ashabalin.com

Инструменты пользователя

Инструменты сайта

Вы посетили: eltex
eltex

В настоящее время очень популярными становятся маршрутизаторы Eltex ESR. Иногда встает задача настроить PPPoE на маршрутизаторах ESR. Рассмотрим на примере одного из моих товарищей, который стал обладателе маршрутизатора Eltex ESR-200.

Есть задача в рабочем офисе организовать работу локальной сети состоящей из парка вычислительной техники и различной оргтехника. Рассмотрим создание минимально необходимой базовой конфигурации, обеспечивающей решение поставленной задачи это настройка PPPoE соединения и DHCP сервера.

Обычно я не использую заводскую конфигурацию т.к. приходится изменять многие настройки для моего удобства. В нашем примере создадим собственную конфигурацию. Вопросы обновления прошивки, и подключения к консольному порту для последующего конфигурирования устройства в данном руководстве не рассматриваются.

1. Удалим заводскую конфигурацию (factory-config) по умолчанию. Для полного удаления текущей конфигурации устройства необходимо выполнить следующую последовательность команд: 

#copy system:default-config system:candidate-config
#commit
#confirm

2. Создадим необходимую конфигурацию. Опишем в конфигурации минимально необходимы объекты: 

object-group service DHCP_SERVER
  description "DHCP_SERVER"
  port-range 67
exit
object-group service DHCP_CLIENT
  description "DHCP_CLIENT"
  port-range 68
exit
object-group service DNS
  port-range 53
exit
object-group service NTP
  description "NTP"
  port-range 123
exit
object-group service SSH
  description "SSH"
  port-range 22
exit
object-group service SNMP
  description "SNMP"
  port-range 161
exit
object-group network LOCAL_LAN
  description "LOCAL_LAN"
  ip prefix 192.168.1.0/24
exit

Определим зоны безопасности для настройки правил Firewall, это зоны для локальной сети и сети Интернет. 

security zone LOCAL_LAN
  description "LOCAL_LAN_NETWORK"
exit
security zone INTERNET
  description "INTERNET"
exit

Создадим интерфейс типа BRIDGE, и присвоим зону безопасности LOCAL_LAN. По умолчанию будем использовать VLAN=1. Если требуется использовать другой VLAN, то настройка интерфейсов может незначительно отличатся. 

bridge 1
  description "LOCAL_LAN"
  vlan 1
  security-zone LOCAL_LAN
  ip address 192.168.1.1/24
  enable
exit

Определим назначение интерфейсов. Интерфейс Gi 1/0/1 будет использоваться для подключения к ISP, интерфейс Gi 1/0/2-4 для подключения к локальной сети предприятия. 

interface gigabitethernet 1/0/1
  description "INTERNET"
  security-zone INTERNET
exit
interface gigabitethernet 1/0/2
  mode switchport
  security-zone LOCAL_LAN
  lldp transmit
  lldp receive
exit
interface gigabitethernet 1/0/3
  mode switchport
  security-zone LOCAL_LAN
  lldp transmit
  lldp receive
exit
interface gigabitethernet 1/0/4
  mode switchport
  security-zone LOCAL_LAN
  lldp transmit
  lldp receive
exit

Создадим PPPoE соединение которое будет работает с Интернет провайдером через интерфейс gigabitethernet 1/0/1. В некоторых случаях необходимо указать методы аутентификации, это зависит от настроек со стороны оборудования провайдера. 

tunnel pppoe 1
  authentication method mschap
  authentication method mschap-v2
  authentication method eap
  authentication method pap
  interface gigabitethernet 1/0/1
  description "INTERNET_PPPOE"
  security-zone INTERNET
  ip tcp adjust-mss 1452
  username <LOGIN> password ascii-text <PASSWORD>
  enable
exit

Если планируете использовать SNMP необходимо включить и указать пароль для чтения и записи параметров. 

