Первоначальная настройка Eltex ESR-200 FSTEC
Развитие информационных технологий в нашей стране ставит перед государством всё новые вызовы. Информационные технологии — это не только Интернет, с развлекательными и информационными сайтами, включая Госуслуги. Это и локальные вычислительные сети, и целый перечень оборудования начиная с коммутаторов и межсетевых экранов, до оборудования магистрального уровня. Любое телекоммуникационное оборудование может содержать уязвимости или просто закладки, позволяющие спецслужбам страны производителя получать доступ к оборудованию. Для того, чтобы избежать подобных угроз, такое оборудование нужно производить самому!
До объявления импортозамещения в России активно использовались коммутаторы и межсетевые экраны фирмы Cisco и прочих производителей из США. После 24 февраля 2022 года всё изменилось - введение против нашей страны санкций со стороны США, Евросоюза, и прочие враждебных шаги, предпринимаемые "коллективным Западом" фактически лишили нас официального доступа к телекоммуникационному оборудованию! Да, есть серый импорт, но покупать таким образом оборудование - спонсировать целую кучу перекупов и тот же "коллективный Запад", это не говоря о ценах на это самое оборудование! Нужно производить свое, поначалу собирая из китайских компонентов, постепенно переходя на собственное производство.
К счастью, вовремя проведенные мероприятия по импортозамещению дали свои плоды, мы не остались без оборудования и, в основном в бюджетной сфере, постепенно производится замена устаревшего оборудования на маршрутизаторы и коммутаторы фирмы Eltex. Почти вся её продукция соответствует статусу ТОРП и при желании можно приобрести оборудование сертифицированное согласно требованиям ФСТЭК и ФСБ.
Данная статья будет полезна всем, кто в соответствии с требованиями ФСТЭК закупает межсетевые экраны ESR-200 FSTEC. Впрочем, она применима и к ESR-100 FSTEC и ESR-1000 FSTEC.
Подключение ESR-200 к ПК
Маршрутизатор поставляется в минимальной комплектации. В общем в коробке вы найдете кабель питания, формуляры и сам маршрутизатор. Но для первоначальной настройки нам потребуется специальный кабель Rs232 DB9 (com–rg45). Я пользуюсь таким:
Он достался в наследство от старой Cisco ASA.
Если, для настройки, вы используете стоечный сервер, то с высокой долей вероятности в нем уже есть как минимум один com-порт. В современных ПК такие порты, как правило, отсутствуют. В этом случае вам потребуется переходник com-usb, я пользуюсь вот таким USB-SERIAL CH340:
Для начала проверяем стоит проверить, доступен ли COM порт. У меня это COM3, у вас номер порта может быть другим. Например, на одном usb-порту у меня он COM3, а на соседнем уже COM4! Это важно для дальнейшей настройки. Если вы подключаетесь к серверу, то порты могут быть COM1 или COM2.
После подключения будет нелишним проверить видит ли Windows наше устройство.
Заходим в диспетчер устройств и открываем вкладку Порты (COM и LPT), если все в порядке вы увидите следующее:
Название адаптера будет различаться, но вы точно можете узнать номер COM-порта, запомните его, он нам еще пригодится.
Если этого раздела нет, то скорее всего вам нужно найти и установить драйвера для адаптера com-usb. Как вариант, адаптер мог выйти из строя. Иногда эти устройства в принципе не работают с более новой или наоборот - старой версией Windows!
Настройка PuTTY
Для подключения к устройству через COM-порт нам необходима консоль. Я рекомендую использовать хорошо себя зарекомендовавшую программу PuTTY.
Идем на официальный сайт и скачиваем свежую версию PuTTY, на момент написания это версия 0.73
После установки запускаем её.
В окне выбираем категорию Serial
Заполняем как показано на рисунке:
Serial line connected to – COM3
Speed – 115200
Data bits – 8
Stop bits – 1
Parity – NoneСоединяем кабели и подключаем конец с разъемом RJ45 к порту "Console" на маршрутизаторе.
