Начальная настройка маршрутизатора
При отгрузке устройства потребителю на устройство загружена заводская конфигурация, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.
Описание заводской конфигурации
Для подключения к сетям в конфигурации описаны 2 зоны безопасности с наименованиями «Trusted» для локальной сети и «Untrusted» для публичной сети. Все интерфейсы разделены между двух зон безопасности:
- Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены.
В данную зону безопасности входят интерфейсы:- для ESR-10/12V: GigabitEthernet 1/0/1;
- для ESR-12VF/ESR-14VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9;
- для ESR-20: GigabitEthernet 1/0/1;
- для ESR-21: GigabitEthernet 1/0/1;
- для ESR-100/200: GigabitEthernet 1/0/1;
- для ESR-1000/1500/3100: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;
- для ESR-1200/1700: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2;
- для ESR-1511: GigabitEthernet 1/0/1, FortygigabitEthernet 1/0/1-2;
Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 2 .
- Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов Telnet и SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.
В данную зону безопасности входят интерфейсы:- для ESR-10: GigabitEthernet 1/0/2-6;
- для ESR-12V(F)/ESR-14VF: GigabitEthernet 1/0/2-8;
- для ESR-20: GigabitEthernet 1/0/2-4;
- для ESR-21: GigabitEthernet 1/0/2-12;
- для ESR-100: GigabitEthernet 1/0/2-4;
- для ESR-200: GigabitEthernet 1/0/2-8;
- для ESR-1000: GigabitEthernet 1/0/2-24;
- для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;
- для ESR-1500: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;
- для ESR-1511: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/1-4;
- для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12;
- для ESR-3100: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-8.
На интерфейсе Bridge 2 включен DHCP-клиент для получения динамического IP-адреса от провайдера. На интерфейсе Bridge 1 сконфигурирован статический IP-адрес 192.168.1.1/24. Созданный IP-интерфейс выступает в качестве шлюза для клиентов локальной сети. Для клиентов локальной сети настроен DHCP-пул адресов 192.168.1.2-192.168.1.254 с маской 255.255.255.0. Для получения клиентами локальной сети доступа к Internet на маршрутизаторе включен сервис Source NAT.
Политики зон безопасности настроены следующим образом:
Таблица 44 – Описание политик зон безопасности
Зона, из которой идет трафик
Зона, в которую идет трафик
Сервисные маршрутизаторы
Линейка надёжных, высокопроизводительных сервисных маршрутизаторов «ЭЛТЕКС» по цене производителя
Компания «ЭЛТЕКС» разрабатывает собственные решения для различных областей применения: использования в информационных сетях провайдеров, телекоммуникационных операторов, производственных предприятий крупного, среднего и малого бизнеса. В ассортименте изготавливаемой продукции представлены маршрутизаторы с поддержкой VPN 2 и 3 уровня (L2, L3).
Устройства производства компании «ЭЛТЕКС» предназначены для решения широкого спектра задач, связанных с защитой сети. Они обеспечивают безопасность передаваемой информации от несанкционированного доступа, поддерживают большинство современных протоколов передачи данных. Все модели маршрутизаторов можно использовать для предоставления сервисов Firewall и NAT. Ещё одним несомненным преимуществом устройств «ЭЛТЕКС» является гибкая настройка параметров работы.
Мы стремимся к тому, чтобы удовлетворить требования каждого заказчика, поэтому производим эффективные, экономичные решения для компаний/организаций/предприятий разного масштаба. Создавая шифрованный VPN канал с помощью высокопроизводительных устройств, наши клиенты обеспечивают конфиденциальность и целостность корпоративных данных, защиту информационных систем от внешних и внутренних атак.
Телекоммуникационное оборудование, производимое предприятием «ЭЛТЕКС», отлично зарекомендовало как на российском, так и на международном рынке (компания успешно сотрудничает с заказчиками из стран СНГ). Мы постоянно работаем над расширением ассортиментной линейки продуктов, внедрением инновационных технологий и усовершенствованием технических характеристик устройств под изменяющиеся нужды покупателей.
