Error sending request to chip module eltex

Код: Выделить всё

Uplink ports:   10
PON ports:   8
Version:   3.16.3
Build:   1
Compile Date:   05.03.2019
Compile Time:   14:23:30
Current Date:   13.09.2022
Current Time:   09:59:06
System uptime:   00:08
CPU load average (1m, 5m, 15m):   0.03 0.05 0.02
Free RAM/Total RAM (Mbytes):   73/243
Temperature (PON ports / PON chips):   30 / 37
Fan state (fan0/fan1/fan2/fan3):   127 rps / 127 rps / 127 rps / 127 rps

Код: Выделить всё

Jan  1 06:00:26 LTE-8X switchd: %IGMP: VLAN 404 data cleaned
Jan  1 06:00:26 LTE-8X switchd: %IGMP: VLAN 406 data inited
Jan  1 06:00:26 LTE-8X switchd: %IGMP: VLAN 406 data cleaned
Jan  1 06:00:26 LTE-8X switchd: %IGMP: VLAN 451 data inited
Jan  1 06:00:26 LTE-8X switchd: %IGMP: VLAN 451 data cleaned
Jan  1 06:00:26 LTE-8X switchd: %IGMP: VLAN 4094 data inited
Jan  1 06:00:26 LTE-8X switchd: %IGMP: VLAN 4094 data cleaned
Jan  1 06:00:26 LTE-8X switchd: %DBG: Query: session is not opened or already closed
Sep 13 09:51:19 LTE-8X chip-proxy: wd_cleanup_olts: OLT[0] in CHECKNEWFW state
Sep 13 09:51:19 LTE-8X chip-proxy: wd_cleanup_olts: OLT[1] in CHECKNEWFW state
Sep 13 09:51:19 LTE-8X chip-proxy: wd_cleanup_olts: OLT[2] in CHECKNEWFW state
Sep 13 09:51:19 LTE-8X chip-proxy: wd_cleanup_olts: OLT[3] in CHECKNEWFW state

Код: Выделить всё

---
Multipart Event ID 32801, CTAG 159 (teklink_rxpool_poccess: 478)
teklink: 10 bytes recieved from OLT2 [1715926] ID: 515 CTAG: 4384 LEN: 4
000F0000: 02 03 11 20 00 04 00 00 04 30
---
events_process: unhandled event (32801)
teklink: 136 bytes send to OLT2 [1715927] ID: 406 CTAG: 4385 LEN: 130
000F0000: 01 96 11 21 00 82 04 32 04 01 02 02 00 22 03 E6
000F0010: 8A 00 00 00 00 00 00 00 00 30 01 20 E4 10 01 0A
000F0020: 03 03 02 00 00 09 04 00 00 00 00 0A 04 00 00 00
000F0030: 00 01 01 00 00 00 00 00 00 00 00 00 00 07 10 01
000F0040: 0A 02 09 04 00 00 00 00 03 02 00 00 01 01 00 00
000F0050: 00 00 00 00 00 00 00 00 07 02 00 22 03 E6 8B 00
000F0060: 00 00 00 00 00 00 00 30 01 20 E6 10 00 10 01 0A
000F0070: 02 09 04 00 00 00 00 03 02 00 00 01 01 00 00 00
000F0080: 00 00 00 00 00 00 00 07
---
teklink: 10 bytes recieved from OLT2 [1715929] ID: 406 CTAG: 4385 LEN: 4
000F0000: 01 96 11 21 00 04 00 00 04 32
---
teklink: 14 bytes send to OLT2 [1715930] ID: 410 CTAG: 4386 LEN: 8
000F0000: 01 9A 11 22 00 08 04 32 00 00 00 40 00 04
---
teklink: 10 bytes recieved from OLT2 [1715930] ID: 410 CTAG: 4386 LEN: 4
000F0000: 01 9A 11 22 00 04 00 00 04 32
---
teklink: 60 bytes send to OLT2 [1715931] ID: 503 CTAG: 4387 LEN: 54
000F0000: 01 F7 11 23 00 36 04 32 33 01 31 47 45 50 4F 4E
000F0010: 2D 44 69 70 6B 75 6E 2D 4C 54 45 2D 38 58 20 78
000F0020: 70 6F 6E 20 35 20 31 30 37 37 20 31 20 25 56 4C
000F0030: 41 4E 30 25 20 25 56 4C 41 4E 31 25

Как создать VLAN на коммутаторе и назначить ему имя?

Для того чтобы создать VLAN на коммутаторе и задать ему имя необходимо в режиме глобального конфигурирование ввести следующие команды:

console(config)# vlan database переходим в конфигурации VLAN

console(config-vlan)# vlan 10 name Management создаем “VLAN 10” и задаем ему имя “Management”

Вернуться к началу

Как обновить ПО через CLI?

Для того, чтобы произвести обновление ПО с использованием CLI необходимо подключиться к коммутатору при помощи терминальной программы (например HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.

Настройки терминальной программы при подключении к коммутатору через последовательный порт:

выбрать соответствующий последовательный порт.

установить скорость передачи данных – 115200 бит/с.

задать формат данных: 8бит данных, 1 стоповый бит, без контроля четности.

отключить аппаратное и программное управление потоком данных.

задать режим эмуляции терминала VT100 (многие терминальные программы используют данный режим эмуляции терминала в качестве режима по умолчанию).

       Загрузка файла системного ПО в энергонезависимую память коммутатора        

Для загрузки файла системного ПО необходимо в командной строке CLI ввести следующую команду:

сopy tftp:// xxx.xxx.xxx.xxx/File Name image, где

xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, с которого будет производиться загрузка файла системного ПО;

File Name – имя файла системного ПО;

и нажать Enter. В окне терминальной программы должно появиться следующее:

COPY-I-FILECPY: Files Copy — source URL tftp://xxx.xxx.xxx.xxx/ File Name destination URL flash://image

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Если загрузка файла прошла успешно, то появится сообщение вида

COPY-N-TRAP: The copy operation was completed successfully

Выбор файла системного ПО, который будет активен после перезагрузки коммутатора

Для того, чтобы произвести выбор файла системного ПО, который будет активен после перезагрузки, необходимо в командной строке CLIввести следующую команду:

boot system { image-1 | image-2 }, где

image-1, image-2  – файл системного ПО.

После выбора необходимо произвести перезагрузку коммутатора командой reload.

Вернуться к началу

Как разблокировать порт, если он был выключен системой?

Необходимо использовать команду 

console#set interface active <имя интерфейса>

Вернуться к началу

Как можно ограничить доступ к коммутатору?

Доступ к коммутатору можно ограничить при помощи Management ACL.

Ниже приведен пример ограничения доступа по IP-адресу источника (IP 192.168.1.12).

1. Создать Management ACL с указанием IP-адреса источника:

console#configure 

console(config)#management access-list IP

console(config-macl)# permit ip-source 192.168.1.12

console(config-macl)#exit

2. Применить созданный Management ACL:

console(config)#management access-class IP

Для просмотра информации по созданным и примененным листам необходимо воспользоваться командами show:

console#show management access-list 

IP

—-

permit ip-source 192.168.1.12

! (Note: all other access implicitly denied)

console-only

————

deny

! (Note: all other access implicitly denied)

console#show management access-class 

Management access-class is enabled, using access-list IP

Вернуться к началу

Как включить защиту от широковещательного шторма?

Широковещательный шторм – это размножение широковещательных сообщений в каждом узле, которое приводит к лавинообразному росту их числа и парализует работу сети. Коммутаторы MES имеют функцию, позволяющую ограничить скорость передачи широковещательных кадров, принятых коммутатором.

Пример настройки.

Перейти в режим конфигурирования интерфейса Ethernet и включить функцию (например, для интерфейса tengigabitethernet 1/0/1):

console(config)# interface tengigabitethernet 1/0/1

console(config-if)# storm-control broadcast enable

Задать максимальную скорость для широковещательного трафика на этом интерфейсе (например, 8500 кбит/с):

console(config-if)# storm-control broadcast level kbps 8500

Задать действия при обнаружении шторма: отображать информацию в логах и/или отключать порт

console(config-if)#storm-control broadcast logging

console(config-if)#storm-control broadcast shutdown

Пример настройки для коммутаторов с версией 4.0.х

Перейти в режим конфигурирования интерфейса .

Включить функцию. Ограничения настраиваются либо при помощи указания полосы пропускания в kbps, либо в процентах от полосы пропуская — level

console(config)# interface tengigabitethernet 1/0/1

console(config-if)#storm-control broadcast level 2

console(config-if)#storm-control broadcast kbps 8500

Вернуться к началу

Как отключить кнопку «F»

Кнопка «F» — функциональная кнопка для перезагрузки устройства и сброса к завод-ским настройкам:

— при нажатии на кнопку длительностью менее 10 с. происходит пере-загрузка устройства;

— при нажатии на кнопку длительностью более 10 с. происходит сброс настроек устройства до заводской конфигурации.

Отключить кнопку можно командой:

reset-button disable 

Чтобы запретить сброс устройства к заводстким настройкам, но разрешить перезагрузку, следует ввести команду:

reset-button reset-only 

Вернуться к началу

Как посмотреть счетчики на интерфейсе?

Команда, которая позволяет посмотреть статистику по пакетам на физическом интерфейсе

show interfaces counters [interface-id]

Например, 

sh interfaces counters GigabitEthernet 0/12

Port	InUcastPkts	InMcastPkts	InBcastPkts	InOctets
gi1/0/12	52554	133762	48	110684852
Port	OutUcastPkts	OutMcastPkts	OutBcastPkts	OutOctets
gi1/0/12	42121	81577	22	71762424

Alignment Errors: 0

Принятые пакеты содержат контрольную сумму не кратную восьми.

FCS Errors: 0

Принятые пакеты содержат ошибки контрольной суммы CRC

Single Collision Frames: 0

Количество кадров , принятых с единичной коллизией и впоследствии переданные успешно

Multiple Collision Frames: 0

Количество кадров , принятых больше, чем с одной коллизией и впоследствии переданные успешно

SQE Test Errors: 0

Количетство раз, когда принят SQE TEST ERROR.

Deferred Transmissions: 0

Количество кадров, для которых первая передача задерживается из-за занятости среды передачи

Late Collisionss: 0

Количество раз когда обнаружена Late Collisions

Excessive Collisions: 0

Количество непереданных кадров из—за excessive collisions

Carrier Sense Errors: 0

Количество раз, когда происходили ошибки из-за потери несущей при попытке передаче данных

Oversize Packets: 0

Количество принятых, кадров, превышающих максимально разрешенный размер кадра

Internal MAC Rx Errors: 0

Количество кадров, приём которых сопровождался внутренними ошибками на физическом уровне

Symbol Errors: 0

Количество раз, когда интерфейс не может интерпретировать принятый символ

 Received Pause Frames: 0

Количество принятых пакетов, содержащих pause-frame

Transmitted Pause Frames: 0

Количество переданных пакетов, содержащих pause-frame

Вернуться к началу

MES. Пример настройки OSPF

В качестве, примера, настроим соседство OSPF между коммутаторами MES3124 (версия 2.5.х) и MES3124 (версия 3.5.х).

Настройка для версии 2.5.х

1) Создаем interface vlan для создания соседства

console(config)#interface vlan 10

console(config-if)#ip address 10.10.10.6 255.255.255.252

console(config-if)#exit

2) Настройки в режиме глобальной конфигурации

console(config)#router ospf enable

console(config)#router ospf area 4.4.4.4

console(config)#router ospf redistribute connected

console(config)#router ospf router-id 1.1.1.1

3) Настройка интерфейса ip

console(config)#interface ip 10.10.10.6

console(config-ip)#ospf

console(config-ip)#ospf area 4.4.4.4

console(config-ip)#exit

Настройка для версии 3.5.х и 4.0

1) Создаем interface vlan для создания соседства

console(config)#interface vlan 10

console(config-if)#ip address 10.10.10.5 255.255.255.252

console(config-if)#exit

2) Настройки в режиме глобальной конфигурации

console(config)#router ospf 1

console(router_ospf_process)#network 10.10.10.5 area 4.4.4.4

console(router_ospf_process)#router-id 5.5.5.5

console(router_ospf_process)#exit

 Контроль работы протокола

Просмотр  ospf соседей  — sh ip ospf neighbor

Просмотр таблицы LSDB — show ip ospf database

Просмотр состяния ospf —  sh ip ospf

Вернуться к началу

Настройка RADIUS на коммутаторах MES

Протокол RADIUS используется для аутентификации, авторизации и учета. Сервер RADIUS использует базу данных пользователей, которая содержит данные проверки подлинности для каждого пользователя. Таким образом, использование протокола RADIUS обеспечивает дополнительную защиту при доступе к ресурсам сети, а также при доступе к самому коммутатору.

Конфигурацию будем выполнять на базе коммутатора MES2324.

1.    Для начала необходимо указать ip-адрес radius-сервера и указать key:

MES2324B(config)#radius-server host 192.168.10.5 key test

2.    Далее установить способ аутентификации для входа в систему по протоколу radius:

MES2324B(config)#aaa authentication login authorization default radius local

Примечение: На коммутаторах серии 23xx, 33xx, 53xx используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 4.0.6 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain — после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке. На коммутаторах серии 1000, 2000, 3000 уже имеется этот функционал.

3.    Установить способ аутентификации при повышении уровня привилегий:

MES2324B(config)#aaa authentication enable authorization default radius enable 

Чтобы не потерять доступ до коммутатора (в случае  недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.

4.    Создать учетную запись:

MES2324B(config)#username tester password eltex privilege 15

5.    Задать пароль на доступ в привилегированный режим:

MES2324B(config)#enable password eltex

Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).

Вернуться к началу

Настройка зеркалирования SPAN и RSPAN

Функция зеркалирования портов предназначена для контроля сетевого трафика путем пересылки копий входящих и/или исходящих пакетов с одного или нескольких контролируемых портов на один контролирующий порт.

  При зеркалировании более одного физического интерфейса возможны потери трафика. Отсутствие потерь гарантируется только при зеркалировании одного физического интерфейса.

  К контролирующему порту применяются следующие ограничения:

Порт не может быть контролирующим и контролируемым портом одновременно;

Порт не может быть членом группы портов;

IP-интерфейс должен отсутствовать для этого порта;

Протокол GVRP должен быть выключен на этом порту.

К контролируемым портам применяются следующие ограничения:

Порт не может быть контролирующим и контролируемым портом одновременно.

Пример настройки SPAN.

Организуем мониторинг трафика с порта GigabitEthernet 0/1 и с vlan 3 на примере MES2324

2324(config)#interface GigabitEthernet 0/2

2324(config-if)#port monitor GigabitEthernet 0/1

2324(config-if)# port monitor vlan 3

Пример настройки RSPAN.

Oрганизуем мониторинг трафика с порта GigabitEthernet 0/1  через vlan 100. На промежуточных коммутаторах, где прописан vlan 100 должен быть отключен mac learning в данном vlan и очищена таблица мак-адресов.

MES2324(config)#port monitor mode network

MES2324(config)#port monitor remote vlan 100

MES2324(config)#interface GigabitEthernet 0/2

MES2324(config-if)#switchport mode trunk

MES2324(config-if)#switchport trunk allowed vlan add 100

MES2324(config-if)#port monitor remote

MES2324(config-if)#port monitor GigabitEthernet0/1

На ряде моделей в ПО доступна настройка увеличения qos tail-drop mirror-limit, позволяющая увеличить лимиты для передачи отзеркалированного трафика

qos tail-drop mirror-limit rx 50

qos tail-drop mirror-limit tx 50

Вернуться к началу

Просмотр детализированной статистики загрузки процессора по задачам

При эксплутации коммутаторов в сетях клиентов могут  возникать ситуации, когда на коммутаторе фиксируется высокая загрузка CPU ~ 80-100%. 

Клиенты обращаются в службу поддержки с просьбой помочь разобраться, что вызывает такую аномально высокую загрузку. Для анализа ситуации службе поддержки требуется информация по процессам, полученная в момент проблемы из debug режима.

Переходим в debug

console#debug

>debug

Enter DEBUG Password: ***** (debug)

DEBUG>set tasks utilize

DEBUG>print tasks utilize

DEBUG>print tasks utilize

TASK NAME 5-seconds minute 5-minutes 

——————————————

IDLE       75          N/A      N/A 

BRMN       12         N/A      N/A 

3SWF       1          N/A      N/A 

HLTX       3         N/A      N/A

IDLE — бездействие системы

Описание процессов на CPU можно найти в приложении  в «Руководстве по эксплуатации к оборудованию».

Найти имя процесса, который больше всего занимает ресурсы CPU. (IDLE — бездействие системы, по данному таску снимать статистику не нужно)

Вывести таблицу и найти в ней <ID> процесса по имени.

DEBUG>print os tasks

DEBUG>print os tasks

Name	ID	Status	S-size	S-cusg	S-musg	Prio	TS	FP	PrType
IDLE	15C649C	Ready	1000	9E8	9FC	2	OFF	0
BRMN	160281C	PEND	4000	3A4	16FC	4	ON	0

………..

В момент пиковой загрузки CPU несколько раз (не меньше 10) подряд выполнить

DEBUG>print os stack <TASK_ID>

DEBUG>print os stack 160281C

Name ID Stck-size Stck-cusg Stck-musg Prio. TS

BRMN 160281C 4000 128 16FC 4 ON 

Task Stack:

158758

15965C

171534

72A86C

72A95C

66F00C

122040

Все полученные данные нужно предоставить в техническую поддержку при обращении

Вернуться к началу

Настройка 802.1x и MAC авторизации через radius server

Пример конфигурации для коммутаторов серии MES2000, MES3000

gi 0/7 — mac авторизация

gi 0/8 — mac авторизация с назначением влана

gi 0/18 — 802.1x авторизация

no spa

vlan database

vlan 100,200

exit

dot1x system-auth-control

!

aaa authentication dot1x default radius none

radius-server host 192.168.1.10 encrypted key da90833f59be

!

interface gigabitethernet 1/0/17

switchport access vlan 100

exit

!

interface gigabitethernet 1/0/7

switchport access vlan 100

dot1x guest-vlan enable

dot1x reauthentication

dot1x timeout reauth-period 300

dot1x mac-authentication mac-only 

dot1x port-control auto

spanning-tree portfast

exit

!

interface gigabitethernet 1/0/8

dot1x guest-vlan enable

dot1x reauthentication

dot1x timeout reauth-period 300

dot1x mac-authentication mac-only

dot1x radius-attributes vlan

dot1x port-control auto

spanning-tree portfast

dot1x host-mode multi-sessions

exit

!

interface gigabitethernet 1/0/18

switchport access vlan 100

dot1x guest-vlan enable

dot1x reauthentication

dot1x timeout reauth-period 300 

dot1x port-control auto

spanning-tree disable

spanning-tree bpdu filtering

exit

!

interface vlan 100

ip address 192.168.1.20 255.255.255.0

exit

!

interface vlan 200

dot1x guest-vlan

exit

Пример конфигурации для коммутаторов серии MES2300, MES3300

gi 0/7 — mac авторизация

gi 0/8 — 802.1x авторизация

no spa

vlan database

vlan 100,200

exit

dot1x system-auth-control

!

aaa authentication dot1x default radius none

radius-server host 192.168.1.10 encrypted key da90833f59be

!

interface gigabitethernet1/0/7

dot1x reauthentication

dot1x timeout reauth-period 300

dot1x authentication mac

dot1x port-control auto

switchport access vlan 100

exit

!

interface gigabitethernet1/0/8

dot1x reauthentication

dot1x timeout reauth-period 300

dot1x port-control auto

switchport access vlan 100

exit

!

interface vlan 100

ip address 192.168.1.20 255.255.255.0

exit

Вернуться к началу

Конфигурация MSTP

Протокол Multiple STP (MSTP) является наиболее современной реализацией STP, поддерживающей использование VLAN. MSTP предполагает конфигурацию необходимого количества экземпляров связующего дерева (spanning tree) вне зависимости от числа групп VLAN на коммутаторе. Каждый экземпляр (instance) может содержать несколько групп VLAN. Недостатком протокола MSTP является то, что на всех коммутаторах, взаимодействующих по MSTP, должны быть одинаково сконфигурированы группы VLAN.

Примечание: Всего можно сконфигурировать 64 экземпляра MSTP.

йн

Пример настройки MSTP:

spanning-tree mode mst

!

spanning-tree mst configuration

instance 1 vlan 201,301

instance 2 vlan 99

instance 3 vlan 203,303

name test

exit

Примечание: По умолчанию все vlan’ы находятся в 0 instance.

Вернуться к началу

Возможно ли произвести тестирование медного кабеля с выводом результата по каждой паре?

Да, такая возможность есть. Пример для порта GigabitEthernet 1/0/1:

console# test cable-diagnostics tdr interface GigabitEthernet 1/0/1

Port	Pair	Result	Lenght [m]	Date
gi1/0/1	1-2	Open	4	24-Mar-2014 10:16:22
	3-6	Open	4
	4-5	Open	4
	7-8	Open	4

Обрыв на расстоянии 4м по каждой паре.

Вернуться к началу

Как измерить длину кабеля на fastethernet портах

Длина кабеля для FastEthernet портов измеряется только с помощью tdr, и только если кабель не вставлен в абонентское устройство (есть разрыв на линии).

MES1124MB#test cable-diagnostics tdr int fa0/2

….

 Port     Pair Result              Length [m] Date

——— —- ——————- ———- —————————

fa1/0/2   1-2         Open             1      11-Feb-2017 11:44:49 

          3-6         Open             1      

MES1124MB#

Вернуться к началу

Возможно ли произвести диагностику оптического трансивера?

Да. Для этого необходимо воспользоваться командой:

show fiber-ports optical-transceiver

Вернуться к началу

Как загрузить файл ПО сразу на все коммутаторы стека?

Для этого используется команда вида:

copy tftp://<ip address>/File Name unit://*/image ,

где

<ip address> – IP-адрес TFTP сервера, с которого будет производиться загрузка файла системного ПО;

File Name – имя файла системного ПО

Вернуться к началу

Возможно ли удаленно посмотреть информацию о установленном трансивере (серийный номер, тип)?

Да, возможно.

Для этого необходимо воспользоваться командой:

show fiber-ports optical-transceiver interface {fastethernet fa_port| gigabitethernet gi_port | tengigabitethernet te_port} detailed

Пример

console#show fiber-ports optical-transceiver interface GigabitEthernet0/2 detailed

   Port      Temp  Voltage Current  Output        Input        LOS  Transceiver 

             [C]   [V]     [mA]     Power         Power             Type        

                                    [mW / dBm]    [mW / dBm]                   

———— —— ——- ——- ————- ————- — ————-

  gi1/0/2     39    3.31    6.10   0.24 / -6.09  0.38 / -4.16  N/S     Fiber    

Temp              — Internally measured transceiver temperature

Voltage           — Internally measured supply voltage

Current           — Measured TX bias current

Output Power  — Measured TX output power in milliWatts

Input Power     — Measured RX received power in milliWatts

LOS               — Loss of signal

N/A — Not Available, N/S — Not Supported, W — Warning, E — Error

Transceiver information:

Vendor name: OEM            

Serial number: BL2A3859       

Connector type: LC

Type: SFP/SFP+

Compliance code: 1000BASE-LX

Laser wavelength: 1310 nm

Transfer distance: 20000 m

Diagnostic: supported

Примечание: на коммутаторах 23хх, 33хх и т.д. с версией 4.0.х команда имеет вид

show fiber-ports optical-transceiver interface {gigabitethernet gi_port | tengigabitethernet te_port}

Вернуться к началу

Поддерживаемые модели SFP трансиверов

Коммутаторы MES поддерживают SFP-трансиверы, которые соответствуют стандартам INF-8074_2000 и SFF-8472-2010 (для модулей поддерживающих DDM).

