Первоначальная настройка Eltex ESR-200 FSTEC - АлтунинВВ.Блог - всё об IT-технологиях!
Вторник, 18 февраля 2020 16:17

Первоначальная настройка Eltex ESR-200 FSTEC

Россия
ESR-200 FSTEC ESR-200 FSTEC

Данная статья будет полезна всем, кто в соответствии с требованиями ФСТЭК закупил новый межсетевой экран ESR-200 FSTEC. Впрочем, она применима и к ESR-100 FSTEC и ESR-1000 FSTEC.

Развитие информационных технологий в нашей стране ставит перед государством всё новые вызовы. Информационные технологии — это не только Интернет, с развлекательными и информационными сайтами, включая Госуслуги. Это и локальные вычислительные сети, и целый перечень оборудования от коммутаторов и межсетевых экранов, заканчивая оборудованием магистрального уровня. Любое телекоммуникационное оборудование может содержать уязвимости или просто закладки, позволяющие спецслужбам страны производителя получать доступ к оборудованию. Для того, чтобы избежать подобных угроз, такое оборудование нужно производить самому!

До объявления импортозамещения в России активно использовались коммутаторы и межсетевые экраны фирмы Cisco и прочих производителей из США. Введение против нашей страны санкций со стороны США и присоединившегося Евросоюза наглядно показали, что в любой момент по любому надуманному поводу, они могут лишить нашу страну доступа к любым технологиям, в том числе, к телекоммуникационному оборудованию.

Несмотря на яростное сопротивление отдельных слоев общества, была запущена программа импортозамещения, в том числе в сфере телекоммуникационного оборудования. В рамках её исполнения был создан Реестр телекоммуникационного оборудования российского происхождения (ТОРП). Впрочем, история создания, плюсы, минусы и состояние дел - это тема для отдельной статьи.

Одним из Российских производителей, которые сертифицируют свое оборудование согласно требованиям ФСТЭК, а также, на соответствие статусу ТОРП является компания ELTEX.

Подключение ESR-200 к ПК

Маршрутизатор поставляется в минимальной комплектации. В общем в коробке вы найдете кабель питания, формуляры и сам маршрутизатор. Но для первоначальной настройки нам потребуется специальный кабель Rs232 DB9 (com–rg45). Я пользуюсь таким:

Он достался в наследство от старой Cisco ASA.

Если, для настройки, вы используете стоечный сервер, то с высокой долей вероятности в нем уже есть как минимум один com-порт. В современных ПК такие порты, как правило, отсутствуют. В этом случае вам потребуется переходник com-usb, я пользуюсь вот таким USB-SERIAL CH340:

 

Для начала проверяем стоит проверить, доступен ли COM порт. У меня это COM3, у вас номер порта может быть другим. Например, на одном usb-порту у меня он COM3, а на соседнем уже COM4! Это важно для дальнейшей настройки. Если вы подключаетесь к серверу, то порты могут быть COM1 или COM2.

После подключения будет нелишним проверить видит ли Windows наше устройство.

Заходим в диспетчер устройств и открываем вкладку Порты (COM и LPT), если все в порядке вы увидите следующее:

 

Название адаптера будет различаться, но вы точно можете узнать номер COM-порта, запомните его, он нам еще пригодится.

Если этого раздела нет, то скорее всего вам нужно найти и установить драйвера для адаптера com-usb. Как вариант, адаптер мог выйти из строя. Иногда эти устройства в принципе не работают с более новой или наоборот - старой версией Windows!

Настройка PuTTY

Для подключения к устройству через COM-порт нам необходима консоль. Я рекомендую использовать хорошо себя зарекомендовавшую программу PuTTY.

Идем на официальный сайт и скачиваем свежую версию PuTTY, на момент написания это версия 0.73

После установки запускаем её.

В окне выбираем категорию Serial

Заполняем как показано на рисунке

Serial line connected to – COM3 
Speed – 115200 
Data bits – 8 
Stop bits – 1 
Parity – None

Соединяем кабели и подключаем конец с разъемом RJ45 к порту "Console" на маршрутизаторе.

Подключаем кабель к роутеру в порт «Console» и к переходнику com-usb

В PuTTY нажимаем Open, если все настроено правильно у вас откроется такое окно


Если откроется окно с ошибкой:

Значит вы либо неверно указали номер порта, либо не соединили кабели, либо у вас проблемы с com-портом.