Сервисный маршрутизатор ESR-12VF
Сервисный маршрутизатор ESR-12VF предназначен для использования в корпоративных сетях связи с целью подключения небольших и средних офисов компаний. Функциональность межсетевого экрана и маршрутизатора позволяет обеспечить безопасность при различных вариантах подключения через сеть Интернет. Устройства поддерживают расширенные функции маршрутизации, функции организации территориально-распределенных сетей и функции обеспечения сетевой безопасности.
Наличие в составе ESR-12VF портов FXS позволяет установить в офисе до трех аналоговых телефонных аппаратов и подключить их к корпоративной телефонной сети без применения отдельных телефонных шлюзов. Наличие порта FXO позволяет зарезервировать телефонное подключение по аналоговой линии в случае отсутствия связи до центральной АТС.
Ключевыми элементами серии являются средства аппаратного ускорения обработки данных. За счет оптимального распределения функций обработки данных между частями устройства достигается максимальная производительность.
- 8хEthernet 10/100/1000BASE-T
- 1xEthernet 1000BASE-X SFP
- 1xConsole (RJ-45)
- 3xFXS
- 1xFXO
- 2хUSB 2.0
- USB 3G/4G/LTE модем
- E1 TopGate SFP
- Производительность Firewall/NAT/маршрутизации (фреймы 1518B) — 0,98 Гбит/c; 81k пкт/с
- Производительность Firewall/NAT/маршрутизации (фреймы 70B) — 68 Мбит/c; 115k пкт/c
- Производительность Firewall/NAT/маршрутизации (IMIX) — 660 Мбит/c; 119k пкт/c
- Производительность L2 коммутации (фреймы 1518B) — 0,98 Гбит/c; 81k пкт/с
- Производительность IPsec VPN (фреймы 1456B) — 153 Мбит/c; 13k пкт/с
- Производительность IPsec (IMIX) — 115 Мбит/c; 21k пкт/c
- Производительность IPS/IDS 10k правил — 51 Мбит/c; 10,7k пкт/с
- Производительность коммутации MPLS (фреймы 1518B) — 0,98 Гбит/c; 81k пкт/c
- Количество VPN-туннелей — 10
- Статические маршруты — 1k
- Количество конкурентных сессий — 4k
- Поддержка VLAN — до 4k активных VLAN в соответствии с 802.1Q
- Количество маршрутов BGP — 1M
- Количество маршрутов OSPF — 30k
- Количество маршрутов RIP — 1k
- Количество маршрутов ISIS — 30k
- Таблица MAC-адресов — 2k записей на бридж
- Размер базы FIB — 800k
- VRF — 32
- PPTP/PPPoE/L2TP/OpenVPN/IPsec XAUTH
- L2TP/PPTP/OpenVPN/IPsec XAUTH
- IPSec: режимы «policy-based» и «route-based»
- DMVPN
- Алгоритмы шифрования DES, 3DES, AES, Blowfish, Camelia
- Аутентификация сообщений IKE MD5, SHA-1, SHA-2
- IPoGRE, EoGRE
- IPIP
- L2TPv3
- LT (inter VRF routing)
- Коммутация пакетов (bridging)
- Агрегация интерфейсов LAG/LACP (802.3ad)
- Поддержка VLAN (802.1Q)
- Логические интерфейсы
- LLDP, LLDP MED
- VLAN на основе MAC
- Трансляция адресов NAT, Static NAT, ALG
- Статические маршруты
- Протоколы динамической маршрутизации RIPv2, OSPFv2/v3, IS-IS, BGP
- Фильтрация маршрутов (prefix list)
- VRF
- Policy Based Routing (PBR)
- BFD для BGP, OSPF, статических маршрутов
- Терминация пользователей
- Белые/черные списки URL
- Квотирование по объёму трафика, по времени сессии, по сетевым приложениям
- HTTP/HTTPS Proxy
- HTTP/HTTPS Redirect
- Аккаунтинг сессий по протоколу Netflow
- Взаимодействие с серверами ААА, PCRF
- Управление полосой пропускания по офисам и SSID, сессиям пользователей