Подключаем кабель к роутеру в порт «Console» и к переходнику com-usb
В PuTTY нажимаем Open, если все настроено правильно у вас откроется такое окно
Если откроется окно с ошибкой:
Значит вы либо неверно указали номер порта, либо не соединили кабели, либо у вас проблемы с com-портом.
Обратите внимание, что некоторые кабели, идущие в комплекте с серверными UPS, работают только в режиме чтения и не могу использоваться для настройки оборудования!
Если же у вас успешно открылось пустое окно консоли, то теперь можно присоединить кабель питания к ESR-200.
начнется загрузка маршрутизатора, прогресс загрузки отображается в консоли.
Вход в систему
Загрузка занимает несколько минут.
После загрузки на экране появится приветствие:
Setting hostname to 'esr-200'...done.
2011-02-27T22:31:30+00:00 %SYS-W-EVENT: Configuration is applied
S-Terra administrative console
login as: На экране появится Initial CLI:
login as:administrator
administrator's password:
Имя пользователя по-умолчанию: administrator
Пароль: s-terraПервичная инициализация
Так как это наше первое включение устройства, его требуется инициализировать:
############################################################
System is not initialized. Please run "initialize" command to start initialization procedure.
############################################################Так как это наше первое включение устройства, его требуется инициализировать:
Вводим команду:
administrator@esr-200] initializeЭкран очиститься и появятся две строки:
Progress: [ ] Press key: TВы должны нажимать предложенные клавиши, учтите что важен и регистр букв!
Постепенно шкала будет заполняться:
Progress: [********* ]
Press key: 8Если вы нажимаете неверную клавишу прогресс откатывается, так что будьте внимательны!
После заполнения индикатора появится сообщение:
Successfully initialized RNG.
Active license:
CustomerCode=DEMO_FOR_ESR-ST
ProductCode=GATEESR
LicenseNumber=XXXX
LicenseCode=XXXX-XXXX-XXXX-XXXX-XXXX
Would you like to use existing license for S-Terra Gate? [Yes] YesОтвечаем YES
Появится сообщение:
SUCCESS: Operation was successful.
Trying to load drivers:
Configuring IPsec driver:
Starting VPN log daemon.. done.
Starting IPsec daemon.............. done.
Initialization completed.
Some settings will take effect after OS reboot only.
Network traffic is blocked.
To unblock network traffic, please setup the network security policy or use "run csconf_mgr activate" command to activate the predefined permissive network security policy now.Чтобы разблокировать сетевой трафик, нам нужно выполнить команду:
run csconf_mgr activate
administrator@esr-200] run csconf_mgr activateВход в режим управления
Почти все настройки выполняются в режиме конфигурации, для этого вводим:
administrator@esr-200] configИмя пользователя : admin
Пароль: password
Если вы ввели всё правильно, появится приглашение:
******************************************** *
Welcome to ESR-200
* ********************************************
Welcome to ESR-200 on Sun Feb 27 23:06:54 UTC 2011
esr:esr-200#Вот мы и вошли в режим управления!
Проверка информации о маршрутизаторе
Проверим, что всё работает. Например, можно вывести информацию о системе:
esr:esr-200# sh system
System type: Eltex ESR-200 Service Router
System name: esr-200
Software version: 1.0.7-ST build 303[cf1cdcf] (date 29/01/2018 time 07:07:1
Hardware version: 1v8
System uptime: 19 minutes and 24 seconds
System MAC address: XX:XX:XX:XX:XX:XX
System serial number: NPXXXXXXXX
Fan Level: 46%
Fan Table
Fan 1 Fan 2
------ ----- -----
Status Ok Ok
Temperature Table
CPU Board
-------------- -------- --------
Temperature, C 45 39
Memory Table
Total, MB Used, MB Free, MB
----- ---------------- ---------------- ----------------
RAM 3768.88 1311.88 (35%) 2457.00 (65%)
FLASH 20.00 1.25 (7%) 18.75 (93%)
esr:esr-200#Проверим текущую конфигурацию устройства:
esr:esr-200# show running-config
interface gigabitethernet 1/0/1
shutdown
exit
interface gigabitethernet 1/0/2
shutdown
exit
interface gigabitethernet 1/0/3
shutdown
exit
interface gigabitethernet 1/0/4
shutdown
exit
interface gigabitethernet 1/0/5
shutdown
exit
interface gigabitethernet 1/0/6
shutdown
exit
interface gigabitethernet 1/0/7
shutdown
exit
interface gigabitethernet 1/0/8
shutdown
exit
esr:esr-200#Как мы видим по умолчанию все порты отключены. Именно поэтому нам и нужна консоль, иначе мы просто не сможем подключится к ESR-200.