Для SFP+ стандарт SFF-8431.

К конкретным производителям привязки нет.

Вернуться к началу

Как настроить отправку syslog-сообщений на Syslog-сервер

Системные журналы позволяют вести историю событий, произошедших на устройстве, а также контролировать произошедшие события в реальном времени. В журнал заносятся события семи типов: чрезвычайные, сигналы тревоги, критические и не критические ошибки, предупреждения, уведомления, информационные и отладочные.

console(config)#logging host {ip_address |host} [port port] [severity level] [facility facility] [description text]

 

Пример: logging host 192.168.1.1 severity debugging

Команда включает передачу аварийных и отладочных сообщений на

удаленный SYSLOG сервер 192.168.1.1.

— ip_address– IPv4 или IPv6-адрес SYSLOG-сервера;

— host – сетевое имя SYSLOG-сервера;

— port – номер порта для передачи сообщений по протоколу

SYSLOG;

— level – уровень важности сообщений, передаваемых на

SYSLOG-сервер;

— facility – услуга, передаваемая в сообщениях;

— text – описание SYSLOG-сервера.

Примечание: можно настроить несколько Syslog-серверов.

Вернуться к началу

Настройка TACACS на коммутаторах MES

Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству, при этом поддерживая совместимость с RADIUS и другими процессами проверки подлинности.

Конфигурацию будем выполнять на базе коммутатора MES2324.

1.    Для начала необходимо указать ip-адрес tacacs-сервера и указать key:

MES2324B(config)#tacacs-server host 192.168.10.5 key secret

2.    Далее установить способ аутентификации для входа в систему по протоколу tacacs+:

MES2324B(config)#aaa authentication login authorization default tacacs local

Примечение: На коммутаторах серии 23xx, 33xx, 53xx используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 4.0.6 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain — после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке. На коммутаторах серии 1000, 2000, 3000 уже имеется этот функционал.

3.    Установить способ аутентификации при повышении уровня привилегий:

MES2324B(config)#aaa authentication enable authorization default tacacs enable

Чтобы не потерять доступ до коммутатора (в случае  недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.

4.    Создать учетную запись:

MES2324B(config)#username tester password eltex privilege 15

5.    Задать пароль на доступ в привилегированный режим:

MES2324B(config)#enable password eltex

6.  Разрешить ведение учета (аккаунта) для сессий управления.

MES2324B(config)#aaa accounting login start-stop group tacacs+

7.  Включить ведение учета введенных в CLI команд по протоколу tacacs+.

MES2324B(config)#aaa accounting commands stop-only group tacacs+

Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).

Вернуться к началу

Настройка port-channel

Устройство поддерживает два режима работы группы портов (port-channel) – статическая группа и группа, управляемая по протоколу LACP.

Рассмотрим настройку статических групп.

Необходимо выполнить следующее:

1) Перейти в режим конфигурирования порта:

MES2324B(config)#interface GigabitEthernet0/2

2) Настроить статическую группу:

MES2324B(config-if)#channel-group 1 mode on , где

1- Номер группы

On – добавить порт в статическую группу

Примечание: В port-channel можно добавлять порты только одного типа.

Рассмотрим настройку LACP-групп.

Необходимо выполнить следующее:

1) Перейти в режим конфигурирования порта:

MES2324B(config)#interface GigabitEthernet0/2

2) Настроить LACP-группу:

MES2324B(config-if)#channel-group 1 mode auto , где

1- Номер группы

auto – добавить порт в LACP группу в режиме active.

Примечание: В зависимости от типа портов в группе (fastethernet/gigabitethernet/tengigabitethernet) рекомендуется предварительно настроить на соответствующем port-channel скорость. Т.е если в port-channel 1 будут порты tengigabitethernet, следовательно выполнить такую настройку на port-channel 1:

MES2324B(config-if)#interface Port-Channel 1

MES2324B(config-if)#speed 10000

Вернуться к началу

Настройка стекирования на коммутаторах MES23хх/33хх/5324

Коммутаторы MES23хх/33хх/5324 можно объединять в стек до 8 устройств. В режиме стекирования MES5324 использует XLG порты для синхронизации, остальные коммутаторы семейства, кроме MES2308(P), XG порты. MES2308 и MES2308P используют

оптические 1G-порты.  При этом для стекирования устройств должны использоваться для MES5324 — QSFP(40G), для MES23хх и MES33хх SFP+(10G), для MES2308(P) — SFP(1G).

При этом указанные порты не участвуют в передаче данных. Возможны две топологии синхронизирующихся устройств – кольцевая и линейная. Рекомендуется использовать кольцевую топологию для повышения отказоустойчивости стека.

Коммутаторы по умолчанию уже работают в режиме стека с UNIT ID 1

Настройка

console(config)#stack configuration links {fo1-4| te1-4 | gi9-12}

console(config)#stack configuration unit-id {1-8}

Конфигурация применится после сохранения настроек и перезагрузки

Вернуться к началу

Port security. Настроить максимальное количество изучаемых на порту MAC адресов

Для настройки максимального количества MACадресов, которое может изучить порт, необходимо перейти в режим конфигурирования интерфейса и выполнить следующие настройки:

Установить режим ограничения изучения максимального количества MACадресов:

console(config-if)# port security mode max-addresses

Задать максимальное количество адресов, которое может изучить порт, например, 1:

console(config-if)# port security max 1

Включить функцию защиты на интерфейсе:

console(config-if)# port security

Вернуться к началу

Как настроить IP source guard?

Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Таким образом, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.

Поскольку функция контроля защиты IP-адреса использует таблицы соответствий DHCP snooping, имеет смысл использовать данную функцию, предварительно настроив и включив DHCP snooping.

Пример настройки

Включить функцию защиты IP-адреса для фильтрации трафика на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Интерфейс в 1-й группе VLAN:

console(config)# ip dhcp snooping

console(config)# ip dhcp snooping vlan 1

console(config)# ip source-guard

Создать статическую запись в таблице соответствия для интерфейса, например, для gigabitethernet /0/1: IP-адрес клиента – 192.168.1.210, его MAC-адрес – 00:60:70:4A:AB:AF:

console(config)# ip source-guard binding 00:60:70:4A:AB:AF 1 192.168.1.210 gigabitethernet 1/0/1

Включить функцию защиты IP-адреса для интерфейса gigabitethernet /0/1:

console(config-if)# ip source-guard

Вернуться к началу

Возможно ли на порту разрешить просмотр определенных multicast групп?

Да, возможно. Для этого необходимо воспользоваться функцией multicast snooping profile.

Например, на порту gigabitethernet 1/0/1 разрешено просматривать только MC группу с адресом 233.99.61.1:

создать MC профиль:

multicast snooping profile IPTV

match ip 233.99.61.1

exit

привязать MC профиль к порту:

interface gigabitethernet 1/0/1

multicast snooping profile add IPTV

exit

Вернуться к началу

Возможно ли на порту коммутатора ограничить количество одновременных подписок на multicast группы?

Да, возможно. Пример настройки ограничения на порту gigabitethernet1/0/1 количества подписок до 2:

interface gigabitethernet 1/0/1

multicast snooping max-groups 2

exit

Вернуться к началу

Как можно в режиме работы порта trunk или general удалить все VLAN’ы одной командой?

Для режима trunk:

console(config-if)#switchport trunk allowed vlan remove all

Для режима general:

console(config-if)#switchport general allowed vlan remove all

Настройка multicast-tv VLAN

Функция «Multicast-TV VLAN» дает возможность использовать для передачи многоадресного трафика одну VLAN в сети оператора и доставлять этот трафик пользователям даже в том случае, если они не являются членами этой VLAN. За счет функции «Multicast-TV VLAN» может  быть сокращена нагрузка на сеть оператора за счет отсутствия дублирования многоадресных данных, например, при предоставлении услуги IPTV.

Схема применения функции предполагает, что порты пользователей работают в режиме «access»или «customer» и принадлежат к любой VLAN за исключением multicast-tv VLAN. Пользователи имеют возможность только получать многоадресный трафик из multicast-tv VLAN и не могут передавать данные в этой VLAN. Кроме того, в коммутаторе должен быть настроен порт-источник multicast-трафика, который должен быть участником multicast-tv VLAN.

Пример конфигурирования

Включить фильтрацию многоадресных данных

console(config)# bridge multicast filtering

Настроить VLAN пользователей (VID100-124), multicast-tvVLAN(VID1000), VLAN управления (VID1200)

console(config)# vlan database

console(config-vlan)# vlan 100-124,1000,1200

console(config-vlan)# exit

Настроить порты пользователей

console(config)# interface range fa1/0/1-24

console(config-if)# switchport mode access

console(config-if)# switchport access vlan 100

console(config-if)# switchport access multicast-tv vlan 1000

console(config-if)# bridge multicast unregistered filtering

console(config-if)#exit

Настроить uplink-порт, разрешив передачу многоадресного трафика, трафика пользователей и управление

console(config)# interface gi1/0/1

console(config-if)# switchport mode trunk

console(config-if)# switchport trunk allowed vlan add 100-124,1000,1200

console(config-if)#exit

Настроить igmpsnooping глобально и на интерфейсах, добавить привязку групп

console(config)# ip igmp snooping

console(config)# ip igmp snooping vlan 1000

console(config)# ip igmp snooping vlan 100

console(config)# ip igmp snooping vlan 101

console(config)# ip igmp snooping vlan 102

…

console(config)# ip igmp snooping vlan 124

Настроить интерфейс управления

console(config)# interface vlan 1200

console(config-if)# ip address 192.168.33.100 255.255.255.0

console(config-if)# exit

 

Вернуться к началу

Возможно ли ограничить скорость входящего трафика для заданной VLAN?

Да, возможно. Для этого необходимо в режиме глобального конфигурирования воспользоваться командой rate-limit

rate-limit vlan_id rate burst,

где

vlan_id – номерVLAN;

rate – средняя скорость трафика (CIR), кбит/с;

burst – размер сдерживающего порога (ограничение скорости) в байтах.

Вернуться к началу

Как сделать так, чтобы порт стал тегирующим в дефолтной VLAN?

Необходимо в режиме настройки Ethernet интерфейса выполнить команду:

switchport default-vlan tagged

Вернуться к началу

Как запретить добавление дефолтной VLAN на порту?

Необходимо в режиме настройки Ethernet интерфейса выполнить команду:

switchport forbidden default-vlan

DHCP-relay внутри одного vlan 

При наличие необходимости отправить DHCP-request на сервер юникастом, используя только один vlan, необходимо выполнить настройки

IP адрес сервера 192.168.1.10, ip адрес коммутатора 10.1.1.238

ip dhcp relay address 192.168.1.10

ip dhcp relay enable

ip dhcp relay information option suboption-type custom

ip dhcp relay information policy replace

!

interface vlan 1

ip address 10.1.1.238 255.255.255.0

no ip address dhcp

ip dhcp relay enable

exit

!

ip default-gateway 10.1.1.

Вернуться к началу

Как настроить порт в режиме access/trunk?

Для настройки порта в режиме access/trunk перейдите в режим конфигурирования интересующего интерфейса и введите комманды:

В режиме Access:

 console(config)# interface fastethernet 0/1

console(config)# switchport mode access

console(config)# switchport access vlan 10

В режиме Trunk:

console(config)# switchport mode trunk

console(config)# switchport trunk allowed vlan add all для пропуска всех VLAN’ов либо

console(config)# switchport trunk allowed vlan add 10,20,30 для определенного диапазона

Вернуться к началу

DHCP-relay внутри одного vlan

При наличие необходимости отправить DHCP-request на сервер юникастом, используя только один vlan, необходимо выполнить настройки

IP адрес сервера 192.168.1.10, ip адрес коммутатора 10.1.1.238

ip dhcp relay address 192.168.1.10

ip dhcp relay enable

ip dhcp relay information option suboption-type custom

ip dhcp relay information policy replace

!

interface vlan 1

ip address 10.1.1.238 255.255.255.0

no ip address dhcp

ip dhcp relay enable

exit

!

ip default-gateway 10.1.1.1

Вернуться к началу

Конфигурация DHCP relay

Коммутаторы поддерживают функции DHCP Relay агента. Задачей DHCP Relay агента является передача DHCP-пакетов от клиента к серверу и обратно в случае, если DHCP-сервер находится в одной сети, а клиент в другой. Другой функцией является добавление дополнительных опций в DHCP-запросы клиента (например, опции 82).

Принцип работы DHCP Relay агента на коммутаторе: коммутатор принимает от клиента DHCP- запросы, передает эти запросы серверу от имени клиента (оставляя в запросе опции с требуемыми клиентом параметрами и, в зависимости от конфигурации, добавляя свои опции). Получив ответ от сервера, коммутатор передает его клиенту.

Пример настройки:

1) Включить глобально dhcp relay:

     ip dhcp relay enable

2) Задать ip-адрес доступного dhcp-сервера (192.168.10.5):

    ip dhcp relay address 192.168.10.5 

3) Включить dhcp-опции:

    ip dhcp relay information option suboption-type custom

либо

    ip dhcp relay information option suboption-type tr101

4) Включить dhcp relay в клиентском vlan:

    interface vlan 1

    ip dhcp relay enable

 5) В vlan’е где находится dhcp-сервера настроить ip-адрес:

    interface vlan 10

    ip address 192.168.10.90

Вернуться к началу

Как настроить на коммутаторе DHCP сервер, который работал бы в конкретной VLAN?

Пример настройки для VLAN 101

Включить DHCPсервер и настроить пул выдаваемых адресов:

ip dhcp server 

ip dhcp pool network Test 

address low 192.168.101.10 high 192.168.101.254 255.255.255.0 

default-router 192.168.101.2 

dns-server 10.10.10.10 

exit

Задать для интерфейса VLAN101 IPадрес и сетевую маску (это будет адрес DHCPсервера) :

interface vlan 101 

ip address 192.168.101.1 255.255.255.0 

exit 

Назначить VLAN101 на Ethernet порт, к которому подключен пользователь (например, gi1/0/1):

interface gigabitethernet 1/0/1 

switchport access vlan 101 

exit

Вернуться к началу

Как восстановить имя пользователя и пароль для доступа к коммутатору в случае утери?

Необходимо подключить коммутатор к компьютеру при помощи кабеля RS-232 (через порт «Console»).

Используя терминальную программу (например, HyperTerminal) создайте подключение, произведя  следующие настройки:

выберете соответствующий последовательный порт.

установите скорость передачи данных – 115200 бит/с.

задайте формат данных: 8 бит данных, 1 стоповый бит, без контроля четности.

отключите аппаратное и программное управление потоком данных.

Перезагрузите коммутатор и войдите в меню Startup, прервав загрузку нажатием клавиши <Esc> или <Enter> в течение первых двух секунд после появления сообщения автозагрузки:

Autoboot in 2 seconds — press RETURN or Esc. to abort and enter prom.

В появившемся меню выберете пункт«Password Recovery Procedure», нажав клавишу<3>.

Далее необходимо вернуться в меню Startup, нажав клавишу <Enter>,  и продолжить загрузку коммутатора, нажав клавишу <Esc>.

При подключении имя пользователя и пароль будут проигнорированы.

Просмотр информации в выводе команд show

При просмотре информации командой show можно использовать несколько способов:

Для вывода информации полностью используем клавишу «а»

Для вывода информации постранично используем «space»

Для вывода информации построчно «enter»

 

При использовании команды

console# terminal datadump

вывод информации командой show будет происходить полностью, не постранично

Вернуться к началу

Имеется ли возможность посмотреть дефолтные настройки коммутатора?

Да, такая возможность есть.

Для этого необходимо воспользоваться командой

console#show system defaults

Вернуться к началу

Резервирование конфигурации на TFTP-сервере

Коммутаторы MES позволяют резервировать конфигурацию на TFTP-сервере по таймеру или при сохранении текущей конфигурации.

Настройка:

1) Включаем автоматическое резервирование конфигурации на сервере

console(config)#backup auto

2) Указываем сервер, на который будет производиться резервирование конфигурации.

console(config)#backup server tftp://10.10.10.1

3) Указываем путь расположения файла на сервере

console(config)#backup path backup.conf

Примечание: При сохранении к префиксу будет добавляться текущая дата и время в формате ггггммддччммсс.

4) Включаем сохранение истории резервных копий

console(config)#backup history enable

5) Указываем промежуток  времени, по истечении которого будет осуществляться автоматическое резервирование конфигурации, в минутах.

console(config)#backup time-period 500

6) Включаем резервирование конфигурации при сохранении пользователем конфигурации

console(config)#backup write-memory

Команды show backup и show backup history позволяют посмотреть информацию о настройках резервирования конфигурации и об удачных попытках резервирования на сервере.

Вернуться к началу

Как произвести сброс конфигурации к заводским настройкам?

Сброс конфигурации к заводским настройкам возможно осуществить через CLI, выполнив команду

delete startup-config

и перезагрузив коммутатор, 

а также при помощи кнопки «F» на лицевой панели.

Для этого необходимо нажать и удерживать кнопку «F» не менее 15 секунд.

Коммутатор автоматически перезагрузится и начнет работу с заводскими настройками.

Вернуться к началу

Обновление ПО на версии 4.х.х

Для загрузки файла системного ПО необходимо в командной строке CLI ввести следующую команду:

boot system tftp:// <ip address>/File Name,

где

<ip address> – IP-адрес TFTP сервера, с которого будет производиться загрузка файла системного ПО;

File Name – имя файла системного ПО;

и нажать Enter. В окне терминальной программы должно появиться следующее:

COPY-I-FILECPY: Files Copy — source URL tftp:// <ip address>

Если загрузка файла прошла успешно, то появятся сообщения вида:

29-Feb-2016 12:50:14 %COPY-N-TRAP: The copy operation was completed successfully

По умолчанию файл системного ПО загружается в неактивную область памяти и будет активным после перезагрузки коммутатора.

После выбора необходимо произвести перезагрузку коммутатора командой reload.

Загрузка/выгрузка конфигурации

Для того, чтобы произвести загрузку/выгрузку файла конфигурации с использованием CLI необходимо подключиться к коммутатору при помощи терминальной программы (например HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.

Для загрузки файла первоначальной конфигурации с TFTP сервера необходимо в командной строке CLI ввести команду:

copy tftp:// xxx.xxx.xxx.xxx/File Name startup-config,

где

xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, с которого будет производиться загрузка конфигурационного файла;

File Name – имя конфигурационного файла;

и нажать Enter. В окне терминальной программы должно появиться следующее сообщение:

Overwrite file [startup-config] ?[Yes/press any key for no]….

Для записи конфигурационного файла необходимо нажать клавишу y. Если загрузка файла прошла успешно, то появится сообщение вида:

COPY-N-TRAP: The copy operation was completed successfully

Для выгрузки файла первоначальной конфигурации на TFTP сервер необходимо в командной строке CLI ввести следующую команду: 

copy startup-config tftp:// xxx.xxx.xxx.xxx/File Name,

где

xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, на который будет производиться выгрузка конфигурационного файла;

File Name – имя конфигурационного файла;

и нажать Enter. Если выгрузка файла прошла успешно, то появится сообщение вида:

COPY-N-TRAP: The copy operation was completed successfully

Вернуться к началу

Как сбросить настройки интерфейса по умолчанию?

Сброс настроек интерфейса на значения по умолчанию выполняется следующей командой:

console(config)#default interface {fastethernet fa_port | gigabitethernet gi_port | port-channel group | vlan vlan_id | tunnel tunnel_id | range {…}}

Вернуться к началу

Как отключить DHCP-клиент на интерфейсе?

Необходимо перейти в настройки интерфейса и ввести команду:

no ip address dhcp

Например, отключить DHCP-клиент на интерфейсе VLAN1:

console(config)#interface vlan 1

console(config-if)#no ip address dhcp

Вернуться к началу

Что такое ACS сервер? Какая разница между внутренним и внешним ACS сервером?

ACS — Auto Configuration Server — сервер автоматического конфигурирования абонентских устройств по протоколу TR-069.

Внутренний ACS сервер встроен в оборудование LTP-4X/LTP-8X и служит для конфигурирования абонентских устройств, подключенных к данным OLT.

Внешний ACS сервер устанавливается на отдельный сервер и служит для конфигурирования абонентских устройств, поддерживающих протокол TR-069.

Вернуться к началу

Где на NTP-X, NTU-X посмотреть какие IP-адреса получили по DHCP клиенты локальной сети?

Необходимо подключиться к WEB-интерфейсу ONT по IP-адресу 192.168.1.1, логин/пароль  — user/user.

Перейти во вкладку «Device Info/DHCP».  Из таблицы Вы сможете узнать IP-адреса, которые получили клиенты локальной сети и срок аренды.

Вернуться к началу

Что такое родительский контроль (Parental Control) на устройствах NTP-X, NTU-X?

В данном разделе производится конфигурирование расписания работы компьютеров с использованием дней недели и часов, по которым определенному компьютеру в локальной сети будет запрещен доступ в Интернет. Запрет можно осуществить двумя способами:

• ограничение доступа к определенным сайтам.
• ограничение доступа в интернет по дням недели и времени.

Вернуться к началу

Как сбросить устройства NTP-X, NTU-X к заводским настройкам?

Существует два способа сброса абонентских терминалов NTP-X / NTU-X к заводским настройкам. 

1. Подключиться к WEB конфигуратору абонентского терминала. IP-адрес устройства 192.168.1.1,  логин/пароль  — user/user.

Во вкладке «Management/Settings/Restore Default» нажать кнопку «Restore Default Settings» и подтвердить нажав «OK». Последует перезагрузка устройства и сброс конфигурации к заводским параметрам.

2. Удерживать системную клавишу «F» в течение 7-10 секунд. При этом индикатор «Power» загорится красным цветом, индикатор «PON» погаснет. Последует перезагрузка устройства и сброс конфигурации к заводским параметрам.

Вернуться к началу

[NTP-RG] Как ограничивать доступ с телефонного аппарата, подключенного к линейке терминалов NTP-RG1402 к определенным видам исходящей связи?

Доступ к услуге осуществляется через меню настроек абонентского порта на странице «VoIP/SIPAdvanced Setting» путем установки флага «Call barring» и задания необходимых параметров в полях «Call barring mode» и «Call barring digit map».

Возможно 3 варианта ограничения вызовов в зависимости от параметра, указанного в поле «Call barring mode»:

• Call barring mode = Allow all, все исходящие звонки разрешены.
• Call barring mode = Deny all, все исходящие звонки запрещены.
• Call barring mode = Deny by digit map, исходящие звонки запрещены только на номер, указанный в поле «Call barring digit map».

Использование услуги:

Значение «Call barring digit map» — 1150. Для ограничения всех исходящих вызовов в поле «Call barring mode» необходимо выбрать значение «Deny all».

Для того чтобы разрешить все исходящие вызовы, требуется выбрать «Allow all». Для запрета исходящих звонков на номер 1150 необходимо задать «Deny by digit map» в поле «Call barring mode».

Вернуться к началу

Не хочу использовать пароль для доступа к Wi-Fi, как ограничить доступ чужих устройств к моей сети в таком случае?

Для того, чтобы в открытой сети (без пароля) ограничить доступ чужих лиц в вашу сеть, можно использовать функцию «Mac Filter». Фильтрация на основе MAC-адресов позволяет блокировать или разрешать доступ к сети Wi-Fi с учетом MAC-адреса Wi-Fi адаптера пользователя.

Для текущего SSID можно выбрать три режима работы фильтрации:

•     Disabled – фильтрация по MAC-адресу отключена.
•     Allow – при добавлении фильтра в данном режиме доступ к сети Wi-Fi получат только адреса, указанные в фильтре.
•     Deny – при добавлении фильтра в данном режиме доступ к сети Wi-Fi будет запрещен адресам, указанным в фильтре.