- Аутентификация пользователей по MAC- или IP-адресам
- Система обнаружения и предотвращения вторжений (IPS/IDS) 1
- Взаимодействие с Eltex Distribution Manager для получения лицензируемого контента — наборы правил, предоставляемые Kaspersky SafeStream Ii 1
- Web-фильтрация по URL, по содержимому (cookies, ActiveX, JavaScript)
- Zone-based Firewall
- Фильтрация фаерволом на базе L2/L3/L4 полей и по приложениям
- Поддержка списков контроля доступа на базе L2/L3/L4 полей
- Защита от DoS/DDoS атак и оповещение об атаках
- Логирование событий атак, событий срабатывания правил
- До 8-ми приоритетных очередей на порт
- L2 и L3 приоритизация трафика (802.1p, DSCP, IP Precedence)
- Предотвращение перегрузки очередей RED, GRED
- Назначение приоритетов по портам, по VLAN
- Средства перемаркирования приоритетов
- Применение политик (policy-map)
- Управление полосой пропускания (shaping)
- Иерархический QоS
- Маркировка сессий
- Статические IP-адреса
- DHCP-клиент
- DHCP Relay Option 82
- Встроенный сервер DHCP, поддержка опций 43, 60, 61, 150
- DNS resolver
- IP unnumbered
- VRRP v2,v3
- Tracking на основании VRRP или SLA теста
- Управление параметрами VRRP
- Управление параметрами PBR
- Управление административным статусом интерфейса
- Активация и деактивация статического маршрута
- Управление атрибутом AS-PATH и preference в route-map
- Поддержка стандартных и расширенных SNMP MIB, RMONv1
- Встроенный Zabbix agent
- Аутентификация по локальной базе пользователей, RADIUS, TACACS+, LDAP
- Защита от ошибок конфигурирования, автоматическое восстановление конфигурации. Возможность сброса конфигурации к заводским настройкам
- Интерфейсы управления CLI
- Поддержка Syslog
- Монитор использования системных ресурсов
- Ping, traceroute (IPv4/IPv6), вывод информации о пакетах в консоли
- Обновление ПО, загрузка и выгрузка конфигурации по TFTP, SCP, FTP, SFTP, HTTP(S)
- Поддержка NTP
- Netflow v5/v9/v10 (экспорт статистики URL для HTTP, host для HTTPS)
- Локальное управление через консольный порт RS-232 (RJ-45)
- Удаленное управление, протоколы Telnet, SSH (IPv4/IPv6)
- Вывод информации по сервисам/процессам
- Локальное/удаленное сохранение конфигураций
маршрутизатора
- Eltex SLA
- Оценка параметров каналов связи:
- Delay (one-way/two-way)
- Jitter (one-way/two-way)
- Packet loss (one-way/two-way)
- Коэффициент ошибок в пакетах
- Нарушение последовательности доставки пакетов
- Поддержка протокола LDP
- Поддержка L2VPN VPWS
- Поддержка L2VPN VPLS Martini Mode
- Поддержка L2VPN VPLS Kompella Mode
- Поддержка L3VPN MP-BGP
- Максимальная потребляемая мощность: 22 Вт
- Питание: 100-264В AC, 50–60 Гц
- Интервал рабочих температур: от 0 до +40°С
- Интервал температуры хранения от -40 до +70°С
- Относительная влажность при эксплуатации: не более 80%
- Относительная влажность при хранении: от 10% до 95%
- Габаритные размеры (ШхВxГ, мм): 267х43,6х160,5
- Вес: 1 кг
- Срок службы: не менее 15 лет
Eltex не является производителем SFP-модулей. Все SFP-модули, поставляемые компанией, являются продукцией партнеров Eltex. Предлагаемые трансиверы прошли необходимые тесты, гарантирующие полную совместимость с оборудованием Eltex.