snmp-server
snmp-server community public ro
snmp-server community private rw

Опишем правила прохождения трафика через Firewall маршрутизатора. На маршрутизаторах ESR, Firewall включён по умолчанию. Разрешим прохождения трафика из зоны безопасности локальной сети в сеть Интернет без ограничений. 

security zone-pair LOCAL_LAN INTERNET
  rule 10
    action permit
    enable
  exit
exit

Разрешим прохождения трафика без ограничений в зоне безопасности локальной сети. 

security zone-pair LOCAL_LAN LOCAL_LAN
  rule 10
    action permit
    enable
  exit
exit

Разрешим прохождения трафика из зоны безопасности локальной сети (LOCAL_LAN) зону self (на всех маршрутизаторах создана по умолчанию зона безопасности self, к этой зоне относятся все IP-адреса маршрутизатора и внутренние сервисы). Трафик между self-зоной и любой другой по умолчанию разрешён. 

security zone-pair LOCAL_LAN self
  rule 10
    description "разрешим подключение к маршрутизатору по протоколу SSH"
    action permit
    match protocol tcp
    match destination-port SSH
    enable
  exit
  rule 20
    description "разрешим прохождение icmp на настроенный BRIGE интерфейс с адресом 192.168.1.1"
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    description "разрешим прохождение DHCP запросов на DHCP сервер настроенный на ESR"
    action permit
    match protocol udp
    match source-port DHCP_CLIENT
    match destination-port DHCP_SERVER
    enable
  exit
  rule 40
    description "разрешим синхронизацию NTP от внутреннего NTP сервера на ERS"
    action permit
    match protocol udp
    match destination-port NTP
    enable
  exit
  rule 50
    description "разрешим доступ к маршрутизатору по SNMP"
    description "MONITORING SNMP"
    action permit
    match protocol udp
    match destination-port SNMP
    enable
  exit
exit

Разрешим прохождения трафика из сети Интернет в зону self. 

security zone-pair INTERNET self
  rule 10
    description "разрешим синхронизацию времени ESR"
    action permit
    match protocol udp
    match destination-port NTP
    enable
  exit
  rule 20
    description "запретим ответы icmp на запросы из сети Интернет"
    action deny
    match protocol icmp
    enable
  exit
exit

Настроим трансляцию адресов 

nat source
  ruleset INTERNET
    to tunnel pppoe 1
    rule 10
      description "ACCESS TO INTERNET"
      match source-address LOCAL_LAN
      action source-nat interface
      enable
    exit
  exit
exit

Настроим DHCP сервер на ESR. Желательно использовать DNS-сервера предоставляемые интернет-провайдером! 

ip dhcp-server
ip dhcp-server pool LAN-POOL
  network 192.168.1.0/24
  address-range 192.168.1.10-192.168.1.254
  default-router 192.168.1.1
  dns-server 8.8.8.8
exit

Настроим статический маршрут в сеть Интернет 

ip route 0.0.0.0/0 tunnel pppoe 1

Включим SSH сервер для удалённого подключения к маршрутизатору 

ip ssh server

Включим протокол LLDP 

lldp enable

Настроим протокол NTP для синхронизации времени. 

clock timezone gmt +3
ntp enable
ntp server 132.163.96.1
  minpoll 4
exit
ntp server 194.190.168.1
  minpoll 4
exit

Проверка работоспособности настройки на ESR: 

ESR# show tunnels status
Tunnel             Admin   Link    MTU      Local IP           Remote IP          Last change
                  state   state
----------------   -----   -----   ------   ----------------   ----------------   -------------------------
pppoe 1            Up      Up      1492     XXX.XXX.XXX.XX     XX.XXX.XXX.X       1 minute and 21 seconds
ESR#
ESR# ping ya.ru
PING ya.ru (5.255.255.242) 56 bytes of data.
!!!!!
--- ya.ru ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 45.634/47.485/49.124/1.206 ms
ESR#
eltex.txt · Последнее изменение: Alexander Shabalin