Изменение режима работы фильтра доступно только при включенном Wi-Fi. Для настройки необходимо:

1. Необходимо подключиться к WEB — интерфейсу NTP по IP-адресу 192.168.1.1 логин/пароль  — user/user.
2. Перейти во вкладку «Wireless — MAC Filter».
3. Выбрать нужную SSID в графе «Select SSID».
4. Выставить «MAC Restrict Mode» — «Allow».
5. Нажав кнопку ADD добавить MAC адреса устройств, которым Вы хотите разрешить доступ в Вашу сеть.

Вернуться к началу

Можно ли сделать несколько Wi-Fi сетей на терминалах NTP-RG1402G-W/NTP-RG1402G-WrevB/NTP-RG1402G-WrevC и как?

Терминалы NTP-RG1402G-W/NTP-RG1402G-W:rev B/NTP-RG1402G-W:rev C поддерживают одну основную и 3 гостевых Wi-fi сети. Для того чтобы активировать гостевую сеть необходимо:

1. Подключиться к WEB — интерфейсу NTP по IP-адресу 192.168.1.1 логин/пароль  — user/user.
2. Перейти во вкладку «Wireless — Basic».
3. В таблице «Wireless -Guest/Virtual Access Points» выставить значение «Enabled» напротив нужной сети.

Дополнительно можно настроить:

• Hidden – скрытый режим работы точки доступа (в данном режиме SSID беспроводной сети не будет широковещательно распространяться маршрутизатором);
• Clients Isolation – при установленном флаге беспроводные клиенты не смогут взаимодействовать друг с другом;
• Disable WMM Advertise – отключить WMM (Wi-Fi Multimedia – QoS для беспроводных сетей);
• Enable Wireless Multicast Forwarding (WMF) – включить WMF;
• SSID – Service Set Identifier – назначить имя беспроводной сети(ввод с учетом регистра клавиатуры);
• Max Clients — установить максимальное количество клиентов для данной сети

Вернуться к началу

Почему не работает IPTV по Wi-Fi?

Если Ваш провайдер предоставляет просмотр IPTV на PC через LAN порт терминала ONT, то для просмотра на устройствах подключаемых через Wi-Fi необходимо включить опцию «Enable Wireless Multicast Forwarding (WMF)» в настройках Wi-Fi. 

Необходимо:

• подключиться к WEB — интерфейсу NTP по IP-адресу 192.168.1.1 логин/пароль  — user/user.
• перейти во вкладку «Wireless — Basic».
• выставить галочку напротив опции «Enable Wireless Multicast Forwarding (WMF)».
• нажать кнопку «Apply/Save».

Вернуться к началу

Как сделать сеть Wi-Fi скрытой?

Настройку необходимо производить через WEB браузер (например Internet Explorer, Opera или Mozilla Firefox).

• Необходимо подключиться к WEB — интерфейсу NTP по IP-адресу 192.168.1.1 логин/пароль  — user/user.
• Перейти во вкладку Wireless — Basic.
• Выставить флаг напротив «Hide Access Point» и нажать кнопку «Apply/Save».

После этого Ваша сеть станет скрытой.

Вернуться к началу

Какое максимальное количество Wi-Fi клиентов можно подключить к терминалу NTP-RG1402G-W/NTP-RG1402G-WrevB/NTP-RG1402G-WrevC?

Максимальное количество Wi-Fi клиентов, которые могут подключиться к Вашему терминалу — 16.

Для того, чтобы ограничить количество клиентов необходимо подключиться к терминалу через Web браузер (IP-адрес 192.168.1.1 логин/пароль  — user/user), перейти в меню «Wireless — Basic» и выставить значение опции «Max Client» от 1 до 16.

Вернуться к началу

Как настроить Wi-Fi на NTP-RG1402G-W, NTP-RG1402G-W:rev.B?

Необходимо подключиться к WEB-интерфейсу NTP-RG по IP-адресу 192.168.1.1, логин/пароль  — user/user. Перейти во вкладку «Wireless/Basic», установить флаг в поле «Enable Wireless» и указать название сети в поле «SSID».  Нажать кнопку «Apply».

Во вкладке «Security» в поле «Network Authentication» из перечня в выпадающем списке требуется выбрать режим аутентификации для беспроводной сети. Нажать кнопку «Apply».

open – открытый – защита беспроводной сети отсутствует (в этом режиме может использоваться только WEP-ключ);

Shared – общий (режим позволяет пользователям получать аутентификацию по их SSID или WEP-ключу);

802.1x– включает стандарт 802.1x(позволяет пользователям аутентифицироваться с использованием сервера аутентификации RADIUS, для шифрования данных используется WEP-ключ);

WPA – включает стандарт WPA (режим использует протокол WPA и требует использования сервера аутентификации RADIUS).

WPA-PSK – включает стандарт WPA-PSK (режим использует протокол WPA, но не требует использования сервера аутентификации RADIUS).

WPA2 – включает WPA2 (режим использует протокол WPA2 и требует использования сервера аутентификации RADIUS).

WPA2-PSK – включает WPA2-PSK (режим использует протокол WPA2, но не требует использования сервера аутентификации RADIUS).

Mixed WPA2/WPA – включает комбинацию WPA2/WPA (данный режим шифрования использует протоколы WPA2 и WPA, требует использования сервера аутентификации RADIUS).

Mixed WPA2/WPA-PSK – включает комбинацию WPA2/WPA PSK (этот режим шифрования использует протоколы WPA2-PSK и WPA-PSK, не требует использования сервера аутентификации RADIUS).

Например, если выбираем шифрование WPA2-PSK, то в поле «WPA/WAPI passphrase» необходимо указать ключ доступа по к Wi-Fi. При изменении ключа безопастности необходимо учитывать, что он должен содержать не менее 10 символов, латинские буквы в нижнем и верхнем регистрах, не менее одной цифры.

Посмотреть введенный пароль можно нажав на кнопку «Click here to display».

Следует убедиться, что беспроводный адаптер компьютера поддерживает выбранный тип шифрования. 

Настройка завершена. Проверить подключение клиента к точке доступа NTP-RG.

Вернуться к началу

Как в NTP настроить проброс портов через NAT?

Настройку необходимо производить через WEB браузер (например Internet Explorer, Opera или Mozilla Firefox). Необходимо подключиться к WEB — интерфейсу NTP по IP-адресу 192.168.1.1 логин/пароль  — user/user.

Перейдите во вкладку Advanced Setup / NAT / Virtual Servers и нажмите кнопку ADD для добавления правила.

Select a Service — возможно выбрать из предлагаемого списка нужный сервис.

В случае, если в списке Select a Service нет требуемой программы, необходимо установить флаг Custom Service и прописать произвольное имя правила.

Server IP Address  — укажите IP-адрес локальной машины (телефон, компьютер, камера), на которую необходимо пробросить порты.

External Port Start, External Port End — укажите порт или диапазон портов, по которым будет приходить запросы из внешней сети.

Internal Port Start, Internal Port End — укажите порт или диапазон портов, по который роутеру следует пробрасывать трафик во внутреннюю подсеть

Protocol — укажите протокол, по которому роутер будет пробрасывать трафик во внутренню подсеть (TCP, UDP, TCP/UDP).

Для сохранения/применения конфигурации нажмите кнопку «Apply/Save».

Настройка завершена.

Перед тем как проверить проброшены ли порты, убедитесь, что брандмауэры и антивирусы не блокируют проверяемые программы.

Вернуться к началу

Как включить услугу «Ожидания вызовов» на NTP-RG?

Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль  — admin/password. Перейти во вкладку «Voice / Sip Advanced Setting», для своего аккаунта в поле Call waiting установить флаг.  Нажать кнопку «Apply/Save».

Вернуться к началу

Как на NTP-RG включить функцию Анти-АОН?

Услуга «Анти-АОН» позволяет абоненту запретить или разрешить определение своего телефонного номера при исходящих звонках на любые телефонные номера.

Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль  — admin/password.

Перейти во вкладку «Voice / Sip Advanced Setting», для своего аккаунта поставить галочку напротив Anonymous calling. Нажать кнопку «Apply/Save» 

Вернуться к началу

Как на NTP-RG настроить переадресацию вызова на определенный телефонный номер?

Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль  — admin/password. Перейти во вкладку «Voice / Sip Advanced Setting», для своего аккаунта указать вид переадресации и задать номер для перенаправления вызова.  Нажать кнопку «Apply/Save».

Виды переадресации:

• Forward unconditionally – при установленном флаге разрешена безусловная переадресация;
• Forward on»busy» – при установленном флаге разрешена переадресация вызова по занятости;
• Forward on»no answer» – при установленном флаге разрешена переадресация вызова по неответу абонента.

Вернуться к началу

Как на NTP-X, NTU-X заблокировать доступ к определенному сайту?

Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль  — user/user. Перейти во вкладку «Advanced Setup/Parental control/URL Filter».  Нажать кнопку «Add» для добавления новой записи.

В открывшемся окне необходимо указать порт и сайт, к которому будет закрыт доступ.

Вернуться к началу

Как сделать привязку IP-адресов к определенным МАС адресам устройств?

Если возникает необходимость выдачи опеределенного IP-адреса конкретному устройству (например, для проброса портов или настройки учетной записи на Smart TV), то в настройка NTP-RG1402G-W / NTP-RG1402G-WrevB / NTP-RG1402G-WrevC / NTP-2 / NTU-RG1402G-W / NTU-2W необходимо сделать следующее:

• подключиться к WEB-интерфейсу ONT по IP-адресу 192.168.1.1 (логин/пароль — user/user).
• перейти в раздел «Advanced Setup / LAN / General Settings».
• нажать кнопку «Add».
• в поле «MAC Address» указать адрес определенного устройства, в поле «IP Address» указать адрес, который должен будет выдаваться устройству.
• нажмите «Apply».

Вернуться к началу

Как на NTP-X, NTU-X ограничить доступ в сеть в зависимости от дня недели для различных MAC-адресов?

Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль  — user/user. Перейти во вкладку «Advanced Setup/Parental control/Time Restriction».  Нажать кнопку «Add» для добавления новой записи.

В открывшемся окне необходимо задать MAC-адрес сетевой карты компьютера, к которому будут применены ограничения, указать дни недели и время, когда будет ограничен доступ в интернет.

Всего можно добавить не более 16 записей.

Внимание!

Чтобы данные настройки работали корректно, необходимо перейти во вкладку «Management/Internet Time» и установить автоматическую синхронизацию по времени с сервером, указать часовой пояс вашего региона. Нажать кнопку «Apply/Save».

Вернуться к началу

Как настроить L2TP соединение на NTP-RGrevC?

Необходимо подключиться к WEB-интерфейсу NTP-RG по IP-адресу 192.168.1.1, логин/пароль  — admin/password. 

Туннель поднимается на интерфейсе epon0.1/ppp0.1, поэтому перед началом настройки следует поднять этот интерфейс (получить адрес/поднять pppoe сессию). Затем необходимо перейти в меню «VPN/L2TP Client» и нажать кнопку «Add».

В открывшемся окне указать имя L2TP тоннеля и адрес L2TP сервера, нажать кнопку «Next».

Затем необходимо указать логин/пароль для соединения и включить NAT, нажать кнопку «Next».

Для завершения настройки необходимо нажать кнопку «Apply/Save». 

В меню «Routing/Default Gateway» необходимо выставить интерфейс ppp1 (интерфейс L2TP соединения) в качестве маршрута по умолчанию.

Вернуться к началу

Рекомендации по расположению точки доступа Wi-Fi в квартире

           Для наилучшего покрытия беспроводной сетью помещения рекомендуется располагать терминал в равном удалении от всех концов помещения. Очень важно не располагать терминал на близком расстоянии от источников отражения (не менее 5-10 см). Не рекомендуется располагать терминал в углах, в шкафах или других закрытых точках, которые представляют для распространения радиосигнала препятствия и помехи. Очень важно не располагать терминал за зеркальными поверхностями, так как зеркальная дверь в шкафу или зеркало расположенное на стене перед терминалом — существенно ухудшает распространение сигнала и нарушает стабильность работы беспроводной сети.

          Не рекомендуется располагать терминал вблизи бытовых приборов, таких как микроволновые печи, телефоны, работающие в диапазоне 2,4–5 ГГц, передатчики видеосигнала, беспроводные динамики, работающие на частоте 2,4 или 5 ГГц, любые другие беспроводные устройства, работающие на частоте 2,4 ГГц или 5 ГГц (камеры, видеоняни, соседские беспроводные устройства и прочее).

Вернуться к началу

Выбор беспроводного канала для работы точки доступа Wi-Fi

В оптических абонентских устройствах ONT канал по умолчанию выбирается автоматически, на основе периодического анализа радиоэфира. Но вы можете вручную установить номер канала, в котором будет работать точка доступа. Абонентские устройства работающие на частоте 2.4Ггц имеют поддержку 13 каналов. Обращаем ваше внимание, что но не все клиентские устройства поддерживают работу на 12 и 13 каналах, поэтому если на точке доступа выбран для работы 12 или 13 беспроводной канал, то такие устройства не увидят точку доступа.

Вернуться к началу

Почему на acs-сервере 2-е (две) онт с одинаковым с/н (серийным номером)? ERROR: Cann’t send command: ONT url not defined!

Пример:

LTP-X# acs

(acs)ont

(acs-ont)show list all

##	Serial	Profile	Hardware name	Firmware	Last contact
1:	ELTX1A2B3C4D	ntu-rg1402w	?	[hwid = 0]	1901-12-14 04:45:52
2:	454C54581A2B3C4D	0: Default	NTU-RG-1402G-W	3.25.5.75	2000-01-16 21:07:39

И вот тут непонятно, почему две ont?

Далее, при попытке сделать сброс к дефолту или реконфигруацию выводит сообщение:

LTP-4X(acs-ont-sn=’ELTX1A2B3C4D’)# reconfigure

ERROR: Cann’t send command: ONT url not defined!

Дело в том, что acs не находит онт с серийным номером ELTX1A2B3C4D, т.к. формат должен быть числовой: 454C54581A2B3C4D, не зависимо от настроек LTP-4(config)# cli ont-sn-format.

Если онт онлайн, то ее не надо добавлять командой (acs-ont)add ont ххххххх, она сама появится в списке со своим серийным номером.

Итак, две онт с одинаковым с/н из-за того, что одна была добавлена пользователем с нечитаемым для acs-сервера форматом с/н, а вторая появилась автоматически, т.к. отсутствовала в списке.

Вернуться к началу

Как сбросить или перезагрузить ONT со станции?

Для перезагрузки ONT со станции необходимо выполнить команду

LTP-4X# send omci reset interface ont x/y

Для сброса к заводским настройкам

LTP-4X# send omci restore interface ont x/y

Где 

x — номер канала 0..3,

y — ont ID 0..127

Примеры

LTP-4X# send omci reset interface ont 0          // Перезагрузить все ONT на канале 0

LTP-4X# send omci reset interface ont 0/1-10     // Перезагрузить все ONT 0-10 на канале 0

LTP-4X# send omci reset interface ont 1,2/4,10   // Перезагрузить все ONT 4 и 10 на каналах 1 и 2

Вернуться к началу

Как преобразовать текст ACS профиля внутреннего ACS сервера для работы на внешнем ACS сервере?

Для загрузки текста профиля в графическом интерфейсе ACS.GUI внешнего ACS сервера необходимо, исключить из текста комнды set property и оставить только параметры конфигурирования, наример:

• “InternetGatewayDevice.X_BROADCOM_COM_LoginCfg.AdminPassword” “qwerty”

Вернуться к началу

Почему после добавления в конфигурацию OLT ONT SFP-ONU она остается в состоянии AUTHFAILED?

В дефолтной конфигурации на данном типе ONT установлен gpon password со значением «default», поэтому при добавлении ONT в конфигурацию OLT необходимо указать данный пароль.

LTP-4X(config)# interface ont 0/0

LTP-4X(config)(if-ont-0/0)# password default

Вернуться к началу

ONT в статусе CFGFAILED?

Статус CFGFAILED означает что произошел сбой в процессе конфигурирования ONT.  Причина этого сбоя — ошибки в конфигурации ONT на OLT. 

Ниже приведены наиболее частые ошибки, которые приводят к сбою конфигурации ONT:

1) На сервис назначен профиль cross-connect, но не назначен профиль DBA;

2) В конфигурации ONT присутствуют 2 профиля cross-connect с типом management.

Вернуться к началу

LTP-8X Как настроить управление в VLAN?

Настройку сетевых параметров терминала рекомендуется выполнять при подключении через COM-порт. Такой подход позволит избежать проблем с удаленным доступом к настраиваемому терминалу. При удаленной настройке будьте предельно внимательны.

Сначала необходимо прописать VLAN в конфигурации switch (коммутатора) LTP-8X. Для этого перейти из корневого меню в меню коммутатора командой <switch>

• LTP-8X(switch)

Перейти к конфигурированию коммутатора командой <configure>

• LTP-8X(switch)(config)#

Перейти к конфигурированию VLAN по его идентификатору <vlan [1..4094]>

• LTP-8X(switch)(config)# vlan 2

Добавить во VLAN front-port, через который осуществляется управление:

• LTP-8X(switch)(config-vlan)# tagged front-port 0

Ввести команду для применения изменений в конфигурации коммутатора, предварительно поднявшись выше уровнем командой <exit>:

• LTP-8X(switch)(config-vlan)# exit
• LTP-8X(switch)(config)# commit

Далее необходимо перейти из корневого меню в раздел конфигурирования терминала и задать необходимые параметры:

• LTP-8X# configure terminal
• LTP-8X(config)# management vid 2 //задайте VLAN управления терминала
• LTP-8X(config)# management ip xxx.xxx.xxx.xxx //задайте IP-адрес терминала
• LTP-8X(config)# management mask xxx.xxx.xxx.xxx //задайте маску подсети
• LTP-8X(config)# management gateway xxx.xxx.xxx.xxx //задайте шлюз по умолчанию

По завершению конфигурирования обязательно ввести команды для применения и сохранения конфигурации устройства:

• LTP-8X(config)# do commit
• LTP-8X(config)# do save

Изменения вступят в силу после применения конфигурации (команда commit).

LTP-8X(config)# do show management //просмотр сетевых параметров

Вернуться к началу

LTP-8X Какой заводской IP-адрес у LTP-8X и как его сменить?

Заводской IP-адрес устройства 192.168.1.2/24.

Для просмотра текущего IP-адрес введите:

• LTP-8X# show management

Изменение IP-адреса и других сетевых параметров:

• LTP-8X# configure terminal
• LTP-8X(config)# management ip ххх.ххх.ххх.ххх //где ххх.ххх.ххх.ххх — IP-адрес устройства;
• LTP-8X(config)# management mask yyy.yyy.yyy //где yyy.yyy.yyy.yyy — маска подсети;
• LTP-8X(config)# management gateway zzz.zzz.zzz //где zzz.zzz.zzz.zzz — IP-адрес шлюза;
• LTP-8X(config)# management vid A //где А — номер управляющего VLAN.

Ввести команды для применения и сохранения изменений в конфигурации устройства:

• LTP-8X(config)# do commit
• LTP-8X(config)# do save

Изменения вступят в силу после применения конфигурации (команда commit).

Вернуться к началу

LTP-8X Как загрузить/выгрузить конфигурацию?

Загрузка/выгрузка файлов конфигурации на/с устройства производится по протоколу TFTP.

Загрузка конфигурации

Для того чтобы загрузить файл конфигурации в терминал, необходимо запустить TFTP‑сервер. В директорию сервера (…/tftpboot) положить новый файл конфигурации LTP‑8X, и ввести команду:

• LTP-8X# copy tftp://192.168.18.1/file.config fs://config

где file.config — загружаемый файл конфигурации.

192.168.18.1 — host TFTP-сервера.

Выгрузка конфигурации

Необходимо запустить TFTP-сервер. Ввести команду:

• LTP-8X# copy fs://config tftp://192.168.18.1/backup.config

где

backup.config — выгружаемый файл конфигурации, имя файла может быть любым.

192.168.18.1 — host TFTP-сервера.

Так же поддерживается автоматизация процесса создания резервных копий конфигурации:

• LTP-8X# configure terminal

задание адрес tftp-сервера, куда будет сохраняться файл конфигурации:

• LTP-8X(config)# backup uri tftp://192.168.18.1/backup.config

выгрузка конфигурации после каждого сохранения конфигурации:

• LTP-8X(config)# backup on save //включение опции

выгрузка конфигурации по таймеру:

• LTP-8X(config)# backup on timer //включение опции
• LTP-8X(config)# backup timer period 3600 //задание длительности таймера в секундах

просмотр конфигурации автосохранения:

• LTP-8X(config)# do show backup

Ввести команды для применения и сохранения изменений в конфигурации устройства:

• LTP-8X(config)# do commit
• LTP-8X(config)# do save

Вернуться к началу

LTP-8X Почему после перегрузки слетает время?

На LTP-8X конструкцией не предусмотрено наличие батарейки, поэтому при перезагрузке устройства (прерывании питания) происходит сброс времени.

Чтобы не настраивать время на устройстве вручную можно произвести настройку протокола синхронизации времени с сервером. Для этого необходимо произвести следующие настройки:

• LTP-8X# configure terminal
• LTP-8X(config)# ip ntp enable
• LTP-8X(config)# ip ntp ip <ip-адрес сервера>
• LTP-8X(config)# ip ntp interval <период обращения в сек>
• LTP-8X(config)# ip ntp timezone <смещение относительно всемирного координационного времени>
• LTP-8X(config)# ip ntp daylightsaving
• LTP-8X(config)# do commit

Вернуться к началу

Как смотреть мультикаст с front-port’a OLT?

При возникновении проблем с сервисом IP-TV (артефакты, замирания, черный экран и прочее) нужно проверить будут ли наблюдаться подобные искажения с front-port’a OLT (таким образом будет исключены PON-чип и ONT из схемы).

Пример настройки для MA4000

1. Зайти в linux на Ма4000.

Далее выполнить telnet 10.255.255.x, где X это номер платы PLC-8+2, например если нужно подключиться к плате в слоту 11: telnet 10.255.255.13

Заходим в режим конфигурирования switch платы PLC-8.

    PLC8-Slot11@ma4000> switch

    PLC8-Slot11@ma4000(switch)# configure

    PLC8-Slot11@ma4000(switch)(config)#

Настраиваем мультикаст VLAN, как показано в примере (например VLAN 30).

    PLC8-Slot11@ma4000(switch)(config)# vlan 30

    PLC8-Slot11@ma4000(switch)(config-vlan)# untagged front-port 0

    PLC8-Slot11@ma4000(switch)(config-vlan)# ip igmp snooping mrouter del front-port 0

    Operation successfull

    PLC8-Slot11@ma4000(switch)(config-vlan)# exit

Настраиваем bridging между front-port и slot-channel, дополнительно устанавливаем PVID 30 на front-port, чтобы из нетегированного трафика делать тегированный.

    PLC8-Slot11@ma4000(switch)(config)# interface front-port 0

    PLC8-Slot11@ma4000(switch)(config-if)# pvid 30

    PLC8-Slot11@ma4000(switch)(config-if)# bridging to slot-channel 0

    PLC8-Slot11@ma4000(switch)(config-if)# exit

    PLC8-Slot11@ma4000(switch)(config)# interface slot-channel 0

    PLC8-Slot11@ma4000(switch)(config-if)# bridging to front-port 0

    PLC8-Slot11@ma4000(switch)(config-if)# exit

    PLC8-Slot11@ma4000(switch)(config)# config commit
Подключаем ПК к front-port платы PLC-8, на плате он обозначен как MGMT. Запрашиваем мультикаст группу. Если проблем с изображением не будет, то вероятней всего проблема на ONT (возможно некорректная конфигурация и прочее). Если проблема с фронт-порта также будет фиксироваться, то стоит проверить будут ли наблюдаться артефакты и прочее с фронт-порта платы PP4X.