Вход в режим конфигурирования
Почти все настройки производятся в режиме конфигурирования:
esr:esr-200# configОбратите внимание, что в приглашении командной строки появилось слово (config)
esr:esr-200(config)#это означает, что устройство перешло в режим конфигурирования.
Теперь мы можем настроить имя хоста для нашего устройства:
esr:esr-200(config)# hostname GW-MAINТеперь проверим, что получилось. Если мы попробуем получить конфигурацию устройства, то получим сообщение об ошибке:
esr:esr-200(config)# show running-config
Syntax error: Unknown command
Всё дело в том, что в режиме конфигурирования, некоторые команды напрямую не работают, поэтому нам нужно добавить команду ‘do'
esr:esr-200(config)# do show running-configИз вывода команды вы увидите, что конфигурация устройства не изменилась.
Коммит и подтверждение конфигурации
Происходит это потому, что для фактического применения конфигурации нужно пройти два шага:
- commit
- confirm
После внесения изменения в конфигурацию устройства, вы делаете commit или do commit, если запускаете эту команду из режима конфигурирования.
Эта команда на 10 минут применяет ваши изменения к устройству. Если всё в порядке и ничего не нигде не «отвалилось» и всё работает нормально, то можно приступать к следующему этапу.
Если же, например, вы меняли IP адрес у интерфейса и ошиблись, то возможна такая ситуация, при которой зайти на устройство не получится, так как просто пропадет связь до него, тогда вам достаточно подождать 10 минут, по истечении которых ваша новая конфигурация будет автоматически сброшена, и вы снова получите доступ к устройству.
Иногда возникает необходимость просто откатить внесенные изменения, сделать это можно командой restore или do restore
Если после проверки новой конфигурации всё работает как планировалась, можно окончательно записать новую конфигурацию, делается это командой confirm или do confirm, при этом все изменения будут записаны на устройство и откатить их уже не получится!
Проверим что у нас получилось:
esr:esr-200(config)# hostname GW-MAIN
esr:esr-200(config)# do commit
2011-03-04T17:28:23+00:00 %CLI-I-CRIT: user admin from console input: do commit
Setting hostname to 'GW-MAIN'...done.
Configuration has been successfully committed
esr:GW-MAIN(config)# do confirm
2011-03-04T17:28:31+00:00 %CLI-I-CRIT: user admin from console input: do confirm
Configuration has been successfully confirmedЕще раз проверяем конфигурацию:
esr:GW-MAIN(config)# do show running-config
hostname GW-MAIN
interface gigabitethernet 1/0/1
shutdown
exit
interface gigabitethernet 1/0/2
shutdown
exit
interface gigabitethernet 1/0/3
shutdown
exit
interface gigabitethernet 1/0/4
shutdown
exit
interface gigabitethernet 1/0/5
shutdown
exit
interface gigabitethernet 1/0/6
shutdown
exit
interface gigabitethernet 1/0/7
shutdown
exit
interface gigabitethernet 1/0/8
shutdown
exit Как мы видим, конфигурация применилась, у нас появилась строчка
hostname GW-MAINНастройка сетевого интерфейса
Теперь, когда мы разобрались с тем, как работает система сохранения и подтверждения конфигурации, можно приступить к настройке сети.
