOCAL_LAN_NETWORK" exit security zone INTERNET description "INTERNET" exit
Создадим интерфейс типа BRIDGE, и присвоим зону безопасности LOCAL_LAN. По умолчанию будем использовать VLAN=1. Если требуется использовать другой VLAN, то настройка интерфейсов может незначительно отличатся.
bridge 1 description "LOCAL_LAN" vlan 1 security-zone LOCAL_LAN ip address 192.168.1.1/24 enable exit
Определим назначение интерфейсов. Интерфейс Gi 1/0/1 будет использоваться для подключения к ISP, интерфейс Gi 1/0/2-4 для подключения к локальной сети предприятия.
interface gigabitethernet 1/0/1 description "INTERNET" security-zone INTERNET exit interface gigabitethernet 1/0/2 mode switchport security-zone LOCAL_LAN lldp transmit lldp receive exit interface gigabitethernet 1/0/3 mode switchport security-zone LOCAL_LAN lldp transmit lldp receive exit interface gigabitethernet 1/0/4 mode switchport security-zone LOCAL_LAN lldp transmit lldp receive exit
Создадим PPPoE соединение которое будет работает с Интернет провайдером через интерфейс gigabitethernet 1/0/1. В некоторых случаях необходимо указать методы аутентификации, это зависит от настроек со стороны оборудования провайдера.
tunnel pppoe 1 authentication method mschap authentication method mschap-v2 authentication method eap authentication method pap interface gigabitethernet 1/0/1 description "INTERNET_PPPOE" security-zone INTERNET ip tcp adjust-mss 1452 username <LOGIN> password ascii-text <PASSWORD> enable exit
Если планируете использовать SNMP необходимо включить и указать пароль для чтения и записи параметров.
snmp-server snmp-server community public ro snmp-server community private rw
Опишем правила прохождения трафика через Firewall маршрутизатора. На маршрутизаторах ESR, Firewall включён по умолчанию. Разрешим прохождения трафика из зоны безопасности локальной сети в сеть Интернет без ограничений.
security zone-pair LOCAL_LAN INTERNET
rule 10
action permit
enable
exit
exit
Разрешим прохождения трафика без ограничений в зоне безопасности локальной сети.
security zone-pair LOCAL_LAN LOCAL_LAN
rule 10
action permit
enable
exit
exit
Разрешим прохождения трафика из зоны безопасности локальной сети (LOCAL_LAN) зону self (на всех маршрутизаторах создана по умолчанию зона безопасности self, к этой зоне относятся все IP-адреса маршрутизатора и внутренние сервисы). Трафик между self-зоной и любой другой по умолчанию разрешён.
security zone-pair LOCAL_LAN self
rule 10
description "разрешим подключение к маршрутизатору по протоколу SSH"
action permit
match protocol tcp
match destination-port SSH
enable
exit
rule 20
description "разрешим прохождение icmp на настроенный BRIGE интерфейс с адресом 192.168.1.1"
action permit
match protocol icmp
enable
exit
rule 30
description "разрешим прохождение DHCP запросов на DHCP сервер настроенный на ESR"
action permit
match protocol udp
match source-port DHCP_CLIENT
match destination-port DHCP_SERVER
enable
exit
rule 40
description "разрешим синхронизацию NTP от внутреннего NTP сервера на ERS"
action permit
match protocol udp
match destination-port NTP
enable
exit
rule 50
description "разрешим доступ к маршрутизатору по SNMP"
description "MONITORING SNMP"
action permit
match protocol udp
match destination-port SNMP
enable
exit
exit
Разрешим прохождения трафика из сети Интернет в зону self.
security zone-pair INTERNET self
rule 10
description "разрешим синхронизацию времени ESR"
action permit
match protocol udp
match destination-port NTP
enable
exit
rule 20
description "запретим ответы icmp на запросы из сети Интернет"
action deny
match protocol icmp
enable
exit
exit
Настроим трансляцию адресов
nat source
ruleset INTERNET
to tunnel pppoe 1
rule 10
description "ACCESS TO INTERNET"
match source-address LOCAL_LAN
action source-nat interface
enable
exit
exit
exit
Настроим DHCP сервер на ESR. Желательно использовать DNS-сервера предоставляемые интернет-провайдером!
ip dhcp-server ip dhcp-server pool LAN-POOL network 192.168.1.0/24 address-range 192.168.1.10-192.168.1.254 default-router 192.168.1.1 dns-server 8.8.8.8 exit
Настроим статический маршрут в сеть Интернет
ip route 0.0.0.0/0 tunnel pppoe 1
Включим SSH сервер для удалённого подключения к маршрутизатору
ip ssh server
Включим протокол LLDP
lldp enable
Настроим протокол NTP для синхронизации времени.
clock timezone gmt +3 ntp enable ntp server 132.163.96.1 minpoll 4 exit ntp server 194.190.168.1 minpoll 4 exit
Проверка работоспособности настройки на ESR:
ESR# show tunnels status
Tunnel Admin Link MTU Local IP Remote IP Last change
state state
---------------- ----- ----- ------ ---------------- ---------------- -------------------------
pppoe 1 Up Up 1492 XXX.XXX.XXX.XX XX.XXX.XXX.X 1 minute and 21 seconds
ESR#
ESR# ping ya.ru
PING ya.ru (5.255.255.242) 56 bytes of data.
!!!!!
--- ya.ru ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 45.634/47.485/49.124/1.206 ms
ESR#