 Пример настройки для LTP

Заходим в режим конфигурирования switch 

    LTP> switch

    LTP(switch)# configure

    LTP(switch)(config)#

Настраиваем мультикаст VLAN, как показано в примере (например VLAN 30, запрашивать будем с front-port 0).

    LTP(switch)(config)# vlan 30

    LTP(switch)(config-vlan)# untagged front-port 0

    LTP(switch)(config-vlan)# ip igmp snooping mrouter del front-port 0

    Operation successfull

    LTP(switch)(config-vlan)# exit

Настраиваем bridging между front-port и slot-channel, дополнительно устанавливаем PVID 30 на front-port, чтобы из нетегированного трафика делать тегированный.

    PLC8-Slot11@ma4000(switch)(config)# interface front-port 0

    PLC8-Slot11@ma4000(switch)(config-if)# pvid 30

    PLC8-Slot11@ma4000(switch)(config-if)# bridging to slot-channel 0

    PLC8-Slot11@ma4000(switch)(config-if)# exit

    PLC8-Slot11@ma4000(switch)(config)# interface slot-channel 0

    PLC8-Slot11@ma4000(switch)(config-if)# bridging to front-port 0

    PLC8-Slot11@ma4000(switch)(config-if)# exit

    PLC8-Slot11@ma4000(switch)(config)# config commit

Вернуться к началу

Как установить лицензию для работы сторонних ONT и NTU-SFP

По умолчанию на OLT разрешена работа только ONT производства ООО «Предприятие «ЭЛТЕКС». Для обеспечения работы ONT сторонних вендоров необходимо наличие на OLT лицензии. Для получения лицензии обратитесь в коммерческий отдел компании «ЭЛТЕКС».

Существует 2 способа загрузки лицензии на LTP:

1) Через команду copy с помощью TFTP сервера:

LTP-8X# copy tftp://<IP>/<PATH> fs://license

Download file from TFTP-server..

License successfully installed. Please reboot device for changes to make effect

Где:

IP – IP-адрес TFTP-сервера;

PATH – путь к файлу лицензии на TFTP-сервере.

2)

Через CLI:

LTP-8X# license set «»»<license>»»»

License successfully installed. Please reboot device for changes to make effect
Где:

license – полное содержимое файла лицензии, включая фигурные скобки.

После загрузки лицензии любым из способов необходима перезагрузка LTP:

LTP-8X# reboot

Загрузка лицензии на MA4000 осуществляется аналогично двумя способами. После загрузки лицензии на МА4000 лицензия активируется сразу, перезагружать MA4000 не требуется.

Файл лицензии сохраняется при перезагрузке, обновлении ПО, загрузке конфигурации. При сбросе OLT к заводским настройкам лицензия также удалится.

Вернуться к началу

Как настроить NTU-1 с помощью ACS сервера?

Устройство NTU-1 это OMCI бридж, настроить его можно только по OMCI (у данного терминала нет TR клиента). 

Вернуться к началу

LTP-8X Настройка Bridging между FrontPort

Ниже в примере показано как в CLI конфигурируется Bridging для двух портов — FrontPort 0 и FrontPort 7.

• LTP-8X# switch
• LTP-8X(switch)# configure
• LTP-8X(switch)(config)# interface front-port 0
• LTP-8X(switch)(config-if)# bridging to front-port 7
• LTP-8X(switch)(config-if)# exit
• LTP-8X(switch)(config)# interface front-port 7
• LTP-8X(switch)(config-if)# bridging to front-port 0
• LTP-8X(switch)(config-if)# exit
• LTP-8X(switch)(config)# commit
• LTP-8X(switch)(config)# exit
• LTP-8X(switch)# exit
• LTP-8X# save

Внимание!  bridging между front портами может работать только при использовании model 2 или 3 в конфигурации OLT.

Вернуться к началу

Почему на acs-сервере 2-е (две) онт с одинаковым с/н (серийным номером)? И почему появляется ошибка, при попытке применить команду к онт: «ERROR: Cann’t send command: ONT url not defined!» ?

Пример:

LTP-X# acs

(acs)ont

(acs-ont)show list all

##	Serial	Profile	Hardware name	Firmware	Last contact
1:	ELTX1A2B3C4D	ntu-rg1402w	?	[hwid = 0]	1901-12-14 04:45:52
2:	454C54581A2B3C4D	0: Default	NTU-RG-1402G-W	3.25.5.75	2000-01-16 21:07:39

И вот тут непонятно, почему две ont?

Далее, при попытке сделать сброс к дефолту или реконфигурацию выводит сообщение:

LTP-4X(acs-ont-sn=’ELTX1A2B3C4D’)# reconfigure

ERROR: Cann’t send command: ONT url not defined!

Дело в том, что acs не находит онт с серийным номером ELTX1A2B3C4D, т.к. формат должен быть числовой: 454C54581A2B3C4D, не зависимо от настроек LTP-4(config)# cli ont-sn-format.

Если онт онлайн, то ее не надо добавлять командой (acs-ont)add ont ххххххх, она сама появится в списке со своим серийным номером.

Итак, две онт с одинаковым с/н из-за того, что одна была добавлена пользователем с нечитаемым для acs-сервера форматом с/н, а вторая появилась автоматически, т.к. отсутствовала в списке.

Вернуться к началу

Почему на приставке нет Google Play Market?

Модель взаимодействия абонентской приставки и провайдера, включает в себя собственный магазин приложений, который содержит отобранные приложений, за которые, провайдер будет нести ответственность. Работа других приложений, установленных пользователем самостоятельно, не гарантирована.

Вернуться к началу

NV-10x не видит общие сетевые ресурсы на ПК

• Убедится, что приставка находится в одной подсети с другими устройствами. Для этого зайдите в меню Настройка раздел Сеть.
• Убедится, что на ПК сетевые ресурсы открыты (на разных версиях Windows механизм предоставления сетевых ресурсов может отличаться).

Вернуться к началу

Что делать, если NV-10х беспрерывно перезагружается?

Необходимо выполнить:

• процедуру по восстановлению заводской прошики (см. “Руководство по эксплуатации”, приложение Б)
• перезагрузить приставку
• скачать ПО с сайта провайдера или производителя и далее следовать инструкции по локальному обновлению ПО (см. “Руководство по эксплуатации”, приложение Б)

Вернуться к началу

Как обновить приставку на заводскую прошивку?

Если у Вас имеется заводская версия прошивки fw31x—rev(A или B)-eltex—x.y.z—b№.fwe, и обновление через Android заканчивается ошибкой: “Внимание, данная версия прошивки не поддерживается вашим устройством”, то нужно выполнить следующее:

• Скопировать образ прошивки в корень usb-накопителя;
• Подключить usb-накопитель к приставке. Нажать и удерживать кнопку F, на задней стороне панели.
• Подать питание. Удерживать кнопку “F”~5 сек. Начнётся процесс обновления прошивки на заводскую.

Вернуться к началу

Какие плейлисты и ТВ-программы поддерживает NV-10x?

NV-10x поддерживает работу плейлистов формата xspf и m3u. Предпочтительнее использовать формат xspf. Для данного фомата реализована поддержка дополнительных тегов, подробное описание в руководстве: http://eltex.nsk.ru/upload/iblock/556/rukovodstvo—po—sozdaniyu—pley_lista—iptv—nv_100_-nv_102.pdf

Также приставка поддерживает ТВ-программы в формате jtv.

Вернуться к началу

Что делать, если при запуске фильма изображение периодически пропадает или отображается черный экран?

Возможно, ваш телевизор не поддерживает некоторые режимы работы порта HDMI.

В данном случае рекомендуется в меню Настройки раздела Видео/Аудио:

• в поле параметрах медиаплеера Установить Разрешение установить значение, при котором данная проблема будет наименее выражена.
• в поле частота кадров задать меньшее значение относительно текущего либо указать i50(черезстрочная развертка).

Вернуться к началу

После выхода из настроек пропало изображение, что делать?

Вероятнее всего, вы выставили режим работы HDMI, который не поддерживается вашим телевизором. Зажмите кнопку F на пульте от приставки и удерживайте до тех пор, пока на экране не появится список доступных режимов. Попробуйте выставить один из предложенных режимов, если изображение опять исчезло, повторите процедуру с кнопкой F, но в этот раз выберите следующий режим.

Вернуться к началу

Поддерживается ли мой WiFi-адаптер приставкой NV-10x?

Для того чтобы определить, поддерживается ли wi—fiадаптер приставкой, необходимо знать его VID(Vendor ID) и PID(Product ID). Посмотреть эту информацию можно несколькими способами:

1. При наличии адаптера и ПК с ОС Windows:

• подключите адаптер к ПК с ОС Windows;
• зайдите в Пуск — Панель управления — Система — Вкладка “оборудование” — Диспетчер устройств;
• найдите в списке ваш адаптер и нажмите правой кнопкой мыши – Свойства;
• в появившемся окне откройте вкладку Сведения;

·         вы увидите примерно такую надпись USBVID_0CF3&PID_927112345. , в которой:

• 0CF3 – VID
• 9271 – PID

2. При отсутствии возможности посмотреть данную информацию на ПК:

Попробуйте найти VID/PIDпо модели адаптера на следующих сайтах:

• http://linuxwireless.org/en/users/Devices/USB
• http://linux-wless.passys.nl

После этого необходимо найти соответствующую пару значений в текстовом документе по ссылке http://download.eltex—media.ru/nv/nv100/archive/wifi_new.txt. Если соответствие найдено, то ваш адаптер поддерживается, если нет, то, к сожалению, данное устройство работать не будет. P.S. Необходимо искать информацию по полной маркировке адаптера, вплоть до ревизии. Если вы не нашли модель адаптера на указанных выше сайтах, то, скорее всего, ваш адаптер не поддерживается. Для более точной информации нужно воспользоваться способом 1.

Вернуться к началу

При работе приставки перестает работать WiFi через router

Наиболее вероятная причина проблемы это то, что на данной модели Router(а) между медными портами и WiFi настроен Bridge. Таким образом многоадресная рассылка (multicast), при просмотре с приставки через медь, разлетается по всем портам, в частности и в беспроводной интерфейс — в связи с этим возникают проблемы, т.к. WiFi оказывается загружен посторонним трафиком.

В качестве решения данной проблемы предлагается включение функции udpxy на приставке. Функция будет работать при условии поддержки данного функционала на встречной стороне (Router).

Вернуться к началу

Как восстановить заводскую прошивку NV-10х?

Следуйте инструкции по восстановлению заводской прошивки, см Руководство по эксплуатации в Центре Загрузки (http://eltex.nsk.ru/support/downloads/).

Вернуться к началу

Как на NV-10x настроить беспроводное соединение?

Подключите WiFi-адаптер к порту USB приставки. Откройте Настройки раздел Сеть. В поле Типвыберите Беспроводной. Нажмите кнопку «Поиск WiFi сетей». Из списка выберите нужную точку доступа (Access Point). При необходимости введите ключ для подключения к Wi—Fi.

Вернуться к началу

Восстановление NV-102 сменой образа ПО

В случае если медиацентр NV-102 не загружается и восстановление до заводской прошивки по кнопке F не помогает, остается последний вариант самостоятельного восстановления — смена образа ПО.

1. Скачайте архив образа ПО
2. Распакуйте содержимое архива в корень USB-флешки — должно получиться 2 файла
3. Подключите флешку к выключенному от питания медиацентру
4. Зажмите кнопку F на задней панели медиацентра и подключите кабель питания
5. Отпустите кнопку F когда светодиод статуса устройства станет зеленым (примерно через 5-7 секунд)
6. Дождитесь окончания восстановления (7-9 минут)

По окончанию восстановления медицентр будет перезагружен. На нем будет установлена новая заводская прошивка. После этого можете обновиться на прошивку Вашего провайдера или любую другую из Центра Загрузки

Вернуться к началу

Не появляется изображение при загрузке приставки NV-10x. Мигает зеленым-красным индикатор статуса

Если у Вас при загрузке приставки после экранов «загрузка» и «Проверика обновлений» не появлется главное меню приставки, но при этом светодиод статуса устройтсва мигает зеленым и красным светом, то возможно в программном обеспечении медиацентра есть плагины от старых версий ПО, которые не совместимы с новыми.

В этом случае выполните действия:

1. Отключите кабель питания и сетевой кабель Ethernet.
2. Выполните процедуру восстановления ПО используя кнопку F на задней панели медиацентра.
3. По окончанию восстановления выполните обновление с локального носителя на требуемую прошивку.
4. После обновления в меню «Настройки — Система» выберите способ обновления «Файл» или «Нет»
5. Подключите сетевой кабель Ethernet

В результате медиацентр не будет подгружать архив кастомизации провайдера config.tar.gz, в котором, чаще всего, и содержатся устарые плагины. Если у Вас вновь пропало изображение после пункта 3 — устаревший плагин уже вшит в прошивку. Обратитесь к провайдеру по этой проблеме.

Вернуться к началу

Не работает сервис Youtube на NV-10x. Что делать?

В сервисе Youtube регулярно появляются правки и нововведения, вследствии которых мы можем гарантировать его стабильную работу только на актуальных версиях прошивок.

Если у Вас Youtube не работает, выполните следующие действия:

• Проверьте актуальную ли версию ПО Вы используете. Свежие прошивки можете скачать из Центра Загрузки
• Устанволен доступ к Интернет
• В главном меню отображается текущее время

Вернуться к началу

Установка плагина P2P на прошивку Eltex

На примере оператора “Новотелеком” 

Для установки плагина p2p вам необходимо:

1.     Установить новую прошивку (на сайте в соответствующем разделе) и скачать плагин p2p (по ссылке в changelog’е одной из последних прошивок).

2.     Подключиться к приставке по telnet, логин:root, пароль: мак адрес приставки (a8f94b…).

3.     Ввести команду для перемонитрования раздела sdk на запись. mount —o remount,rw /sdkВнимание!!! В случае ошибочных действий вы можете испортить системную часть приставки, что может повлечь за собой порчу прошивки. В случае порчи восстановите прошивку до заводской и установите заново текущую согласно руководству по локальному обновлению программного обеспечения.

4.     Вставить USB flash накопитель c плагином и файлами конфигурации (см. ниже) в USB порт приставки.

5.     Скопировать все три файла в папку /sdk/qt/STBGUI_PLUGIN/p2ptv с помощью команд:

cp /mnt/stb/local/”your_flash_name”/libp2ptv.so /sdk/qt/STBGUI_PLUGIN/p2ptv/ 

cp /mnt/stb/local/”your_flash_name”/p2ptv_desc.txt /sdk/qt/STBGUI_PLUGIN/p2ptv/ 

cp /mnt/stb/local/”your_flash_name”/p2ptv.config /sdk/qt/STBGUI_PLUGIN/p2ptv/

Чтобы узнать “your_flash_name”, наберите команду mount, например:

eltex-nv102[~]# mount 
      

     /dev/sda1 on /mnt/stb/local/JetFlash-Transcend 4GB-part1 type vfat (rw,relatime,fmask=0022,dmask=0022,codepage=cp437,iocharset=utf8,shortname=mixed,errors=remount-ro)

В данном случае путь до USB flash накопителя будет таким: /mnt/stb/local/JetFlash-Transcend 4GB-part1/

Введите команду sync и перезагрузите приставку.

Содержимое p2ptv_desc.txt (для Новотелеком):

Содержимое p2ptv.config (для Новотелеком):

?device=eltex-nv101-mkv&api-version=2

http://www.cn.ru/films/xml/tags/ 

http://www.cn.ru/films/xml/list/ 

http://www.cn.ru/films/xml/search/ 

Если у вас другой оператор, тогда вам необходимо знать адрес хаба и адреса афиши, и прописать их в файлах p2ptv_desc.txt и p2ptv.config

Вернуться к началу

Самостоятельная сборка прошивка.

1. Необходимо скачать make архив (разобранная прошивка) последнего релиза. Для этого нужно определить номер последнего релиза для модели на странице http://eltex.nsk.ru/support/downloads/ и в соответствии с версией составить ссылку для скачивания сборочного архива. Например:

NV100/101

http://download.eltex—media.ru/nv/nv100/archive/nv101img_160927_0.416.179.zip — ссылка на последний релиз

http://download.eltex—media.ru/nv/nv100/archive/make_fw_160927_0.416.179.tar.bz2 — ссылка на соответствующий make архив

NV102

http://download.eltex—media.ru/nv/nv102/archive/nv102ssk_161222_0.1.12.zip — ссылка на последний релиз

http://download.eltex—media.ru/nv/nv102/archive/make_fw_161222_0.1.12.tar.bz2 — ссылка на соответствующий make архив

То есть, вам нужно в ссылке на make архив из данной статьи вставить дату и номер версии последней релизной версии.

Так сделано, потому что make архив предыдущего релиза всегда удаляется с сервера, а хранится только актуальный. 

2. Скачать плагин-браузер для запуска «Смотрешки», конфиг и иконки.

• Плагин-браузер http://download.eltex—media.ru/nv/libstbbrowser.so
• Конфиг http://download.eltex—media.ru/nv/smotreshka/PluginManifest.xml
• Иконка большая http://download.eltex—media.ru/nv/smotreshka/smotreska_logo.png
• Иконка маленькая http://download.eltex—media.ru/nv/smotreshka/smotreska_logo_small.png

3. Положить 4 файла в папку с любым названием, например smotreshka и скопировать в директорию «/sdk/qt—install-4.7.0/STBGUI_PLUGIN/» (в распакованном make архиве).

4. Для того, чтобы логин/пароль сохранялся при выходе из приложения, нужно:

1. Скачать архив со скриптами по ссылке.
2. Скопируйте папку custom_scripts в корень директории sdk в make архиве.
3. Добавьте в файл do_list_sdk.sh строку рядом с другими аналогичными:

DIR_SCRIPTS=custom_scripts

       4. Добавьте директорию и файлы скриптов в sdk_files_and_dirs.txt

У вас получится примерно так:

    ${DIR_ELTEX}/lib 

    ${DIR_SCRIPTS}" 

FILES=" 

И внизу:

sch_fq_codel.ko 

loadStorage.sh 

saveStorage.sh" 

5. Воспользоваться руководством по сборке прошивки (стр.3, пример про приложение «Радио»).

Вернуться к началу

Прошивка с приложением «Смотрешка» на nv100/101/102

Готовая прошивка. 

NV102:

Для данной модели на сайте smotreshka.tv есть готовая прошивка. Ссылка на прошивку есть на этой странице. 

Вернуться к началу

Удаленная установка приложения.

Если у вас на сети организован сервер обновлений, то необходимо в корень положить архив config.tar.gz (создать самостоятельно).

С содержимым:

• libstbbrowser.so
• PluginManifest.xml
• smotreska_logo.png
• smotreska_logo_small.png
• loadStorage.sh
• saveStorage.sh
• file_list.txt

В файл file_list.txt нужно перечислить пути, куда копировать данные файлы:

/sdk/qt/STBGUI_PLUGIN/smotreshka/libstbbrowser.so

/sdk/qt/STBGUI_PLUGIN/smotreshka/PluginManifest.xml

/sdk/qt/STBGUI_PLUGIN/smotreshka/smotreska_logo.png

/sdk/qt/STBGUI_PLUGIN/smotreshka/smotreska_logo_small.png

/sdk/custom_scripts/loadStorage.sh

/sdk/custom_scripts/saveStorage.sh

В конце последней строки обязательно нужно поставить Enter (перевод строки)!

При каждом запуске приставка проверяет наличие данного архива, скачивает его и копирует файлы в соответствии с file_list.txt

Подробнее про кастомизацию с помощью архива можно почитать в рукуводстве на сайте по ссылке.

Вернуться к началу

Самостоятельная сборка прошивки

1. Необходимо скачать make архив (разобранная прошивка) последнего релиза. Для этого нужно определить номер последнего релиза для модели на странице http://eltex.nsk.ru/support/downloads/ и в соответствии с версией составить ссылку для скачивания сборочного архива. Например:

NV100/101

http://download.eltex—media.ru/nv/nv100/archive/nv101img_160927_0.416.179.zip — ссылка на последний релиз

http://download.eltex—media.ru/nv/nv100/archive/make_fw_160927_0.416.179.tar.bz2 — ссылка на соответствующий make архив

NV102

http://download.eltex—media.ru/nv/nv102/archive/nv102ssk_161222_0.1.12.zip — ссылка на последний релиз

http://download.eltex—media.ru/nv/nv102/archive/make_fw_161222_0.1.12.tar.bz2 — ссылка на соответствующий make архив

То есть, вам нужно в ссылке на make архив из данной статьи вставить дату и номер версии последней релизной версии.

Так сделано, потому что make архив предыдущего релиза всегда удаляется с сервера, а хранится только актуальный. 

2. Скачать плагин-браузер для запуска «Смотрешки», конфиг и иконки.

• Плагин-браузер http://download.eltex—media.ru/nv/libstbbrowser.so
• Конфиг http://download.eltex—media.ru/nv/smotreshka/PluginManifest.xml
• Иконка большая http://download.eltex—media.ru/nv/smotreshka/smotreska_logo.png
• Иконка маленькая http://download.eltex—media.ru/nv/smotreshka/smotreska_logo_small.png

3. Положить 4 файла в папку с любым названием, например smotreshka и скопировать в директорию «/sdk/qt—install-4.7.0/STBGUI_PLUGIN/» (в распакованном make архиве).

4. Для того, чтобы логин/пароль сохранялся при выходе из приложения, нужно:

1. Скачать архив со скриптами по ссылке.
2. Скопируйте папку custom_scripts в корень директории sdk в make архиве.
3. Добавьте в файл do_list_sdk.sh строку рядом с другими аналогичными:

DIR_SCRIPTS=custom_scripts

       4. Добавьте директорию и файлы скриптов в sdk_files_and_dirs.txt

У вас получится примерно так:

    ${DIR_ELTEX}/lib 

    ${DIR_SCRIPTS}" 

FILES=" 

И внизу:

sch_fq_codel.ko 

loadStorage.sh 

saveStorage.sh" 

5. Воспользоваться руководством по сборке прошивки (стр.3, пример про приложение «Радио»).

Вернуться к началу

Восстановление NV-100/101 сменой образа ПО

В случае когда не удается загрузить медиацентр ни с рабочей, ни с резервной прошивки, можно прибегнуть к процедуре восстановления со сменой заводского ПО при помощи образа.

1. Отключите от медиацентра кабели питания и Ethernet
2. Скачайте и распакуйте в корень USB-флешки образ ПО __nv101.img. Ссылка: https://yadi.sk/d/OPIy0b1XnrFKe
3. Подключите флешку к приставке
4. Зажмите кнопку F на задней панели и подключите кабель питания
5. Отпустите кнопку F когда светодиод статуса станет зеленым (примерно 5-7 секунд)
6. Дождитесь окончания восстановления.

В процессе на экране будет отображаться надпись «Загрузка». Весь процесс занимает 10-15 минут. По окончанию восстановления будет загружена резервная завдосткая прошивка, с котрой можно обновиться на актуальную версию. Прошивки дсотупны в Центре загрузки: http://eltex.nsk.ru/support/downloads/ 

Вернуться к началу

Где скачать make архив для кастомизации прошивки на nv10x?

Актуальные make архивы последних релизов можно скачать с ftp:

ftp://ftp.eltex.org/nv10x/

Пользователь: stbguest

Пароль: GuestSTB15@

Вернуться к началу

Как восстановить ПО на SMG?

В случае, когда не удается обновить ПО через web-интерфейс или консоль (Тelnet, SSH), существует возможность резервного обновления ПО через RS-232.

Для того чтобы обновить встроенное ПО устройства, необходимы следующие программы:

Программа терминалов (например, TERATERM, SecureCRT, Putty);

Программа TFTP сервера.

Последовательность действий при обновлении устройства:

Подключиться к порту Ethernet устройства.