Но прежде сделаем небольшое отступление. У устройств ESR-100 и ESR-200 есть так называемые ‘Combo ports’. По сути комбо-порт – это два порта, объединенных в один. К примеру, если вы вставите модуль SFP+ в комбо-порт №3 и подключите к нему оптику, то не сможете пользоваться Ethernet портом №3. Отсюда вытекает и следующее ограничение все комбо-порты имеют максимальную скорость 1Гб/с. Вы можете использовать либо витую пару, включенную в комбо-порт, либо оптику!
У ESR-100 и ESR-200 есть только GigabitEthernet порты. Это значит, что максимально возможная скорость – 1Гб/с.
Итак, начинаем настраивать сеть. В устройствах ESR приняты следующие соглашения об именовании интерфейсов:
gigabitethernet 1/0/1По сути меняется только последняя цифра, например:
gigabitethernet 1/0/4Означает 4 порт устройства или 4 порт SFP+ если это комбо-порт.
Настройка сети производится из режима конфигурации (config)
Вход в режим настройки порта производится командой:
interface gigabitethernet 1/0/2После её ввода приглашение командной строки меняется на:
esr:GW-MAIN(config-if-gi)#Это означает что мы находимся в режиме конфигурирования сетевого интерфейса.
Прежде всего нужно включить порт, для этого воспользуемся командой:
esr:GW-MAIN(config-if-gi)# no shutdownДанная команда включает порт, с установленный по умолчанию командой ‘shutdown’. Вообще команда ‘no’ очень часто используется для удаления настроек и параметров. После её применения установленное значение shutdown данного порта удаляется из конфигурации.
Теперь пришло время прописать IP адрес для нашего порта.
esr:GW-MAIN(config-if-gi)# ip address 192.168.0.230/24Обратите внимание, обязательно нужно прописывать маску подсети в формате /24 или /27!
Можно добавить описание порта:
esr:GW-MAIN(config-if-gi)# description LANТеперь просто выходим из режима настройки порта:
esr:GW-MAIN(config-if-gi)# exit
esr:GW-MAIN(config)#И делаем commit конфига:
esr:GW-MAIN(config)# do commit
2011-03-04T20:19:15+00:00 %CLI-I-CRIT: user admin from console input: do commit
Configuration has been successfully committedПроверяем наличие сети, подразумевается, что в сети у вас есть устройство с адресом 192.168.0.1:
esr:GW-MAIN(config)# do ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
!!!!!
--- 192.168.130.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 0.177/0.186/0.194/0.018 msСеть работает, делаем confirm
esr:GW-MAIN(config)# do confirm
2011-03-04T20:21:47+00:00 %CLI-I-CRIT: user admin from console input: do confirm
Configuration has been successfully confirmedВот мы и настроили локальную сеть на устройстве.
Проверяем конфигурацию:
esr:GW-MAIN(config)# do show running-config
hostname GW-MAIN
interface gigabitethernet 1/0/1
shutdown
exit
interface gigabitethernet 1/0/2
description "LAN"
ip address 192.168.130.230/24
exit
interface gigabitethernet 1/0/3
shutdown
exit
interface gigabitethernet 1/0/4
shutdown
exit
interface gigabitethernet 1/0/5
shutdown
exit
interface gigabitethernet 1/0/6
shutdown
exit
interface gigabitethernet 1/0/7
shutdown
exit
interface gigabitethernet 1/0/8
shutdown
exit Заключение
Подведем итоги, что же мы узнали о первоначальной настройке ESR-200:
1. Мы научились подключаться к консоли управления с помощью программы PuTTY;
2. Узнали пароли по умолчанию для входа на устройство;
3. Разобрались как войти в режим управления и конфигурирования устройства;
4. Узнали команды вывода информации об устройстве и его текущей конфигурации;
5. Разобрались в том, как можно сменить hostname устройства;
6. Разобрали механизм commit/confirm для сохранения конфигурации устройства;
7. Настроили сетевой адаптер на устройстве.
В будущих статьях будет рассмотрена настройка межсетевого экрана, а так же настройка NAT, в том числе и маскарадинг.
Добавить комментарий