Обратите внимание, что некоторые кабели, идущие в комплекте с серверными UPS, работают только в режиме чтения и не могу использоваться для настройки оборудования!

Если же у вас успешно открылось пустое окно консоли, то теперь можно присоединить кабель питания к ESR-200.

начнется загрузка маршрутизатора, прогресс загрузки отображается в консоли.

Полный лог загрузки вы можете найти под спойлером:

[TODO: добавить лог]

Вход в систему

Загрузка занимает несколько минут.

После загрузки на экране появится приветствие: 

Setting hostname to 'esr-200'...done. 
2011-02-27T22:31:30+00:00 %SYS-W-EVENT: Configuration is applied 
S-Terra administrative console 
login as: 

На экране появится Initial CLI:

login as:administrator

administrator's password: 

Имя пользователя по-умолчанию: administrator

Пароль: s-terra

Первичная инициализация

Так как это наше первое включение устройства, его требуется инициализировать:

############################################################ 
System is not initialized. Please run "initialize" command to start initialization procedure.
############################################################

Так как это наше первое включение устройства, его требуется инициализировать:  

Вводим команду:

administrator@esr-200] initialize

Экран очиститься и появятся две строки: 

Progress: [          ]
Press key: T

 Вы должны нажимать предложенные клавиши, учтите что важен и регистр букв!

Постепенно шкала будет заполняться:

Progress: [********* ]

Press key: 8

Если вы нажимаете неверную клавишу прогресс откатывается, так что будьте внимательны! 

После заполнения индикатора появится сообщение:

Successfully initialized RNG.

 Active license:

CustomerCode=DEMO_FOR_ESR-ST

ProductCode=GATEESR
LicenseNumber=XXXX
LicenseCode=XXXX-XXXX-XXXX-XXXX-XXXX
Would you like to use existing license for S-Terra Gate? [Yes] Yes

Отвечаем YES

Появится сообщение: 

SUCCESS:  Operation was successful. 

Trying to load drivers:
Configuring IPsec driver:
Starting VPN log daemon.. done.
Starting IPsec daemon.............. done.

Initialization completed.
Some settings will take effect after OS reboot only.
Network traffic is blocked.
To unblock network traffic, please setup the network security policy or use "run csconf_mgr activate" command to activate the predefined permissive network security policy now.

Чтобы разблокировать сетевой трафик, нам нужно выполнить команду run csconf_mgr activate

administrator@esr-200] run csconf_mgr activate

Вход в режим управления

 Почти все настройки выполняются в режиме конфигурации, для этого вводим:

administrator@esr-200] config

Имя пользователя : admin

Пароль: password

Если вы ввели всё правильно, появится приглашение:

********************************************
*            Welcome to ESR-200            *
********************************************

Welcome to ESR-200 on Sun Feb 27 23:06:54 UTC 2011 esr:esr-200#

Вот мы и вошли в режим управления! 

Проверка информации о маршрутизаторе

Проверим, что всё работает:

Например, можно вывести информацию о системе: 

esr:esr-200# sh system

System type:           Eltex ESR-200 Service Router

System name:           esr-200

Software version:      1.0.7-ST build 303[cf1cdcf] (date 29/01/2018 time 07:07:1

Hardware version:      1v8

System uptime:         19 minutes and 24 seconds

System MAC address:    XX:XX:XX:XX:XX:XX

System serial number:  NPXXXXXXXX
 
Fan Level:                        46%

   Fan Table
         Fan 1   Fan 2
------   -----   -----
Status   Ok      Ok

   Temperature Table
                 CPU        Board
--------------   --------   --------
Temperature, C   45         39

   Memory Table

        Total, MB          Used, MB           Free, MB
-----   ----------------   ----------------   ----------------
RAM     3768.88            1311.88 (35%)      2457.00 (65%)
FLASH   20.00              1.25 (7%)          18.75 (93%)

esr:esr-200#

Проверим текущую конфигурацию устройства:

esr:esr-200# show running-config

interface gigabitethernet 1/0/1
  shutdown
exit

interface gigabitethernet 1/0/2
  shutdown
exit

interface gigabitethernet 1/0/3
  shutdown
exit

interface gigabitethernet 1/0/4
  shutdown
exit

interface gigabitethernet 1/0/5
  shutdown
exit

interface gigabitethernet 1/0/6
  shutdown
exit

interface gigabitethernet 1/0/7
  shutdown
exit

interface gigabitethernet 1/0/8
  shutdown
exit

esr:esr-200#

Как мы видим по умолчанию все порты отключены. Именно поэтому нам и нужна консоль, иначе мы просто не сможем подключится к esr-200.