Подключить скрещенным кабелем Com-порт компьютера к Console-порту устройства.

Запустить терминальную программу.

Настроить скорость передачи 115200, формат данных 8 бит, без паритета, 1 бит стоповый, без управления потоком.

Запустить на компьютере программу TFTP-сервера (компьютер, на котором запущен TFTP-сервер и устройство должны находиться в одной сети) и указать путь к папке smg_files. В ней создать папку smg или smg1016m или smg2016, в зависимости от модели оборудования. Далее положить в них файлы прошивок, чтобы конечный путь стал таким:

для SMG1016M -/smg_files/smg1016m/smg1016M_kernel, /smg_files/smg1016m/smg1016M_initrd;

для SMG1016 -/smg_files/smg/smg1016_kernel, /smg_files/smg/smg1016_initrd;

для SMG2016 -/smg_files/smg2016/smg2016_kernel, /smg_files/smg2016/smg2016_initrd.

Включить устройство. Остановить загрузку путем ввода команды stop в момент появления следующей надписи:

U-Boot 2009.06 (Feb 09 2010 — 20:57:21)

CPU: AMCC PowerPC 460GT Rev. A at 800 MHz (PLB=200, OPB=100, EBC=100 MHz) 

Security/Kasumi support 

Bootstrap Option B — Boot ROM Location EBC (16 bits) 

32 kB I-Cache 32 kB D-Cache

Board: SMG-1016Mv2 board, AMCC PPC460GT Glacier based, 2*PCIe, Rev. FF

I2C: ready

DRAM: 512 MB

SDRAM test phase 1:

SDRAM test phase 2:

SDRAM test passed. Ok!

FLASH: 64 MB

NAND: 128 MiB

DTT: 1 FAILED INIT

Net: ppc_4xx_eth0, ppc_4xx_eth1

Type run flash_nfs to mount root filesystem over NFS

Autobooting in 3 seconds, press ‘stop’ for stop

=> 

Задать IP-адрес устройства:

set ipaddr <ipaddr>

где <ipaddr> — новый IP-адрес SMG.

Например: set ipaddr 192.168.2.2

Задать сетевую маску:

set netmask <netmask>

где <netmask> — сетевая маска.

Например: set netmask 255.255.255.0

Задать IP-адрес TFTP-сервера:

set serverip <tftp-ip>

где <tftp-ip> — IP-адрес компьютера, на котором запущен TFTP-сервер.

Например: set serverip 192.168.2.5

Активировать сетевой интерфейс командой mii si

Обновить ядро Linux:

для SMG1016m или SMG2016 командой run flash_kern;

для SMG1016 командой run updatekern.

Обновить файловую систему:

для SMG1016m или SMG2016 командой run flash_initrd;

для SMG1016 командой run updateinit.

Запустить устройство командой run bootcmd.

Вернуться к началу

Какое максимальное количество префиксов/масок/модификаторов/интефейсов возможно создать на SMG?

В настоящий момент на устройстве существуют следующие ограничения:

Общее количество префиксов — 2048

Общее количество масок в каждом префиксе — 4096

Максимальная длина каждой маски — 1000 символов

Общее количество модификаторов — 8192

Общее количество SIP интерфейсов — 255

Общее количество транковых групп — 255

Максимальное количество планов нумерации — 16

Максимальное количество связок для абонентского типа регистрации на интерфейсах SIP — 3000

Максимальное число транковых направлений — 32

Максимальное число транковых групп в транковых направлениях — 32

Максимальное количество PBX профилей — 32

Максимальное количество сетевых интерфейсов — 10 с возможностью увеличения до 40 при установке лицензии SMG-VNI

На версиях ПО с RC12 до 3.2.1 количество транковых групп и SIP-интерфейсов было меньше — 64.

На версиях ПО RC11 и ниже были следующие ограничения:

Общее количество префиксов — 255

Общее количество масок в префиксе — 512

Максимальная длина каждой маски — 1000 символов

Общее количество модификаторов — 8192

Максимальное количество планов нумерации – 1

Вернуться к началу

Как выкачать списки fail2ban на SMG?

На SMG1016m/2016 есть 3 списка адресов:

Белый список IP адресов

Черный список IP адресов

Список заблокированных IP адресов

Сами списки находятся по следующему пути /tmp/disk/fail2ban

Соответственно, чтобы выгрузить списки с помощью tftp (на данный момент выгрузка доступна и из под web) достаточно ввести команду

cd /tmp/disk/fail2ban

tftp -pl <имя файла> <адрес сервера>

Чтобы загрузить списки с удаленного TFTP сервера можно использовать следующую команду:

cd /tmp/disk/fail2ban

tftp -gl <имя файла> <адрес сервера>

После загрузки файла в вебе нужно выключить/включить fail2ban, чтобы списки применились.

Вернуться к началу

Как настроить балансировку нагрузки между точками доступа?

Балансировка нагрузки позволяет обеспечить распределение нагрузки между соседними ТД. Для того, чтобы избежать перегрузки полосы пропускания, точка доступа отклоняет подключение новых пользователей при достижении определенного уровня утилизации канала, что вынуждает новых пользователей подключаться к менее загруженным точкам.

   Настроить балансировку нагрузки можно в меню «Manage» в подменю «Load Balancing». 

   Для конфигурирования доступны следующие поля:

— Enabled – балансировка нагрузки включена;

— Disabled – балансировка нагрузки выключена.

— Utilization for No New Associations – уровень утилизации полосы пропускания точки доступа, при превышении которой происходит запрет на подключение новых клиентов, задается в %. По умолчанию – 0.

   Нажмите кнопку «Update» для сохранения внесенных изменений.

Вернуться к началу

Какой коэффициент усиления встроенных антенн на WEP-12ac/WEP-2ac?

Диапазон частот, ГГц	Коэффициент усиления антенны на WEP-2ac, dBi	Коэффициент усиления антенны на WEP-12ac, dBi
2,4	5	5
5	5-5.2	6

Вернуться к началу

EAP методы, которые поддерживает ТД для WEP-12ac/WOP-12ac/WOP-12ac-LR?

Точки доступа поддерживают следующие EAP методы аутентификации:

    для Ноtspot — EAP-MD5

    для Enterprise — EAP-PEAP, EAP-TLS, EAP-TTLS, EAP-MD5

Вернуться к началу

Почему периодически отваливается связь при хорошем уровне сигнала?

Нужно понимать, что если клиент хорошо видит ТД, то это совсем не значит, что  ТД также хорошо видит клиента. Обычно мощность передатчика клиентского оборудования ниже.

Нужно понять с какой причиной отключается клиент от ТД. Вопрос определения MAC адреса клиентского устройства можно решить, например, попросив его авторизироваться под уникальным тестовым аккаунтом созданным на Radius (после подключения посмотреть мак адрес клиента в таблице аккаунтинга (Radius- Таблица подключения пользователей)). После выяснения мак адреса  необходимо в  журнале событий в СУ (События — Журнал событий) по мак адресу просмотреть причины отключения его от ТД  в указанный промежуток времени.

Основные причины:

—  RSSI -89, ‘Disconnected by minimal signal level’

Уровень сигнала воспринимаемый ТД может сильно зависит от  расположения клиента (меняется его диаграмма направленности сигнала)

Такая причина стандартно появляется при роуминге клиента между точками – когда клиент сам не инициирует отключение, но уровень от него ниже критического(заданного в настройках), его отключает точка – после чего клиент должен авторизироваться на ТД с лучшим уровнем.

При неправильном радиопланировании может выйти так что клиент находясь в своем кабинете будет попадать в пограничную зону – и ТД будет видеть его с плохим уровнем сигнала – что приведет к частым отключением по данной причине.

— RSSI -67, ‘Restart hostapd’

Сообщение такого плана говорит, что о том что на ТД был перезапущен радиомодуль – соответственно все клиенты подключенные к данной сети при этом отключаются от ТД. Перезапуск может происходить из-за:

    периодически из-за смены канала (если включен планировщик каналов, закладка Конфигурация-Cluster.Main-ChannelPlanner-Status). Нужно проверить какой период перепланирования выставлен. При необходимости увеличить его, либо отключить планировщик

    в СУ происходит синхронизация SSID через заданные промежутки времени – если в процессе синхронизации изменяются настройки то Radio-модуль также будет перезапущен. Необходимо проверить период синхронизаций в разделе Администрирование — Задачи по расписанию, графа “Проверка и исправление SSID привязок»

— ‘Sending station inactivity’

Данная причина говорит о том, что точка доступа удалила запись о клиенте из своей памяти тк связь с ним была потеряна и при этом от клиента не было пакета на логическое завершение сессии. Это может быть связано с резким ухудшением сигнала что в свою очередь приводит к потере пакета отключения клиента. Возможно в помещении есть мертвые зоны.

— ‘Sending station is leaving (or has left) BSS’

Данная причина говорит о том, что клиент переключился на другую ТД(вероятно из-за того что от неё более лучший уровень сигнала). Если клиент постоянно переключается между двумя соседними точками с такой причиной, можно на одной ТД занизить уровень на 2-4 dbm(Конфигурация-РадиоИнтерфейсы-TransmitPower). Вероятно это стабилизирует состояние абонента.

Вернуться к началу

Как настроить роуминг 802.11r через EMS на WEP-12ac/WOP-12ac?

Чтобы настроить роуминг 802.11r через EMS выполните следующее:

1.      На всех точках доступа, участвующих в роуминге необходимо настроить режим работы кластера. Выделите в дереве устройств точку доступа. Зайдите на вкладку «Конфигурация», «Cluster.Main». Нажмите кнопку «Редактировать» и установите «Cluster mode» в режим «SoftWLC». Нажмите кнопку «Сохранить».  Повторите действия на остальных ТД.

2.      Далее необходимо на всех точках настроить одинаковые SSID. Для этого откройте пункт меню «Wireless», «Менеджер SSID» и создайте SSID. Задайте имя, домен, выберите все радио-интерфейсы для назначения SSID, задайте режим безопасности WPA Enterprise и оставьте включенным только режим шифрования WPA 2 (Enable pre-authentication = off, MFP = not required), сделайте настройки RADIUS, задайте VLAN ID.

Сделайте привязку созданного SSID ко всем точкам  доступа. Для этого выделите созданный SSID в списке и нажмите кнопку «Добавить SSID привязку». В дереве устройств выберите точки доступа, на которых настраиваете роуминг, нажмите кнопку «Добавить привязку» (индикатор в дереве сменится с желтого на зеленый), установите галочку «Запустить проверку SSID после добавления в БД», нажмите кнопку «Принять».

После этого созданный SSID появится на VAP во вкладке «Конфигурация», «Виртуальные точки доступа» на каждом радио-интерфейсе.

3.      Настройка роуминга.

В меню выберите пункт «Wireless», «Менеджер настройки FBT на ТД».  Установите «FT over DS»=»on». Задайте R0 Key Holder, в качестве R1 Key Holder используйте MAC адрес одной из виртуальных точек в роуминговой сети.

Укажите:

Mobility Domain = 0,

Reassociation Deadline=1000 ms,

RRB key = <шестнадцатизначный ключ>.

Нажмите кнопку «Добавить» и выберите сначала точку доступа, а затем на ней настроенные VAP и нажмите кнопку «Добавить», затем «Принять».

4.      Результат настройки можно увидеть на вкладке «Конфигурация», «Key holder data»

Вернуться к началу

Как настроить роуминг 802.11r между точками доступа через WEB интерфейс?

1. Во вкладке VAP.

На устройствах настройте виртуальные точки доступа с одинаковым SSID, использующих один VLAN ID.

Настройте шифрование, как показано на скриншотах .

Нажмите Update.

1.1. Для авторизации WPA Enterprise



1.2. Для WPA Personal



2. Перейдите на вкладку Fast BSS Transition

2.1. Укажите настроенную Вами виртуальную точку и установите параметры, указанные на скриншоте. В качеcтве R1 Key Holder используйте MAC адрес одной из виртуальных точек в роуминговой сети. Нажмите Update.

Эти параметры должны быть одинаковыми на всех точках доступа, участвующих в роуминге.

2.2. В графе MAC Address необходимо указать адрес VAP интерфейса соседней точки доступа. Эти адреса можно получить, подключившись к точке доступа по telnet, командой ifconfig.

Пример:

wlan0     Link encap:Ethernet  HWaddr A8:F9:4B:B0:33:80      # mac соответствует  VAP0 на первом радиоинтерфейсе

          UP BROADCAST RUNNING  MTU:1500  Metric:1

          RX packets:0 errors:0 dropped:0 overruns:0 frame:1808174

          TX packets:537831 errors:14 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:0 (0.0 B)  TX bytes:69653835 (66.4 MiB)

          Interrupt:163

wlan0vap1 Link encap:Ethernet  HWaddr A8:F9:4B:B0:33:81     # mac соответствует VAP1 на первом радиоинтерфейсе

          UP BROADCAST RUNNING  MTU:1500  Metric:1

          RX packets:3291 errors:0 dropped:0 overruns:0 frame:1808174

          TX packets:539183 errors:5 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:352099 (343.8 KiB)  TX bytes:65897272 (62.8 MiB).

В графе NAS ID укажите ранее введенный R0 Key Holder.

В графе RRB Key введите любую последовательность цифр, например 1234567890123456 (должна быть одинакова для всех точек доступа).

Нажмите кнопку Add.

Аналогичным образом в эту таблицу нужно добавить адреса всех встречных интерфейсов, участвующих в роуминге, кроме локального.

После чего нажмите Update.

2.3. В графе MAC Address необходимо указать адрес VAP интерфейса соседней точки доступа. Эти адреса можно получить, подключившись к точке доступа по telnet, командой ifconfig.

В графе R1 Key Holder укажите ранее значение, введенное в пункте 1.

В графе RRB Key введите любую последовательность цифр, например 1234567890123456 (должна быть одинакова для всех точек доступа).

Нажмите кнопку Add.

Аналогичным образом в эту таблицу нужно добавить адреса всех встречных интерфейсов, участвующих в роуминге, кроме локального.

После чего нажмите Update.

Вернуться к началу

Как настроить ограничения скорости абонента Wi-Fi с помощью SoftWLC?

Настроить ограничение скорости можно тремя способами:

     1. Через  вкладку «Виртуальные точки доступа». Настройка таким способом позволяет организовать ограничение скорости для всех клиентов, которые подключатся к этой wi-fi сети. Для настройки ограничения скорости перейдите на вкладку «Виртуальные ТД», перейдите в режим редактирования VAP, на которой хотите настроить ограничение по скорости. В поле «Bandwidth Limit Down» укажите значение ограничения скорости от ТД к клиентскому устройству, в поле «Bandwidth Limit Down»  —  от клиентского устройства до ТД. 

     2. Через настройку тарифного плана. Настройка ограничения скорости с помощью тарифного плана позволит организовать ограничение скорости  для всех клиентов, которые будут проходить авторизацию с этим тарифным планом. Для настройки ограничения по скорости через тарифный план перейдите в меню «Radius»  на вкладку «Управление тарифными планами». Ограничение по скорости настраивается путем настройки параметров «Максимальная скорость входящего трафика» и «Максимальная скорость исходящего трафика».

     3.  С помощью Radius. Настройка ограничения скорости  c помощью Radius позволяет ограничить скорости передачи трафика для конкретного аккаунта клиента. Для настройки ограничения по скорости для конкретного radius пользователя перейдите в меню «Radius»  на вкладку «Управление пользователями». Ограничение по скорости настраивается путем настройки параметров «Максимальная скорость входящего трафика» и «Максимальная скорость исходящего трафика».

Вернуться к началу

Ошибка при подключении к GUI EMS- Auth failed, ems-server is unavailable?

При возникновении ошибки «Auth failed, ems-server is unavailable» необходимо выполнить следующие действия:

1. Проверьте запущен ли EMS. Для этого выполните команду sudo service eltex-ems status. Если EMS не запущен, то запустите его командой sudo service eltex-ems start

2. Если EMS запущен, а при подключении к  GUI EMS все равно возникает ошибка, то выполните очистку cache браузера и java.

3. Если после очистки cache доступ не появился, проверьте открыты ли порты 8080 и 9310 на оборудовании между SoftWLC и ПК, на котором запускается GUI EMS.

Вернуться к началу

Как применять шаблон конфигурации на точку доступа с помощью SoftWLC?

Есть два способа применить шаблон на точку доступа:

1.      Применение шаблона при  инициализации точки.

2.       Применение шаблона на точку доступа, которая уже добавлена в дерево.

   Для применения шаблона при инициализации точки доступа выберите узел «EMS», во вкладке «Инициализация ТД WIFI» нажмите кнопку «Параметры». В появившемся окне выберите тип устройства и нажмите кнопку «Ок». В открывшемся окне перейдите на вкладку «Конфигурация» и выберите нужный шаблон. Нажмите кнопку «Принять». Выбранный шаблон будет применяться при инициализации всех появившихся ТД в дальнейшем.

   Для применения шаблона на точку доступа, которая уже добавлена в дерево, выберите узел «EMS» и перейдите на вкладку «Список устройств». В открывшейся вкладке выберите точку доступа, на которую необходимо применить конфигурацию, или группу точек и в поле «Групповые операции» выберите «Конфигурация ТД». Нажмите кнопку «Выполнить». В открывшемся окне выберите файл шаблона и нажмите кнопку «Принять».

Примечание! Конфигурация виртуальных точек доступа и настройка captive portal не включены в шаблон конфигурации и выполняются через Менеджер SSID.

Вернуться к началу

Как назначить SSID на группу точек доступа?

В SoftWLC существует возможность централизованного назначения SSID на несколько точек доступа. Для этого используется “Менеджер SSID”, который находится в меню “Wireless”.

Создание SSID в базе

Чтобы создать SSID, нажмите кнопку “Добавить SSID”. Заполните необходимые параметры, два из которых являются обязательными: имя SSID и домен. Домен выбирается из списка существующих по нажатию кнопки в конце строки. Статус SSID показывает текущее состояние: Locked — услуга временно заблокирована для пользователей, Operational — услуга доступна. Далее настаиваются стандартные параметры для виртуальных точек доступа, на которые будет назначаться SSID: статус VAP, режим безопасности, радио-интерфейсы, к которым применится SSID, параметры использования RADIUS и т.д. Здесь же, при необходимости использования, настраиваются параметры Minimal Signal и Captive Portal. После нажатия кнопки “Принять” созданный SSID отобразится на вкладке “База SSID”.

Добавление привязки SSID

Далее необходимо назначить SSID на точки доступа, для этого выделите созданный SSID и нажмите кнопку “Добавить SSID привязку “. В появившемся окне выберите ключ для привязки. Привязка может осуществляться по MAC-адресу точки доступа, по IP-адресу точки доступа или по домену узла. Затем выделите объекты для привязки (точки доступа или узлы) и нажмите кнопку “Создать привязку”, индикатор в дереве сменится с желтого на зеленый (для исключения точки доступа из перечня выбранных – выделите ее и нажмите кнопку «Нет привязки», индикатор в дереве сменится с зеленого на желтый), после чего нажмите кнопку “Принять”.

Назначение привязки SSID

Назначение привязки SSID на точки доступа можно сделать двумя способами:

    запустить проверку SSID сразу после добавления в БД путем установки соответствующего флага при добавлении привязки;

    на вкладке “Привязки SSID”, путем выделения нужной привязки и нажатия кнопки “Исправить”. Будет производится проверка, установлен ли SSID в соответствии с правилом привязки на определенную точку доступа, и в случае отрицательного результата производится переустановка SSID на нее. Аналогичные проверки выполняются специальным монитором “Проверка и исправление SSID привязок”, период срабатывания которого можно настроить в меню “Администрирование” -> “Настройка сервера” -> “Задачи по расписанию (мониторы)”.

Процесс назначения SSID можно контролировать на вкладке “Задачи”. SSID будет назначен на первую выключенную VAP на точке доступа. Результат можно увидеть на вкладке “Конфигурация”, “Виртуальные точки доступа”.

Вернуться к началу

Какие потенциальные источники помех могут существовать в беспроводных сетях?

Как известно, в беспроводных сетях в качестве среды распространения сигнала используются радиоволны (радиоэфир), и работа устройств и передача данных в сети происходит без использования кабельных соединений. В связи с этим на работу беспроводных сетей воздействует большее количество различного рода помех.

Условно источники помех можно разделить на пять категорий:

    Другие Wi-Fi сети, которые находятся в зоне действия данной беспроводной сети, или данная беспроводная сеть попадает в зону действия других беспроводных сетей. Вышесказанное утверждение имеет смысл, только если наводящие беспроводные сети работают в том же, или близком частотном диапазоне.У Wi-Fi, используется два частотных диапазона – 2.4 и 5 ГГц, которые не могут оказывать друг на друга никакого влияния. У беспроводных сетей Wi-Fi есть несколько стандартов: 802.11b/g работают в дипазоне 2.4 ГГц, 802.11a — 5 ГГц, 802.11n могут работать в обоих частотных диапазонах. В частотном диапазоне Wi-Fi 2.4 ГГц доступны 13 каналов, с шириной в 20 МГц (стандарты 802.11b/g) и 40 МГц (стандарт 802.11n) с интервалом в 5 МГц между несущими каналов. Устройство, работающие в радиусе действия на близком канале оказывает помехи, сила которых зависит от приближенности канала и как вытекающее от силы излучателя. Для избегания взаимных помех, устройства должны работать на каналах, несущие которых удалены на 25 МГц друг от друга – это 5 несущих. Из вышесказанного становится ясно, что, для избегания помех, устройства должны работать на удалении как минимум в 5 каналов, например на 1-ом и 6-ом.

    Bluetooth-устройства, работающие в зоне покрытия вашего Wi-Fi-устройства. Bluetooth и Wi-Fi работают в диапазоне 2,4 ГГц зачастую не могут работать одновременно, поскольку RF-сигналы обоих устройств мешают друг другу, особенно если антенны находятся в непосредственной близости друг от друга.

    Большие расстояния между Wi-Fi-устройствами. Необходимо помнить, что беспроводные устройства Wi-Fi имеют ограниченный радиус действия. Например, домашний интернет-центр с точкой доступа Wi-Fi стандарта 802.11b/g имеет радиус действия до 60 м в помещении и до 400 м вне помещения. В помещении дальность действия беспроводной точки доступа может быть ограничена несколькими десятками метров — в зависимости от конфигурации комнат, наличия капитальных стен и их количества, а также других препятствий.

    Препятствия.

• Наличие препятствий на пути распространения сигнала

Объекты, мешающие распространению радиосигналов вне помещения, могут быть любыми, наиболее распространены здания, линии электропередач, деревья и т.д. Очень часто недооценивают влияние деревьев. Следует учитывать, что один метр кроны ослабляет сигнал до 6 дБ! Для устранения препятствий можно изменить место установки антенн, поднять антенны выше препятствий (с учетом зоны Френеля, о чем будет написано ниже), либо организовать передачу видео от беспроводных камер с использованием промежуточных ретрансляторов или мостов. Внутри помещения причиной помех радиосигнала также могут являться зеркала и тонированные окна. Ниже показана таблица потери эффективности сигнала Wi-Fi при прохождении через различные среды.

Препятствие Дополнительные потери (dB)        Эффективное расстояние*

Открытое пространство      0          100%

Окно без тонировки (отсутствует металлизированное покрытие)      3          70%

Окно с тонировкой (металлизированное покрытие)      5-8       50%

Деревянная стена     10        30%

Межкомнатная стена (15,2 см)       15-20   15%

Несущая стена (30,5 см)      20-25   10%

Бетонный пол/потолок        15-25   10-15%

Монолитное железобетонное перекрытие           20-25   10%

*Эффективное расстояние — означает, насколько уменьшится радиус действия после прохождения соответствующего препятствия по сравнению с открытым пространством. Например, если на открытом пространстве радиус действия Wi-Fi до 400 метров, то после прохождения одной межкомнатной стены он уменьшится до 400 м x 15% = 60 метров. После второй еще раз 60 м x 15% = 9 метров. А после третьей 9 м x 15% = 1,35 метров. Таким образом, через три межкомнатные стены, скорее всего, беспроводное соединение установить не получится.

• Наличие препятствия в зоне Френеля Зона Френеля – это область вокруг линии прямой видимости, в которой распространяются радиоволны. Как правило, перекрывание 20% зоны Френеля не вызывает больших потерь сигнала. Но при перекрывании более 40% потери становятся уже значительными.

Расстояние между антеннами, м	Требуемый радиус первой зоны Френеля  на частоте 2.4 ГГц, м	Требуемый радиус первой зоны Френеля  на частоте 5 ГГц, м
300	3,06	2,12
1600	7	4,9
8000	15,81	10,95
10000	17,68	12,25
15000	21,65	15

5.Различная бытовая техника, работающая в зоне покрытия вашего Wi-Fi-устройства. Бытовые приборы, которые могут оказать влияние на работу беспроводной сети:

    Микроволновые СВЧ-печи. Эти приборы могут ослаблять уровень сигнала Wi-Fi, т.к. обычно также работают в диапазоне 2,4 ГГц.

    Детские радионяни. Эти приборы работают в диапазоне 2,4 ГГц и дают наводки, в результате чего ухудшается качество связи Wi-Fi.

    Мониторы с ЭЛТ, электромоторы, беспроводные телефоны и другие беспроводные устройства.

    Телефоны, работающие в диапазоне 2,4–5 ГГц. Беспроводные телефоны, работающие в этом диапазоне, могут вызывать помехи в работе беспроводных устройств или сетей.

    Передатчики видеосигнала (передатчики или приемники), работающие на частоте 2,4 или 5 ГГц.

    Беспроводные динамики, работающие на частоте 2,4 или 5 ГГц.

    Некоторые внешние мониторы и ЖК-дисплеи. Определенные дисплеи могут создавать заметные гармонические помехи в диапазоне между 11 и 14 каналами на частоте 2,4 ГГц. Наиболее интенсивные помехи могут исходить от портативного компьютера с подключенным к нему внешним дисплеем. Попробуйте изменить рабочую частоту вашей точки доступа, например на 5 ГГц, или использовать один из первых десяти каналов на частоте 2,4 ГГц.

Вернуться к началу

Для чего нужна функция Band steer?

            Функция Band steer – настройка приоритета подключения клиентов к WiFi сетям, работающим в 5 ГГц.

В настоящее время диапазон частот 2,4 ГГц сильно нагружен, из-за чего скорость передачи информации по стандартам 802.11b/g/n, использующим этот диапазон может быть довольно низкой, несмотря на хороший уровень сигнала и качественное оборудование. Для улучшения этой ситуации в эксплуатацию активно вводятся устойства, работающие по стандартам 802.11a/n/ac в диапазоне частот 5 ГГц. Диапазон 5 ГГц пока мало распространен, поэтому клиентские устройства, работающие в этом диапазоне, используют также и диапазон 2,4 ГГц. Из-за этого могут возникать ситуации, кода клиенты, имеющие возможность подключаться к сетям стандарта a/n/ac будут работать в сетяхb/g/n, тем самым не получают максимально возможную скорость доступа. Для решения это проблемы разработана функция Band steer, позволяющая автоматически подключать пользователей к 5 ГГц сетям, если они имеют такую возможность.

Настройка Band steer

    Для работы этой функции необходимо настроить радиоинтерфейсы на точке доступа WEP-12AC или WOP-12AC таким образом, чтобы один из них работал в диапазоне 2,4 ГГц, а другой в 5 ГГц. Это можно выполнить, используя WEB интерфейс точки доступа.Перейдите в раздел «Wireless Settings» и установите значения для Radio1 в поле Mode выберите “IEEE 802.11b/g/n”, для Radio2 в поле Mode выберите “IEEE 802.11a/n/ac”. Затем нажмите кнопку «Update».

    Следующим шагом будет создание виртуальных точек (VAP) на каждом радиоинтерфейсе. Эти виртуальные точки должны иметь одинаковые параметры, включая SSID и пароль, если используется шифрование. Номер VAP значения не имеет.

    Перейдите в раздел «VAP» и настройте виртуальную точку на первом радиоинтерфейсе. Затем нажмите кнопку «Update». После этого выберите второй радиоинтерфес, установив значение «2» в параметре «Radio» и настройте точно такую же виртуальную точку доступа. Нажмите «Update». После этого настройки вступят в силу и функция Band steer начнет работать.

Вернуться к началу

Как запустить апплет EMS с помощью Java Web Start?

Перед запуском апплета EMS через приложение Java Web Start убедитесь, что на ПК установлен Oracle Java*.

В строке браузера введите следующий адрес:

http://<ip address SoftWLC>:8080/ems/jws/

При этом в браузере появится предложение открыть или скачать файл с расширением jnlp. Откройте этот файл с помощью приложения Java Web Start.

Для создания ярлыка на рабочем столе для запуска апплета EMS в Java Control Panel должно быть включено хранение временных файлов.

*Рекомендуем использовать Oracle Java 8

Вернуться к началу

Как создать черный/белый список через web-интерфейс WEP-12AC/WOP-12AC/WEP-2AC?

Настройка белых/черных списков MAC-адресов клиентов, которым разрешено/запрещено подключаться к данной точке доступа, выполняется  в меню «Manage» в подменю «MAC Authentication».

Для создания белого списка в поле «Filter» выберите Allow only stations in list, для создания черного списка — Block all stations in list.

В поле    введите MAC-адрес клиентского устройства и нажмите кнопку «Add». Введенный MAC-адрес  должен отобразится в поле «Stations List». После добавления в список все необходимых MAC-адрес нажмите кнопку «Update».

Для удаления MAC-адрес из списка необходимо выделить нужный MAC-адрес и нажать кнопку «Remove».

После создания списка необходимо перейти в подменю «VAP». В настройках VAP, для которого необходимо применить созданный список, в поле «MAC Auth Type» выберите Local и нажмите кнопку «Update».

Вернуться к началу

Логи работы SoftWLC ?

Расположение лог-файлов с системе:

Лог-файлы  EMS сервера можно найти в /var/log/eltex-ems/black_box.txt  и /var/log/eltex-ems/ems_error.txt

Лог-файлы  Captive portal можно найти в /var/log/eltex-portal/debug_ep.txt и /var/log/eltex-portal/error_ep.txt

Лог-файл авторизации по смс  можно найти в /var/log/eltex-portal/sms_ep.txt

 2. Выгрузка лог-файлов через GUI EMS

Для копирования логов с EMS сервера в главном меню выберите пункт «Администрирование», «Получить логи работы сервера EMS».

Процесс получения логов отображается во вкладке «Задачи» (Alt+F6).После завершения задачи двойным кликом откройте ее и скачайте по ссылке архив, содержащий следующие логи работы EMS и captive portal:

/var/log/eltex-portal/debug_ep.txt;

/var/log/eltex-portal/error_ep.txt;

/var/log/eltex-portal/sms_ep.txt;

/var/log/eltex-ems/black_box.txt;

/var/log/eltex-ems/ems_error.txt.

Вернуться к началу

Как обновить ПО через консоль на TAU1M/TAU2M/TAU4M/RG24/RG44/RG54?

Иногда возникает необходимость обновления прошивки через консоль. Причина тому может быть разная: автоматизация обновления или аварийные работы.

Обновление производится в 2 этапа:

Загрузка файла ПО:

tftp -l /tmp/firmware.gz -gr tau2m-1.14.1.527.tar.gz 192.168.0.5

Обновление ПО

upgrade firmware.gz

Далее ждете обновления приблизительно минуту, появится вывод:

UPGRADE SUCCESSFULL

и делаете

reboot

Вернуться к началу

Как произвести снятие трассировок (syslog) на многопортовых абонентских шлюзах TAU16/TAU24/TAU36/TAU/32M/TAU72?

Для снятия трассировки с TAU используется протокол syslog. TAU может отправлять логи на syslog-сервер или записывать их в локальный журнал. Содержимое локального журнала можно просмотреть через WEB-браузер.

Настройка syslog производится в меню Сетевые настройки (Network settings) -> Журнал (Syslog). Для получения полной информации о процессах происходящих в ТАУ и принимаемых/передаваемых сигнальных сообщениях необходимо выставить следующие уровни:

в разделе Настройка журнала (Syslog configuration) указать IP-адрес и порт syslog сервера, на который неоюходимо отправлять логи, или выставить флаг Сохранять журнал в файл (Syslog to file) для записи логов в локальный журнал;

в разделе Тип записи (Application) установить все флаги;

при использовании протокола SIP выставить в параметре Уровень отладки SIP (SIP Log Level) значение 5 signal protocol;

при использовании протокола H323 выставить в параметре Уровень отладки Н.323 значение 4 debug_a;

в разделе VAPI установить флаг Включить (Enabled), установить Уровень отладки библиотеки (Lib Level) равным 1 и Уровень отладки приложения (App Level) равным 4;

подтвердить настройки нажав на кнопку Применить изменения (Submit changes);

для запуска логирования необходимо нажать кнопку Запустить журналирование (Start syslog), для остановки вывода логов — Остановить журналирование (Stop syslog).

В случае если запись логов идет в локальный файл, то для просмотра его содержимого необходимо нажать кнопку Показать журнал (Show syslog). Для очистки файла нужно нажать кнопку Очистить журнал (Clear syslog).

Внимание! При большой нагрузке включенная трассировка может привести к некорректной работе оборудования, задержкам выдачи тоновых сигналов и обмене сигнальными сообщениями. Поэтому рекомендуется снимать трассировку в период наименьшей нагрузки на TAU и после снятия необходимых логов необходимо отключить все уровни отладки (убрать все флаги и выставить все уровни в значение none) и остановить вывод логов.

Вернуться к началу

TAU8/RG14xx — Восстановление ПО через uboot ?

В случае возникновения ситуации с необходимостью резервного восстановления ПО, необходимо у коммерческого отдела компании запросить переходник для COM-порта (представляет из себя 5-пиновый переходник)

Порядок восстановления ПО включает в себя следующие действия:

Необходимо распаковать архив файла программного обеспечения (актуальный можно скачать на сайте) и положить на tftp сервер файлы

tau4-8-uImage – файл ядра устройства TAU8

tau4-8-root.jffs2-16k – файловая система TAU8

rg-uImage – файл ядра устройства RG14XX

rg-root.jffs2-16k –  файловая система RG14XX

Снять крышку с устройства и подключиться переходником COM-порта к разьемам на плате. Контакт, помеченный треугольником на разъеме переходника, подключается на противоположный земле вывод разьема на плате. Земля обозначена буквой G

Параметры для подключения ком порта:

скорость: 115200,

бит данных: 8,

паритет: нет,

стоповые биты: 1,

управление потоком: нет

Перезагрузить устройство по питанию и зайти в U-Boot. Для этого в момент появления строк

U-Boot 1.1.6 (Sep  2 2011 — 11:35:09) Mindspeed $Name: u-boot_6_00_4 $

DRAM:  256 MB

Comcerto Flash Subsystem Initialization

Flash:  0 kB

NAND:  board_nand_init nand->IO_ADDR_R =30000000

32 MiB

*** Warning — bad CRC or NAND, using default environment

In:    serial

Out:   serial

Err:   serial

Reserve MSP memory

Net:   comcerto_gemac0, comcerto_gemac1

Switch: Realtek RTL8367RB

Enter ‘stop’ for stop autoboot

набрать команду stop. На экране появиться приглашение

Из под uboot необходимо ввести следующие команды:

для TAU8:

Comcerto-1000 > set serverip <tftp-server IP>   — ip адрес ПК  на котором запущен tftp сервер;

Comcerto-1000 > set ipaddr <IP rg>          — ip-адрес rg на время загрузки файлов;

Comcerto-1000 > set uimage tau4-8-uImage – имя файла ядра устройства; (set uimage rg-uImage для RG14xx)

Comcerto-1000 > set fsfile tau4-8-root.jffs2-16k – имя файла с файловой системой;

для RG14xx:

Comcerto-1000 > set serverip <tftp-server IP>   — ip адрес ПК  на котором запущен tftp сервер;

Comcerto-1000 > set ipaddr <IP rg>          — ip-адрес rg на время загрузки файлов;

Comcerto-1000 > set uimage rg-uImage – имя файла ядра устройства;

Comcerto-1000 > set fsfile rg-root.jffs2-16k – имя файла с файловой системой

Подключить к WAN-порту устройства ПК с запущенным tftp-сервером. Запустить с консоли устройства пинг до ПК. В случае если ПК доступен, то в консоли выведется:

host <IP> is alive

Если пинг не происходит, то остановите его нажатием <Ctrl>+<C> и проверьте правильность сетевых настроек ПК и устройства. Посмотреть текущее сетевые настройки в убуте можно командой printenv

Далее необходимо по очереди ввести команды на обновления ядра и файловой системы устройства:

Comcerto-1000 > run updatekernel   — команда на загрузку ядра

Comcerto-1000 > run updatenandfs   — команда на загрузку файловой системы

После обновления файлов перезапустить шлюз по питанию

Вернуться к началу

Какие способы автоматического конфигурирования существуют для TAUXX.IP ?

Существуют следующие способы автоматического конфигурирования шлюзов TAUXX.IP.

Через протокол конфигурирования tr-069

Описание настройки TAUXX.IP есть в документации в разделе «Настройка протокола мониторинга и управления устройством TR-069 (ACS)»

Это самый правильный способ, но для него понадобится ACS сервер, который сопрягаясь с билинговой системой или чем-то иным будет конфигурировать параметры шлюзов налету (не останавливая их работу) по протоколу tr-069.

Преимуществами tr-069, над тем же SNMP, являются:

большая надежность протокола, т.к. он работает поверх TCP;

большая защищенность протокола, т.к. есть поддержка различных схем авторизации basic, digest;

способность работы через NAT (TAUXX.IP может использовать STUN сервер и сообщать ACS серверу свой внешний адрес).

Описание настройки ACS сервера приведено в соответствующей документации.

Через автообновление (автопровижжинг)

Описание настройки TAUXX.IP есть в документации в разделе «5.1.1.10. Настройка автоматического обновления (Autoupdate)» и Приложении Ж.

Суть этого метода и его принципиальное отличие от tr-069 в том, что инициатором обмена является TAUXX.IP, а не сервер. Помимо этого файл конфигурации будет передаваться целиком, а не определенные параметры. TAUXX.IP по таймеру циклически делает запрос на сервер автоконфигурирования и скачивает нужный файл конфигурации (или ПО). Далее если TAUXX.IP находит отличие этого файла от текущего, то конфигурация на шлюзе обновляется.

Также существует механизм версионности файлов, подробней о котором написано в документации в Приложении Ж.

Ваша задача будет в автоматической генерации файлов конфигурации, в зависимости от системы билинга и выкладывании их на сервер автоконфигурирования.

3) По протоколу SNMP

Суть данного метода мало чем отличается от других примеров использования SNMP.

На SNMP менеджере автоматически запускаются разного рода скрипты, которые считывают и задают параметры в конфигурации TAUXX.IP.

В качестве SNMP менеджера может выступать любой SNMP сервер, также существует готовое решение Eltex.EMS

4) По telnet через CLI.

Описание есть в документации:

http://eltex.nsk.ru/upload/iblock/6cf/tau32m_ip-versiya-2.13.1.pdf

Раздел РЕЖИМ КОМАНДНОЙ СТРОКИ И РАБОТА В ТЕРМИНАЛЬНОМ РЕЖИМЕ

Этот метод можно назвать ручным, т.к. вся нагрузка по конфигурированию падает на автоматизатора.

Суть метода в написании скриптов, которые будут запускаться на сервере в зависимости от нужных факторов или системы билинга.

Скрипты должны автоматически подключаться по telnet/ssh к нужной TAUXX.IP и изменять конфигурацию нужным образом командами CLI или bysybox (linux).

1. Также можно автоматически генерировать файлы конфигурации на сервере, далее подключаться по telnet/ssh к нужной TAUXX.IP и давать команду на скачивание конфигурации.

Вернуться к началу

Как создать многоканальный номер на шлюзе RG14/RG24/TAU4/TAU8/TAU1M/TAU2M?

Многоканальный номер — это номер, позволяющий принимать несколько звонков одновременно.

Рассмотрим порядок создания многоканального номера.

TAU4, TAU8, RG14

В разделе PBX -> SIP -> Профили SIP  откройте настройки первого профиля. Данный профиль будет использоваться для абонентских портов устройства. В настройках профиля задайте следующие настройки:

название профиля;

режим использования прокси-сервера и его адрес;

проверьте, что флаг Регистрация не установлен;

при необходимости задайте SIP домен;

нажмите на строчку Настройка плана нумерации и в появившемся окне пропишите необходимые префиксы. Для организации вызовов по внутренней нумерации добавьте префикс с @{local}, который отправлять вызов на собственный адрес устройства (например, при использовании на портах внутренней нумерации 101-108 префикс будет прописываться как 10[1-8]@{local});

для сохранения изменений нажмите кнопку Сохранить.

В разделе PBX -> SIP -> Профили SIP  откройте настройки второго профиля. Данный профиль будет использоваться для группы вызова. В настройках профиля задайте следующие настройки:

название профиля;

режим использования прокси-сервера и его адрес;

установите флаг Регистрация и пропишите адрес сервера регистрации;

при необходимости задайте SIP домен и установите флаг Применять SIP Domain для регистрации;

для сохранения изменений нажмите кнопку Сохранить.

В меню PBX -> Группы серийного искания (каждый новый вызов занимает первый свободный порт) или PBX -> Группы вызова (поддерживается три вида искания свободного абонента: групповой , задержанный групповой  и поисковый) добавьте новую группу:

установите флаг Включить группу;

задайте имя группы (произвольное);

в параметре Профиль SIP выставите профиль SIP с включенной регистрацией (созданный в пункте 2);

в поле Номер телефона необходимо указать внешний номер, который должен регистрироваться на вышестоящем сервере;

в полях Имя пользователя и Пароль пропишите логин и пароль для регистрации, которые выданы для внешнего номера;

при использовании группы вызова задайте тип группы вызова:

Group – сигнал вызова подается на все порты в группе одновременно;

Serial – количество портов, на которые подается вызывной сигнал, увеличивается на один по истечении таймаута вызова следующего порта;

Cyclic – сигнал вызова циклически через интервал, равный таймауту вызова следующего порта, подается по очереди на каждый порт в группе;

в параметре Размер очереди вызовов указывается максимальное число вызовов, которые может принять группа. Вызов ставится в очередь в случае отсутствия свободных портов;

в поле Таймаут ответа на вызов, сек указывается интервал времени, по истечении которого вызов будет отклонен при неполучении ответа;

для сохранения изменений нажмите кнопку Сохранить.

Произвести настройку абонентских портов в разделе PBX –> FXS:

установите флаг Включен напротив используемых портов;

пропишите внутреннюю нумерация на комплектах;

назначьте SIP-профиль без регистрации (созданный в п.1);

задайте имя пользователя и пароль для регистрации, которые выданы для внешнего номера. Эти параметры должны совпадать с настройкой в п.3;

в параметре Альтернативный номер пропишите внешний номер (он должен совпадать с прописанным в п.3 в параметре Номер телефона);

для сохранения изменений нажмите кнопку Сохранить.

Чтобы все внесенные изменения вступили в силу необходимо нажать кнопку «Применить» в левой части экрана.

TAU1M, TAU2M, RG24

В разделе IP-телефония -> Профили  откройте настройки первого профиля. Данный профиль будет использоваться для абонентских портов устройства. Регистрация в параметрах профиля должна быть выключена. В настройках профиля задайте следующие настройки:

название профиля;

режим использования прокси-сервера и его адрес;

проверьте, что флаг Регистрация не установлен;

при необходимости задайте SIP домен;

в подразделе Настройка плана нумерации пропишите необходимые префиксы. Для организации вызовов по внутренней нумерации добавьте префикс с @{local}, который отправлять вызов на собственный адрес устройства (например, при использовании на портах внутренней нумерации 101-108 префикс будет прописываться как 10[1-8]@{local});

для подтверждения изменений нажмите кнопку Применить.

В разделе IP-телефония -> Профили откройте настройки второго профиля. Данный профиль будет использоваться для группы вызова. В настройках профиля задайте следующие настройки:

название профиля;

режим использования прокси-сервера и его адрес;

установите флаг Регистрация и пропишите адрес сервера регистрации;

при необходимости задайте SIP домен и установите флаг Применять SIP Domain для регистрации;

для подтверждения изменений нажмите кнопку Применить.

В меню IP-телефония -> Группы вызова добавьте новую группу:

установите флаг Включить;

задайте имя группы (произвольное);

в параметре Профиль выставите профиль SIP с включенной регистрацией (созданный в пункте 2);

в поле Номер телефона необходимо указать внешний номер, который должен регистрироваться на вышестоящем сервере;

в полях Имя пользователя для аутентификации и Пароль для аутентификации пропишите логин и пароль для регистрации, которые выданы для внешнего номера;

задайте тип группы вызова:

Group – сигнал вызова подается на все порты в группе одновременно;

Serial – количество портов, на которые подается вызывной сигнал, увеличивается на один по истечении таймаута вызова следующего порта;

Cyclic – сигнал вызова циклически через интервал, равный таймауту вызова следующего порта, подается по очереди на каждый порт в группе;

в параметре Размер очереди вызовов указывается максимальное число вызовов, которые может принять группа. Вызов ставится в очередь в случае отсутствия свободных портов;

для подтверждения изменений нажмите кнопку Применить.

Произвести настройку абонентских портов в разделе IP-телефония –> Настройка линий:

установите флаг Включить;

пропишите внутреннюю нумерация на комплектах в параметре Номер телефона;

назначьте SIP-профиль без регистрации (созданный в п.1);

в подразделе Аутентификация задайте имя пользователя и пароль для регистрации, которые выданы для внешнего номера. Эти параметры должны совпадать с настройкой в п.3;

установите флаг Использовать альтернативный номер и пропишите внешний номер (номер должен совпадать с прописанным в п.3 в параметре Номер телефона);

для подтверждения изменений нажмите кнопку Применить.

Вернуться к началу

Конфигурирование Destination NAT

Функция Destination NAT (DNAT) состоит в преобразовании IP-адреса назначения у пакетов, проходящих через сетевой шлюз.

DNAT используется для перенаправления трафика, идущего на некоторый «виртуальный» адрес в публичной сети, на «реальный» сервер в локальной сети, находящийся за сетевым шлюзом. Эту функцию можно использовать для организации публичного доступа к серверам, находящимся в частной сети и не имеющим публичного сетевого адреса.

Задача: Организовать доступ из публичной сети, относящейся к зоне «UNTRUST», к серверу локальной сети в зоне «TRUST». Адрес сервера в локальной сети — 10.1.1.100. Сервер должен быть доступным извне по адресу 1.2.3.4, доступный порт 80.

Решение:

Создадим зоны безопасности «UNTRUST» и «TRUST». Установим принадлежность используемых сетевых интерфейсов к зонам. Одновременно назначим IP-адреса интерфейсам.

esr# configure

esr(config)# security zone UNTRUST

esr(config-zone)# exit

esr(config)# security zone TRUST

esr(config-zone)# exit

esr(config)# interface gigabitethernet 1/0/1

esr(config-if-gi)# security-zone TRUST

esr(config-if-gi)# ip address 10.1.1.1/25

esr(config-if-gi)# exit

esr(config)# interface tengigabitethernet 1/0/1

esr(config-if-te)# ip address 1.2.3.4/29

esr(config-if-te)# security-zone UNTRUST

esr(config-if-te)# exit

Создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.

NET_UPLINK – профиль адресов публичной сети;

SERVER_IP – профиль адресов локальной сети;

SRV_HTTP – профиль портов.

esr(config)# object-group network NET_UPLINK

esr(config-object-group-network)# ip address 1.2.3.4

esr(config-object-group-network)# exit

esr(config)# object-group service SRV_HTTP

esr(config-object-group-network)# port 80

esr(config-object-group-network)# exit

esr(config)# object-group network SERVER_IP

esr(config-object-group-network)# ip address 10.1.1.100

esr(config-object-group-network)# exit

Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 1.2.3.4 из внешней сети.

esr(config)# nat destination

esr(config-dnat)# pool SERVER_POOL

esr(config-dnat-pool)# ip address 10.1.1.100

esr(config-dnat-pool)# ip port 80

esr(config-dnat-pool)# exit

Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «UNTRUST». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».

esr(config-dnat)# ruleset DNAT

esr(config-dnat-ruleset)# from zone UNTRUST

esr(config-dnat-ruleset)# rule 1

esr(config-dnat-rule)# match destination-address NET_UPLINK

esr(config-dnat-rule)# match protocol tcp

esr(config-dnat-rule)# match destination-port SERV_HTTP

esr(config-dnat-rule)# action destination-nat pool SERVER_POOL

esr(config-dnat-rule)# enable

esr(config-dnat-rule)# exit

esr(config-dnat-ruleset)# exit

esr(config-dnat)# exit

Для пропуска трафика, идущего из зоны «UNTRUST» в «TRUST», создадим соответствующую пару зон. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP», и прошедший преобразование DNAT.

esr(config)# security zone-pair UNTRUST TRUST

esr(config-zone-pair)# rule 1

esr(config-zone-rule)# match source-address any

esr(config-zone-rule)# match destination-address SERVER_IP

esr(config-zone-rule)# match protocol any

esr(config-zone-rule)# match destination-nat

esr(config-zone-rule)# action permit

esr(config-zone-rule)# enable

esr(config-zone-rule)# exit

esr(config-zone-pair)# exit

esr(config)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Произведенные настройки можно посмотреть с помощью команд:

esr# show ip nat destination pools

esr# show ip nat destination rulesets

esr# show ip nat proxy-arp

esr# show ip nat translations

Вернуться к началу

Настройка MultiWAN

Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров, а также решает проблему балансировки трафика между резервными линками.

Задача: Настроить маршрут к серверу (108.16.0.1/28) с возможностью балансировки нагрузки.

Решение:

Предварительно нужно выполнить следующие действия:

настроить зоны для интерфейсов te1/0/1 и te1/0/2;

указать IP-адреса для интерфейсов te1/0/1 и te1/0/2.

Основной этап конфигурирования:

Настроим маршрутизацию:

еsr(config)# ip route 108.16.0.0/28 wan load-balance rule 1

Создадим правило WAN:

еsr(config)# wan load-balance rule 1

Укажем участвующие интерфейсы:

еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/2

еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/1

Включим созданное правило балансировки и выйдем из режима конфигурирования правила:

еsr(config-wan-rule)# enable

еsr(config-wan-rule)# exit

Создадим список для проверки целостности соединения:

еsr(config)# wan load-balance target-list google

Создадим цель проверки целостности:

esr(config-target-list)# target 1

Зададим адрес для проверки, включим проверку указанного адреса и выйдем:

еsr(config-wan-target)# ip address 8.8.8.8

еsr(config-wan-target)# enable

еsr(config-wan-target)# exit

Настроим интерфейсы. В режиме конфигурирования интерфейса te1/0/1 указываем nexthop:

еsr(config)# interface tengigabitethernet 1/0/1

еsr(config-if)# wan load-balance nexthop 203.0.0.1

В режиме конфигурирования интерфейса te1/0/1 указываем список целей для проверки соединения:

еsr(config-if)# wan load-balance target-list google

В режиме конфигурирования интерфейса te1/0/1 включаем WAN-режим и выходим:

еsr(config-if)# wan load-balance enable

еsr(config-if)# exit

В режиме конфигурирования интерфейса te1/0/2 указываем nexthop:

еsr(config)# interface tengigabitethernet 1/0/2

еsr(config-if)# wan load-balance nexthop 65.6.0.1

В режиме конфигурирования интерфейса te1/0/2 указываем список целей для проверки соединения:

еsr(config-if)# wan load-balance target-list google

В режиме конфигурирования интерфейса te1/0/2 включаем WAN-режим и выходим:

еsr(config-if)# wan load-balance enable

еsr(config-if)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Для переключения в режим резервирования настроим следующее:

Заходим в режим настройки правила WAN:

еsr(config)# wan load-balance rule 1

Функция MultiWAN также может работать в режиме резервирования, в котором трафик будет направляться в активный интерфейс c наибольшим весом. Включить данный режим можно следующей командой:

еsr(config-wan-rule)# failover

Изменения конфигурации вступят в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Вернуться к началу

Настройка SNMP

SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — протокол, предназначенный для управления устройствами в IP-сетях на основе архитектур TCP/UDP. SNMP предоставляет данные для управления в виде переменных, описывающих конфигурацию управляемой системы.

Задача: Настроить SNMPv3 сервер с аутентификацией и шифрованием данных для пользователя admin. IP-адрес маршрутизатора esr — 192.168.52.41, ip-адрес сервера — 192.168.52.8

Решение:

Предварительно нужно выполнить следующие действия:

указать зону для интерфейса gi1/0/1;

настроить IP-адрес для интерфейсов gi1/0/1.

Основной этап конфигурирования:

Включаем SNMP-сервер:

esr(config)# snmp-server

Создаем пользователя SNMPv3:

esr(config)# snmp-server user admin

Определим режим безопасности:

esr(snmp-user)# authentication access priv

Определим алгоритм аутентификации для SNMPv3-запросов:

esr(snmp-user)# authentication algorithm md5

Устанавим пароль для аутентификации SNMPv3-запросов:

esr(snmp-user)# authentication key ascii-text 123456789

Определим алгоритм шифрования передаваемых данных:

esr(snmp-user)# privacy algorithm aes128

Устанавим пароль для шифрования передаваемых данных:

esr(snmp-user)# privacy key ascii-text 123456789

Активируем SNMPv3-пользователя :

esr(snmp-user)# enable

Определяем сервер-приемник Trap-PDU сообщений:

esr(config)# snmp-server host 192.168.52.41

Изменения конфигурации вступят в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Вернуться к началу

ESR-1000. Порты XG (10G) уходят в down после конфигурации LACP

Проблема. Порты XG в down после конфигурирования LACP на ESR-1000

Решение. По умолчанию на port-channel установлен режим: speed 1000M, необходимо выставить: speed 10Gесли в port-channel включаем XG интерфейсы.

esr(config)# interface port-channel 1

esr(config-port-channel)# speed 10G

Изменения конфигурации вступают в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Вернуться к началу

Не удается получить маршрут по BGP/OSPF, организованному в VRF-Lite

Проблема.

Не удалось получить маршруты по BGP и/или OSPF, сконфигурированных в VRF.  Соседство успешно устанавливается, но в записи маршрутов в RIB отказано:

%ROUTING-W-KERNEL: Can not install route. Reached the maximum number of BGP routes in the RIB

Решение.

Необходимо выделить ресурс RIB для VRF, по умолчанию он равен нулю. Делаем это в режиме конфигурирования VRF:

esr(config)# ip vrf <NAME>

esr(config—vrf)# ip protocols ospf max—routes 12000

esr(config—vrf)# ip protocols bgp max—routes 1200000

esr(config—vrf)# end

Изменения конфигурации вступают в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Вернуться к началу

Пример настройки аутентификации OSPF по MD5

Настроим аутентификацию сессии OSPF с использованием алгоритма MD5:

Настроим key-chain, содержащий необходимый пароль для аутентификации:

esr(config)# key-chain auth_ospf

esr(config-keychain)# key 1

esr(config-keychain-key)# key-string ascii-text password

Дополняем конфигурацию на необходимом интерфейсе:

esr(config)# interface gigabitethernet 1/0/1

esr(config-if-gi)# ip ospf authentication algorithm md5 

esr(config-if-gi)# ip ospf authentication key-chain auth_ospf

Изменения конфигурации вступят в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Вернуться к началу

Настройка VRF Lite

VRF (Virtual Routing and Forwarding) – технология, которая позволяет изолировать маршрутную информацию, принадлежащую различным классам (например, маршруты одного клиента).

Рисунок 1 – Схема сети

Задача: К маршрутизатору серии ESR подключены 2 сети, которые необходимо изолировать от остальных сетей.

Решение:

Создадим VRF:

esr(config)# ip vrf bit

esr(config-vrf)# exit

Создадим зону безопасности:

esr(config)# security zone vrf-sec

esr(config-zone)# ip vrf forwarding bit

esr(config-zone)# exit

Создадим правило для пары зон и разрешим любой TCP/UDP-трафик:

esr(config)# security zone-pair vrf-sec vrf-sec

esr(config-zone-pair)# rule 1

esr(config-zone-rule)# match source-address any

esr(config-zone-rule)# match destination-address any

esr(config-zone-rule)# match protocol udp

esr(config-zone-rule)# match source-port any

esr(config-zone-rule)# match destination-port any

esr(config-zone-rule)# action permit

esr(config-zone-rule)# enable

esr(config-zone-rule)# exit

esr(config-zone-pair)# rule 2

esr(config-zone-rule)# match source-address any

esr(config-zone-rule)# match destination-address any

esr(config-zone-rule)# match protocol tcp

esr(config-zone-rule)# match source-port any

esr(config-zone-rule)# match destination-port any

esr(config-zone-rule)# action permit

esr(config-zone-rule)# enable

esr(config-zone-rule)# exit

Создадим привязку интерфейсов, назначим IP-адреса, укажем принадлежность к зоне:

esr(config)# interface gigabitethernet 1/0/7

esr(config-if-gi)# ip vrf forwarding bit

esr(config-if-gi)# ip address 10.20.0.1/24

esr(config-if-gi)# security-zone vrf-sec

esr(config-if-gi)# exit

esr(config)# interface gigabitethernet 1/0/14.10

esr(config-subif)# ip vrf forwarding bit

esr(config-subif)# ip address 10.30.0.1/16

esr(config-subif)# security-zone vrf-sec

esr(config-subif)# exit

esr(config)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Информацию об интерфейсах, привязанных к VRF, можно посмотреть командой:

esr# show ip vrf

Таблицу маршрутов VRF можно просмотреть с помощью команды:

esr# show ip route vrf bit

Вернуться к началу

Настройка Netflow

Netflow — сетевой протокол, предназначенный для учета и анализа трафика. Netflow позволяет передавать данные о трафике (адрес отправителя и получателя, порт, количество информации и др.) с сетевого оборудования (сенсора) на коллектор. В качестве коллектора может использоваться обычный сервер.

Задача: Организовать учет трафика с интерфейса gi1/0/1 для передачи на сервер через интерфейс gi1/0/8 для обработки.

Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

На интерфейсах gi1/0/1, gi1/0/8 отключить firewall командой «ip firewall disable». (С версии ПО 1.1.0 необязательно отключать firewall)

Назначить IP-адреса на портах.

Основной этап конфигурирования:

Укажем IP-адрес коллектора:

esr(config)# netflow collector 10.10.0.2

Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1/0/1:

esr(config)# interface gigabitethernet 1/0/1

esr(config-if-gi)# ip netflow export

Активируем netflow на маршрутизаторе.:

еsr(config)# netflow enable

Изменения конфигурации вступят в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Для просмотра статистики Netflow используется команда:

esr# show netflow statistics

Вернуться к началу

Расширенный QoS

QoS (Quality of Service) – технология предоставления различным классам трафика различных приоритетов в обслуживании. Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.

Задача: Классифицировать приходящий трафик по подсетям (10.0.11.0/24, 10.0.12.0/24), произвести маркировку по DSCP (38 и 42) и произвести разграничение по подсетям (40 Мбит/с и 60 Мбит/с), ограничить общую полосу до 250 Мбит/с, остальной трафик обрабатывать через механизм SFQ.

Рисунок 1 – Схема сети

Решение:

Настроим списки доступа для фильтрации по подсетям, выходим в глобальный режим конфигурации:

esr(config)# ip access-list extended fl1

esr(config-acl)# rule 1

esr(config-acl-rule)# action permit

esr(config-acl-rule)# match protocol any

esr(config-acl-rule)# match source-address 10.0.11.0 255.255.255.0

esr(config-acl-rule)# match destination-address any

esr(config-acl-rule)# enable

esr(config-acl-rule)# exit

esr(config-acl)# exit

esr(config)# ip access-list extended fl2

esr(config-acl)# rule 1

esr(config-acl-rule)# action permit

esr(config-acl-rule)# match protocol any

esr(config-acl-rule)# match source-address 10.0.12.0 255.255.255.0

esr(config-acl-rule)# match destination-address any

esr(config-acl-rule)# enable

esr(config-acl-rule)# exit

esr(config-acl)# exit

Создаем классы fl1 и fl2, указываем соответствующие списки доступа, настраиваем маркировку:

esr(config)# class-map fl1

esr(config-class-map)# set dscp 38

esr(config-class-map)# match access-group fl1

esr(config-class-map)# exit

esr(config)# class-map fl2

esr(config-class-map)# set dscp 42

esr(config-class-map)# match access-group fl2

esr(config-class-map)# exit

Создаём политику и определяем ограничение общей полосы пропускания:

esr(config)# policy-map fl

esr(config-policy-map)# shape average 250000

Осуществляем привязку класса к политике, настраиваем ограничение полосы пропускания и выходим:

esr(config-policy-map)# class fl1

esr(config-class-policy-map)# shape average 40000

esr(config-class-policy-map)# exit

esr(config-policy-map)# class fl2

esr(config-class-policy-map)# shape average 60000

esr(config-class-policy-map)# exit

Для другого трафика настраиваем класс с режимом SFQ:

esr(config-policy-map)# class class-default

esr(config-class-policy-map)# mode sfq

esr(config-class-policy-map)# fair-queue 800

esr(config-class-policy-map)# exit

esr(config-policy-map)# exit

Включаем QoS на интерфейсах, политику на входе интерфейса gi 1/0/19 для классификации и на выходе gi1/0/20 для применения ограничений и режима SFQ для класса по умолчанию:

esr(config)# interface gigabitethernet 1/0/19

esr(config-if-gi)# qos enable

esr(config-if-gi)# service-policy input fl

esr(config-if-gi)# exit

esr(config)# interface gigabitethernet 1/0/20

esr(config-if-gi)# qos enable

esr(config-if-gi)# service-policy output fl

esr(config-if-gi)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Для просмотра статистики используется команда:

esr# do show qos policy statistics gigabitethernet 1/0/20

Вернуться к началу

Применение новых правил обработки трафика в Firewall

Проблема.

После внесения изменений в правилах обработки трафика, проходящего между зонами безопасности Firewall, новые параметры не отрабатывают для ранее активных сессий.

Решение. Все изменения, внесенные в конфигурацию Firewall,  применимы только для новых сессий. На ранее активные сессии новые параметры не повлияют. 

Рекомендуется очистить активные сессии, после применения изменений параметров Firewall, командой:

esr# clear ip firewall session

Базовый QoS

QoS (Quality of Service) – технология предоставления различным классам трафика различных приоритетов в обслуживании. Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.

Задача: Настроить следующие ограничения на интерфейсе gigabitethernet 1/0/8: передавать трафик с DSCP 22 в восьмую приоритетную очередь, трафик с DSCP 14 в седьмую взвешенную очередь, установить ограничение по скорости в 60 Мбит/с для седьмой очереди.

Рисунок 1 – Схема сети

Решение:

Для того чтобы восьмая очередь стала приоритетной, а с первой по седьмую взвешенной, ограничим количество приоритетных очередей до 1:

esr(config)# priority-queue out num-of-queues 1

Перенаправим трафик с DSCP 22 в восьмую приоритетную очередь:

esr(config)# qos map dscp-queue 22 to 8

Перенаправим трафик с DSCP 14 в седьмую взвешенную очередь:

esr(config)# qos map dscp-queue 14 to 7

Включим QoS на входящем интерфейсе со стороны LAN:

esr(config)# interface gigabitethernet 1/0/5

esr(config-if-gi)# qos enable

esr(config-if-gi)# exit

Включим QoS на интерфейсе со стороны WAN:

esr(config)# interface gigabitethernet 1/0/8

esr(config-if-gi)# qos enable

Установим ограничение по скорости в 60Мбит/с для седьмой очереди:

esr(config-if)# traffic-shape queue 7 60000

esr(config-if)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Просмотреть статистику по QoS можно командой (только для ESR-100/ESR-200):

esr# show qos statistics gigabitethernet 1/0/8

Вернуться к началу

Конфигурирование Firewall

Firewall – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Задача: Разрешить обмен сообщениями по протоколу ICMP между устройствами ПК1, ПК2 и маршрутизатором ESR.

Рисунок 1 — схема сети.

Решение:

Для каждой сети ESR создадим свою зону безопасности:

esr# configure

esr(config)# security zone LAN

esr(config-zone)# exit

esr(config)# security zone WAN

esr(config-zone)# exit

Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:

esr(config)# interface gi1/0/2

esr(config-if-gi)# ip address 192.168.12.2/24

esr(config-if-gi)# security-zone LAN

esr(config-if-gi)# exit

esr(config)# interface gi1/0/3

esr(config-if-gi)# ip address 192.168.23.2/24

esr(config-if-gi)# security-zone WAN

esr(config-if-gi)# exit

Для настройки правил зон безопасности потребуется создать профиль адресов сети «LAN», включающий адреса, которым разрешен выход в сеть «WAN», и профиль адресов сети «WAN».

esr(config)# object-group network WAN

esr(config-object-group-network)# ip address-range 192.168.23.2

esr(config-object-group-network)# exit

esr(config)# object-group network LAN

esr(config-object-group-network)# ip address-range 192.168.12.2

esr(config-object-group-network)# exit

esr(config)# object-group network LAN_GATEWAY

esr(config-object-group-network)# ip address-range 192.168.12.1

esr(config-object-group-network)# exit

esr(config)# object-group network WAN_GATEWAY

esr(config-object-group-network)# ip address-range 192.168.23.3

esr(config-object-group-network)# exit

Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК1 к ПК2. Действие правил разрешается командой enable:

esr(config)# security zone-pair LAN WAN

esr(config-zone-pair)# rule 1

esr(config-zone-rule)# action permit

esr(config-zone-rule)# match protocol icmp

esr(config-zone-rule)# match destination-address WAN

esr(config-zone-rule)# match source-address LAN

esr(config-zone-rule)# enable

esr(config-zone-rule)# exit

esr(config-zone-pair)# exit

Для пропуска трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК2 к ПК1. Действие правил разрешается командой enable:

esr(config)# security zone-pair WAN LAN

esr(config-zone-pair)# rule 1

esr(config-zone-rule)# action permit

esr(config-zone-rule)# match protocol icmp

esr(config-zone-rule)# match destination-address LAN

esr(config-zone-rule)# match source-address WAN

esr(config-zone-rule)# enable

esr(config-zone-rule)# exit

esr(config-zone-pair)# exit

На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Создадим пару зон для трафика, идущего из зоны «WAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК2 и маршрутизатором ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «WAN»:

esr(config)# security zone-pair WAN self

esr(config-zone-pair)# rule 1

esr(config-zone-rule)# action permit

esr(config-zone-rule)# match protocol icmp

esr(config-zone-rule)# match destination-address WAN

esr(config-zone-rule)# match source-address WAN_GATEWAY

esr(config-zone-rule)# enable

esr(config-zone-rule)# exit

esr(config-zone-pair)# exit

Создадим пару зон для трафика, идущего из зоны «LAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:

esr(config)# security zone-pair LAN self

esr(config-zone-pair)# rule 1

esr(config-zone-rule)# action permit

esr(config-zone-rule)# match protocol icmp

esr(config-zone-rule)# match destination-address LAN

esr(config-zone-rule)# match source-address LAN_GATEWAY

esr(config-zone-rule)# enable

esr(config-zone-rule)# exit

esr(config-zone-pair)# exit

esr(config)# exit

Изменения конфигурации вступят в действие по следующим командам:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Посмотреть членство портов в зонах можно с помощью команды:

esr# show security zone

Посмотреть пары зон и их конфигурацию можно с помощью команд:

esr# show security zone-pair

esr# show security zone-pair configuration

Посмотреть активные сессии можно с помощью команд:

esr# show ip firewall sessions

Вернуться к началу

Настройка Bridge

Bridge (мост) — это способ соединения двух сегментов Ethernet на канальном уровне без использования протоколов более высокого уровня, таких как IP. Пакеты передаются на основе Ethernet-адресов, а не IP-адресов. Поскольку передача выполняется на канальном уровне (уровень 2 модели OSI), трафик протоколов более высокого уровня прозрачно проходит через мост.

Задача №1

Объединить в единый L2 домен интерфейсы маршрутизатора, относящиеся к локальной сети, и L2TPv3-туннель, проходящий по публичной сети. Для объединения использовать VLAN 333.

Рисунок 1 — схема сети.

Решение:

Создадим VLAN 333:

esr(config)# vlan 333

esr(config-vlan)# exit

Создадим зону безопасности «trusted»:

esr(config)# security-zone trusted

esr(config-zone)# exit

Добавим интерфейсы gi1/0/11, gi1/0/12 в VLAN 333:

esr(config)# interface gigabitethernet 1/0/11-12

esr(config-if)# switchport general allowed vlan add 333 tagged

Создадим bridge 333, привяжем к нему VLAN 333 и укажем членство в зоне «trusted»:

esr(config)# bridge 333

esr(config-bridge)# vlan 333

esr(config-bridge)# security-zone trusted

esr(config-bridge)# enable

Установим принадлежность L2TPv3-туннеля к мосту, который связан с локальной сетью (настройка L2TPv3-туннеля рассматривается в разделе 7.18). В общем случае идентификаторы моста и туннеля не должны совпадать с VID как в данном примере.

esr(config)# tunnel l2tpv3 333

esr(config-l2tpv3)# bridge-group 333

Задача №2

Настроить маршрутизацию между VLAN 50 (10.0.50.0/24) и VLAN 60 (10.0.60.1/24). VLAN 50 должен относиться к зоне «LAN1», VLAN 60 – к зоне «LAN2», разрешить свободную передачу трафика между зонами.

Решение:

Создадим VLAN 50, 60:

esr(config)# vlan 50,60

esr(config-vlan)# exit

Создадим зоны безопасности «LAN1» и «LAN2»:

esr(config)# security-zone LAN1

esr(config-zone)# exit

esr(config)# security-zone LAN2

esr(config-zone)# exit

Назначим интерфейсам gi1/0/11, gi1/0/12 VLAN 50:

esr(config)# interface gigabitethernet 1/0/11-12

esr(config-if-gi)# switchport general allowed vlan add 50 tagged

Назначим интерфейсу gi1/0/14 VLAN 60:

esr(config)# interface gigabitethernet 1/0/14

esr(config-if-gi)# switchport general allowed vlan add 60 tagged

Создадим bridge 50, привяжем VLAN 50, укажем IP-адрес 10.0.50.1/24 и членство в зоне «LAN1»:

esr(config)# bridge 50

esr(config-bridge)# vlan 50

esr(config-bridge)# ip address 10.0.50.1/24

esr(config-bridge)# security-zone LAN1

esr(config-bridge)# enable

Создадим bridge 60, привяжем VLAN 60, укажем IP-адрес 10.0.60.1/24 и членство в зоне «LAN2»:

esr(config)# bridge 60

esr(config-bridge)# vlan 60

esr(config-bridge)# ip address 10.0.60.1/24

esr(config-bridge)# security-zone LAN2

esr(config-bridge)# enable

Создадим правила в Firewall, разрешающие свободное прохождение трафика между зонами:

esr(config)# security zone-pair LAN1 LAN2

esr(config-zone-pair)# rule 1

esr(config-zone-rule)# action permit

esr(config-zone-rule)# match protocol any

esr(config-zone-rule)# match source-address any

esr(config-zone-rule)# match destination-address any

esr(config-zone-rule)# enable

esr(config-zone-rule)# exit

esr(config-zone-pair)# exit

esr(config)# security zone-pair LAN2 LAN1

esr(config-zone-pair)# rule 1

esr(config-zone-rule)# action permit

esr(config-zone-rule)# match protocol any

esr(config-zone-rule)# match source-address any

esr(config-zone-rule)# match destination-address any

esr(config-zone-rule)# enable

esr(config-zone-rule)# exit

esr(config-zone-pair)# exit

esr(config)# exit

Изменения конфигурации вступят в действие по следующим командам:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Посмотреть членство интерфейсов в мосте можно командой:

esr# show interfaces bridge

Вернуться к началу

Настройка LACP

LACP — протокол для агрегирования каналов, позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала.

Задача: Настроить агрегированный канал между маршрутизатором ESR и коммутатором.

Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие настройки:

На интерфейсах gi1/0/1, gi1/0/2 отключить зону безопасности командой «no security-zone».

Основной этап конфигурирования:

Cоздадим интерфейс port-channel 2:

esr(config)# interface port-channel 2

Включим физические интерфейсы gi1/0/1, gi1/0/2 в созданную группу агрегации каналов:

esr(config)# interface gigabitethernet 1/0/1-2

esr(config-if-gi)# channel-group 2 mode auto

Изменения конфигурации вступят в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Дальнейшая конфигурация port-channel проводится как на обычном физическом интерфейсе.

Вернуться к началу

Настройка VRRP

VRRP (Virtual Router Redundancy Protocol) — сетевой протокол, предназначенный для увеличения доступности маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего IP-адреса, который и будет использоваться как шлюз по умолчанию для компьютеров в сети.

Задача 1: Организовать виртуальный шлюз для локальной сети в VLAN 50, используя протокол VRRP. В качестве локального виртуального шлюза используется IP адрес 192.168.1.1

Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

создать соответствующий саб-интерфейс;

настроить зону для саб-интерфейса;

указать IP-адрес для саб-интерфейса.

Основной этап конфигурирования:

Настроим маршрутизатор R1.

В созданном саб-интерфейсе настроим VRRP. Укажем уникальный идентификатор VRRP:

R1(config)# interface gi 1/0/5.50

R1(config-subif)# vrrp id 10

Укажем IP-адрес виртуального шлюза 192.168.1.1/24:

R1(config-subif)# vrrp ip 192.168.1.1

Включим VRRP:

R1(config-subif)# vrrp

R1(config-subif)# exit

Изменения конфигурации вступят в действие после применения:

R1# commit

Configuration has been successfully committed

R1# confirm

Configuration has been successfully confirmed

Произвести аналогичные настройки на R2.

Задача 2: Организовать виртуальные шлюзы для подсети 192.168.20.0/24 в VLAN 50 и подсети 192.168.1.0/24 в VLAN 60, используя протокол VRRP c функцией синхронизации Мастера. Для этого используем объединение VRRP-процессов в группу. В качестве виртуальных шлюзов используются IP-адреса 192.168.1.1 и 192.168.20.1.

Рисунок 2 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

создать соответствующие саб-интерфейсы;

настроить зону для саб-интерфейсов;

указать IP-адреса для саб-интерфейсов.

Основной этап конфигурирования:

Настроим маршрутизатор R1.

Настроим VRRP для подсети 192.168.1.0/24 в созданном саб-интерфейсе.

Укажем уникальный идентификатор VRRP:

R1(config-sub)# interface gi 1/0/5.50

R1(config-subif)# vrrp id 10

Укажем IP-адрес виртуального шлюза 192.168.1.1:

R1(config-subif)# vrrp ip 192.168.1.1

Укажем идентификатор VRRP-группы:

R1(config-subif)# vrrp group 5

Включим VRRP:

R1(config-subif)# vrrp

R1(config-subif)# exit

Настроим VRRP для подсети 192.168.20.0/24 в созданном саб-интерфейсе.

Укажем уникальный идентификатор VRRP:

R1(config-sub)# interface gi 1/0/6.60

R1(config-subif)# vrrp id 20

Укажем IP-адрес виртуального шлюза 192.168.20.1:

R1(config-subif)# vrrp ip 192.168.20.1

Укажем идентификатор VRRP-группы:

R1(config-subif)# vrrp group 5

Включим VRRP:

R1(config-subif)# vrrp

R1(config-subif)# exit

Изменения конфигурации вступят в действие после применения:

R1# commit

Configuration has been successfully committed

R1# confirm

Configuration has been successfully confirmed

Произвести аналогичные настройки на R2.

Вернуться к началу

Настройка RIP

RIP — дистанционно-векторный протокол динамической маршрутизации, который использует количество транзитных участков в качестве метрики маршрута. Максимальное количество транзитных участков (hop), разрешенное в RIP, равно 15. Каждый RIP-маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд. RIP работает на 3-м уровне стека TCP/IP, используя UDP-порт 520.

Задача: Настроить на маршрутизаторе протокол RIP для обмена маршрутной информацией с соседними маршрутизаторами. Маршрутизатор должен анонсировать статические маршруты и подсети 115.0.0.0/24, 14.0.0.0/24, 10.0.0.0/24. Анонсирование маршрутов должно происходить каждые 25 секунд.

Рисунок 1 — Схема сети.

Решение:

Предварительно нужно настроить IP-адреса на интерфейсах согласно схеме сети, приведенной на рисунке 1.

Перейдём в режим конфигурирования протокола RIP:

esr(config)# router rip

Укажем подсети, которые будут анонсироваться протоколом: 115.0.0.0/24, 14.0.0.0/24 и 10.0.0.0/24:

esr(config-rip)# network 115.0.0.0/24

esr(config-rip)# network 14.0.0.0/24

esr(config-rip)# network 10.0.0.0/24

Для анонсирования протоколом статических маршрутов выполним команду:

esr(config-rip)# redistribute static

Настроим таймер, отвечающий за отправку маршрутной информации:

esr(config-rip)# timers update 25

После установки всех требуемых настроек включаем протокол:

esr(config-rip)# enable

Изменения конфигурации вступят в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Для того чтобы просмотреть таблицу маршрутов RIP воспользуемся командой:

esr# show ip rip

Помимо настройки протокола RIP, необходимо в firewall разрешить UDP-порт 520.

Вернуться к началу

Анализ трафика в CLI

В маршрутизаторах серии ESR реализована возможность анализировать трафик на интерфейсах из CLI. Сниффер запускается командой monitor.

esr# monitor gigabitethernet 1/0/1

Для удобства использования организована возможность фильтрации вывода, например:

esr# monitor gigabitethernet 1/0/1 ?

destination-address Filter by destination IP address

detailed Detailed output

packets Count packets

protocol Choose protocol type

source-address Filter by source IP address

<cr>

esr# monitor gigabitethernet 1/0/1 protocol ?

0-255 Filter by IP protocol number

RDP Filter by RDP protocol

ah Filter by AH protocol

arp Filter by ARP protocol

eigrp Filter by EIGRP protocol

esp Filter by ESP protocol

gre Filter by GRE protocol

icmp Filter by ICMP protocol

icmp6 Filter by ICMP6 protocol

igmp Filter by IGMP protocol

igrp Filter by IGRP protocol

ipip Filter by IPIP protocol

l2tp Filter by L2TP protocol

ospf Filter by OSPF protocol

pim Filter by PIM protocol

tcp Filter by TCP protocol

udp Filter by UDP protocol

vrrp Filter by VRRP protocol

Вернуться к началу

Настройка зеркалирования

Зеркалирование трафика — функция маршрутизатора, предназначенная для перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора (локальное зеркалирование) или на удаленное устройство (удаленное зеркалирование).

Задача: Организовать удаленное зеркалирование трафика по VLAN 50 с интерфейса gi1/0/11 для передачи на сервер для обработки.

 

Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

Создать VLAN 50;

На интерфейсе gi 1/0/5 добавить VLAN 50 в режиме general.

Основной этап конфигурирования:

Укажем VLAN, по которой будет передаваться зеркалированный трафик:

еsr1000(config)# port monitor remote vlan 50

На интерфейсе gi 1/0/5 укажем порт для зеркалирования:

еsr1000(config)# interface gigabitethernet 1/0/5

еsr1000(config-if-gi)# port monitor interface gigabitethernet 1/0/11

Укажем на интерфейсе gi 1/0/5 режим удаленного зеркалирования:

еsr1000(config-if-gi)# port monitor remote

Изменения конфигурации вступят в действие после применения:

esr1000# commit

Configuration has been successfully committed

esr1000# confirm

Configuration has been successfully confirmed

Вернуться к началу

Проблема прохождения трафика при асимметричной маршрутизации.

В случае организации сети с ассиметричной маршрутизацией, Firewall будет запрещать «неправильный (ошибочный)» входящий трафик (не открывающий новое соединение и не принадлежащий никакому установленному соединению) из соображений безопасности. 

Разрешающее правило в Firewall, так же не решит поставленную задачу для подобных схем.

Решить задачу можно, отключив Firewall на входном интерфейсе:

esr(config-if-gi)# ip firewall disable

Изменения конфигурации вступают в действие после применения:

esr# commit

Configuration has been successfully committed

esr# confirm

Configuration has been successfully confirmed

Вернуться к началу

Конфигурирование статических маршрутов

Статическая маршрутизация – вид маршрутизации, при котором маршруты указываются в явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации.

Задача: Настроить доступ к сети Internet для пользователей локальной сети 192.168.1.0/24 и 10.0.0.0/8, используя статическую маршрутизацию. На устройстве R1 создать шлюз для доступа к сети Internet. Трафик внутри локальной сети должен маршрутизироваться внутри зоны LAN, трафик из сети Internet должен относиться к зоне WAN.

Рисунок 1 — схема сети.

Решение:

Зададим имя устройства для маршрутизатора R1:

esr# hostname R1

esr#(config)# do commit

R1#(config)# do confirm

Для интерфейса gi1/0/1 укажем адрес 192.168.1.1/24 и зону «LAN». Через данный интерфейс R1 будет подключен к сети 192.168.1.0/24:

R1(config)# interface gi1/0/1

R1(config-if-gi)# security-zone LAN

R1(config-if-gi)# ip address 192.168.1.1/24

R1(config-if-gi)# exit

Для интерфейса gi1/0/2 укажем адрес 192.168.100.1/30 и зону «LAN». Через данный интерфейс R1 будет подключен к устройству R2 для последующей маршрутизации трафика:

R1(config)# interface gi1/0/2

R1(config-if-gi)# security-zone LAN

R1(config-if-gi)# ip address 192.168.100.1/30

R1(config-if-gi)# exit

Для интерфейса gi1/0/3 укажем адрес 128.107.1.2/30 и зону «WAN». Через данный интерфейс R1 будет подключен к сети Internet:

R1(config)# interface gi1/0/3

R1(config-if-gi)# security-zone WAN

R1(config-if-gi)# ip address 128.107.1.2/30

R1(config-if-gi)# exit

Создадим маршрут для взаимодействия с сетью 10.0.0.0/8, используя в качестве шлюза устройство R2 (192.168.100.2):

R1(config)# ip route 10.0.0.0/8 192.168.100.2

Создадим маршрут для взаимодействия с сетью Internet, используя в качестве nexthop шлюз провайдера (128.107.1.1):

R1(config)# ip route 0.0.0.0/0 128.107.1.1

Изменения конфигурации на маршрутизаторе R1 вступят в действие по следующим командам:

R1# commit

Configuration has been successfully committed

R1# confirm

Configuration has been successfully confirmed

Зададим имя устройства для маршрутизатора R2:

esr# hostname R2

esr#(config)# do commit

R2#(config)# do confirm

Для интерфейса gi1/0/1 укажем адрес 10.0.0.1/8 и зону «LAN». Через данный интерфейс R2 будет подключен к сети 10.0.0.0/8:

R2(config)# interface gi1/0/1

R2(config-if-gi)# security-zone LAN

R2(config-if-gi)# ip address 10.0.0.1/8

R2(config-if-gi)# exit

Для интерфейса gi1/0/2 укажем адрес 192.168.100.2/30 и зону «LAN». Через данный интерфейс R2 будет подключен к устройству R1 для последующей маршрутизации трафика:

R2(config)# interface gi1/0/2

R2(config-if-gi)# security-zone LAN

R2(config-if-gi)# ip address 192.168.100.2/30

R2(config-if-gi)# exit

Создадим маршрут по умолчанию, указав в качестве nexthop IP-адрес интерфейса gi1/0/2 маршрутизатора R1 (192.168.100.1):

R2(config)# ip route 0.0.0.0/0 192.168.100.1

Изменения конфигурации на маршрутизаторе R2 вступят в действие по следующим командам:

R2# commit

Configuration has been successfully committed

R2# confirm

Configuration has been successfully confirmed

Проверить таблицу маршрутов можно командой:

esr# show ip route

Вернуться к началу

DHCP Relay

В случае, если DHCP-клиент не имеет возможности обратиться к DHCP-серверу напрямую (например, если они находятся в разных широковещательных доменах), используется так называемый DHCP-ретранслятор (relay agent), который обрабатывает клиентский широковещательный DHCP-запрос и отправляет его на DHCP-сервер в виде unicast пакета, а полученный от DHCP-сервера ответ, в свою очередь, перенаправляет DHCP-клиенту.

Предварительно необходимо сконфигурировать интерфейсы:

esr(config)# interface gigabitethernet 1/0/1

esr(config-if-gi)# ip address 10.0.0.1/24

esr(config)# interface gigabitethernet 1/0/2

esr(config-if-gi)# ip address 192.168.0.1/24

Настройки DHCP-ретранслятора на ESR сводятся к:

1. Включению DHCP relay глобально на устройстве командой

esr(config)# ip dhcp—relay

2. Указанию на интерфейсе со стороны DHCP-клинта IP адреса DHCP-сервера, на который будут перенаправляться клиентские запросы.

esr(config)# interface gigabitethernet 1/0/2

esr(config-if-gi)# ip helper-address 10.0.0.2

Чтобы изменения вступили в силу, необходимо ввести следующие команды:

esr# commit

Configuration has been commited

esr# confirm

 Configuration has been confirmed

Вернуться к началу

Настройка VRRP tracking

VRRP tracking — механизм позволяющий активировать статические маршруты в зависимости от состояния VRRP.

Задача: Для подсети 192.168.0.0/24 организован виртуальный шлюз 192.168.0.1/24 с использованием протокола VRRP на основе аппаратных маршрутизаторов R1 и R2. Так же между маршрутизаторами R1 и R2 есть линк с вырожденной подсетью 192.168.1.0/30. Подсеть 10.0.1.0/24 терминируется только на маршрутизаторе R2. ПК имеет IP адрес 192.168.0.4/24 и шлюз по умолчанию 192.168.0.1

Когда маршрутизатор R1 находится в состоянии vrrp backup, трафик от ПК в подсеть 10.0.1.0/24 пойдет без дополнительных настроек. Когда маршрутизатор R1 находится в состоянии vrrp master, необходим дополнительный маршрут для подсети 10.0.1.0/24 через интерфейс 192.168.1.2.

Рисунок 1 – Схема сети

Исходные конфигурации маршрутизаторов:

Маршрутизатор R1

hostname R1

interface gigabitethernet 1/0/1

  switchport forbidden default-vlan

exit

interface gigabitethernet 1/0/1.741

  ip firewall disable

  ip address 192.168.0.2/24

  vrrp ip 192.168.0.1/24

  vrrp

exit

interface gigabitethernet 1/0/2

  switchport forbidden default-vlan

exit

interface gigabitethernet 1/0/2.742

  ip firewall disable

  ip address 192.168.1.1/30

exit

Маршрутизатор R2

hostname R2

interface gigabitethernet 1/0/1

  switchport forbidden default-vlan

exit

interface gigabitethernet 1/0/1.741

  ip firewall disable

  ip address 192.168.0.3/24

  vrrp id 10

  vrrp ip 192.168.0.1/24

  vrrp

exit

interface gigabitethernet 1/0/2

  switchport forbidden default-vlan

exit

interface gigabitethernet 1/0/2.742

  ip firewall disable

  ip address 192.168.1.2/30

exit

interface gigabitethernet 1/0/4

  ip firewall disable

  ip address 10.0.1.1/24

exit

Решение:

На маршрутизаторе R2 никаких изменений не требуется, так как подсеть 10.0.1.0/24 терминируется на нем, и в момент, когда R1 выступает в роли vrrp master, пакеты будут переданы в соответствующий интерфейс. На маршрутизаторе необходимо создать маршрут для пакетов с IP адресом назначения из сети 10.0.1.0/24 в момент, когда R1 выступает в роли vrrp master.

Для этого создадим tracking-ogject с соответствующим условием:

R1(config)# tracking 1

R1(config-tracking)# vrrp 10 state master

R1(config-tracking)# enable

R1(config-tracking)# exit

Создадим статический маршрут в подсеть 10.0.1.0/24 через 192.168.1.2, который будет работать в случае удовлетворения условия из tracking 1:

R1(config)# ip route 10.0.1.0/24 192.168.1.2 track 1

Вернуться к началу

Настройка Dual-Homing

Dual-Homing – технология резервирования соединений, позволяет организовать надежное соединение ключевых ресурсов сети на основе наличия резервных линков.

Задача: Организовать резервирование L2-соединений маршрутизатора ESR для VLAN 50-55 через устройства SW1 и SW2.

Рисунок 1 – Схема сети

Решение:

1. Предварительно нужно выполнить следующие действия:

Создадим VLAN 50-55:

esr-1000(config)# vlan 50-55

Необходимо отключить STP на интерфейсах gigabitethernet 1/0/9 и gigabitethernet 1/0/10, так как совместная работа данных протоколов невозможна:

esr-1000(config)# interface gigabitethernet 1/0/9-10

esr-1000(config-if-gi)# spanning-tree disable

Интерфейсы gigabitethernet 1/0/9 и gigabitethernet 1/0/10 добавим в VLAN 50-55 в режиме general.

esr-1000(config-if-gi)# switchport general allowed vlan add 50-55

esr-1000(config-if-gi)# exit

2. Основной этап конфигурирования:

Сделаем интерфейс gigabitethernet 1/0/10 резервным для gigabitethernet 1/0/9:

esr-1000(config)# interface gigabitethernet 1/0/9

esr-1000(config-if-gi)# backup interface gigabitethernet 1/0/10 vlan 50-55

Изменения конфигурации вступят в действие после применения:

esr-1000# commit

Configuration has been successfully committed

esr-1000# confirm

Configuration has been successfully confirmed

Просмотреть информацию о резервных интерфейсах можно командой:

esr-1000# show interfaces backup

Вернуться к началу

Настройка Route-based IPsec VPN

IPsec – это набор протоколов, которые обеспечивают защиту передаваемых с помощью IP-протокола данных. Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

Рисунок 1 – Схема сети

Задача: Настроить IPsec-туннель между R1 и R2.

R1 IP адрес — 120.11.5.1;

R2 IP адрес — 180.100.0.1;

IKE:

группа Диффи-Хэллмана: 2;

алгоритм шифрования: AES 128 bit;

алгоритм аутентификации: MD5.

IPSec:

алгоритм шифрования: AES 128 bit;

алгоритм аутентификации: MD5.

Решение:

1. Конфигурирование R1

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

esr# configure

esr(config)# interface gi 1/0/1

esr(config-if-gi)# ip address 120.11.5.1/24

esr(config-if-gi)# security-zone untrusted

esr(config-if-gi)# exit

Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

esr(config)# tunnel vti 1

esr(config-vti)# local address 120.11.5.1

esr(config-vti)# remote address 180.100.0.1

esr(config-vti)# enable

esr(config-vti)# exit

Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

esr(config)# object-group service ISAKMP

esr(config-object-group-service)# port-range 500

esr(config-object-group-service)# exit

Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

esr(config)# ip route 10.0.0.0/16 tunnel vti 1

Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

esr(config)# security ike proposal ike_prop1

esr(config-ike-proposal)# dh-group 2

esr(config-ike-proposal)# authentication algorithm md5

esr(config-ike-proposal)# encryption algorithm aes128

esr(config-ike-proposal)# exit

Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

esr(config)# security ike policy ike_pol1

esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF

esr(config-ike-policy)# proposal ike_prop1

esr(config-ike-policy)# exit

Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

esr(config)# security ike gateway ike_gw1

esr(config-ike-gw)# ike-policy ike_pol1

esr(config-ike-gw)# mode route-based

esr(config-ike-gw)# bind-interface vti 1

esr(config-ike-gw)# version v2-only

esr(config-ike-gw)# exit

Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

esr(config)# security ipsec proposal ipsec_prop1

esr(config-ipsec-proposal)# authentication algorithm md5

esr(config-ipsec-proposal)# encryption algorithm aes128

esr(config-ipsec-proposal)# exit

Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

esr(config)# security ipsec policy ipsec_pol1

esr(config-ipsec-policy)# proposal ipsec_prop1

esr(config-ipsec-policy)# exit

Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

esr(config)# security ipsec vpn ipsec1

esr(config-ipsec-vpn)# mode ike

esr(config-ipsec-vpn)# ike establish-tunnel immediate

esr(config-ipsec-vpn)# ike gateway ike_gw1

esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1

esr(config-ipsec-vpn)# enable

esr(config-ipsec-vpn)# exit

esr(config)# exit

2. Конфигурирование R2

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

esr# configure

esr(config)# interface gi 1/0/1

esr(config-if)# ip address 180.100.0.1/24

esr(config-if)# security-zone untrusted

esr(config-if)# exit

Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

esr(config)# tunnel vti 1

esr(config-vti)# remote address 120.11.5.1

esr(config-vti)# local address 180.100.0.1

esr(config-vti)# enable

esr(config-vti)# exit

Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

esr(config)# object-group service ISAKMP

esr(config-addr-set)# port-range 500

esr(config-addr-set)# exit

Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

esr(config)# ip route 10.0.0.0/16 tunnel vti 1

Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

esr(config)# security ike proposal ike_prop1

esr(config-ike-proposal)# dh-group 2

esr(config-ike-proposal)# authentication algorithm md5

esr(config-ike-proposal)# encryption algorithm aes128

esr(config-ike-proposal)# exit

Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

esr(config)# security ike policy ike_pol1

esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF

esr(config-ike-policy)# proposal ike_prop1

esr(config-ike-policy)# exit

Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

esr(config)# security ike gateway ike_gw1

esr(config-ike-gw)# ike-policy ike_pol1

esr(config-ike-gw)# mode route-based

esr(config-ike-gw)# bind-interface vti 1

esr(config-ike-gw)# version v2-only

esr(config-ike-gw)# exit

Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec туннеля:

esr(config)# security ipsec proposal ipsec_prop1

esr(config-ipsec-proposal)# authentication algorithm md5

esr(config-ipsec-proposal)# encryption algorithm aes128

esr(config-ipsec-proposal)# exit

Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

esr(config)# security ipsec policy ipsec_pol1

esr(config-ipsec-policy)# proposal ipsec_prop1

esr(config-ipsec-policy)# exit

Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

esr(config)# security ipsec vpn ipsec1

esr(config-ipsec-vpn)# mode ike

esr(config-ipsec-vpn)# ike establish-tunnel immediate

esr(config-ipsec-vpn)# ike gateway ike_gw1

esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1

esr(config-ipsec-vpn)# enable

esr(config-ipsec-vpn)# exit

esr(config)# exit

Состояние туннеля можно посмотреть командой:

esr# show security ipsec vpn status ipsec1

Конфигурацию туннеля можно посмотреть командой:

esr# show security ipsec vpn configuration ipsec1

Вернуться к началу