Вход в режим конфигурирования

Почти все настройки производятся в режиме конфигурирования:

esr:esr-200# config

 Обратите внимание, что в приглашении командной строки появилось слово (config)

esr:esr-200(config)#

это означает, что устройство перешло в режим конфигурирования.

Теперь мы можем настроить имя хоста для нашего устройства:

esr:esr-200(config)# hostname GW-MAIN

Теперь проверим, что получилось. Если мы попробуем получить конфигурацию устройства, то получим сообщение об ошибке:

esr:esr-200(config)# show running-config

Syntax error: Unknown command

Всё дело в том, что в режиме конфигурирования, некоторые команды напрямую не работают, поэтому нам нужно добавить команду ‘do'

esr:esr-200(config)# do show running-config

Из вывода команды вы увидите, что конфигурация устройства не изменилась.

Коммит и подтверждение конфигурации

 Происходит это потому, что для фактического применения конфигурации нужно пройти два шага: 

  1. commit

  2. confirm

После внесения изменения в конфигурацию устройства, вы делаете commit или do commit, если запускаете эту команду из режима конфигурирования.

Эта команда на 10 минут применяет ваши изменения к устройству. Если всё в порядке и ничего не нигде не «отвалилось» и всё работает нормально, то можно приступать к следующему этапу.

Если же, например, вы меняли IP адрес у интерфейса и ошиблись, то возможна такая ситуация, при которой зайти на устройство не получится, так как просто пропадет связь до него, тогда вам достаточно подождать 10 минут, по истечении которых ваша новая конфигурация будет автоматически сброшена, и вы снова получите доступ к устройству.

Иногда возникает необходимость просто откатить внесенные изменения, сделать это можно командой restore или do restore

Если после проверки новой конфигурации всё работает как планировалась, можно окончательно записать новую конфигурацию, делается это командой confirm или do confirm, при этом все изменения будут записаны на устройство и откатить их уже не получится!

Проверим что у нас получилось:

esr:esr-200(config)# hostname GW-MAIN

esr:esr-200(config)# do commit

2011-03-04T17:28:23+00:00 %CLI-I-CRIT: user admin from console  input: do commit

Setting hostname to 'GW-MAIN'...done.

Configuration has been successfully committed

esr:GW-MAIN(config)# do confirm

2011-03-04T17:28:31+00:00 %CLI-I-CRIT: user admin from console  input: do confirm

Configuration has been successfully confirmed

Еще раз проверяем конфигурацию:

esr:GW-MAIN(config)# do show running-config

hostname GW-MAIN
 

interface gigabitethernet 1/0/1
  shutdown
exit

interface gigabitethernet 1/0/2
  shutdown
exit

interface gigabitethernet 1/0/3
  shutdown
exit

interface gigabitethernet 1/0/4
  shutdown
exit

interface gigabitethernet 1/0/5
  shutdown
exit

interface gigabitethernet 1/0/6
  shutdown
exit

interface gigabitethernet 1/0/7
  shutdown
exit

interface gigabitethernet 1/0/8
  shutdown
exit

Как мы видим, конфигурация применилась, у нас появилась строчка

hostname GW-MAIN

Настройка сетевого интерфейса

Теперь, когда мы разобрались с тем, как работает система сохранения и подтверждения конфигурации, можно приступить к настройке сети.

Но прежде сделаем небольшое отступление. У всех устройств линейки ESR есть так называемые ‘Combo ports’. По сути комбо-порт – это два порта, объединенных в один. К примеру, если вы вставите модуль SFP+ в комбо-порт №3 и подключите к нему оптику, то не сможете пользоваться Ethernet портом №3. Отсюда вытекает и следующее ограничение все комбо-порты имеют максимальную скорость 1Гб/с. Вы можете использовать либо витую пару, включенную в комбо-порт, либо оптику!

У ESR есть только gigabitethernet порты. Это значит, что максимально возможная скорость – 1Гб/с. 

Итак, начинаем настраивать сеть. В устройствах ESR приняты следующие соглашения об именовании интерфейсов:

gigabitethernet 1/0/1

По сути меняется только последняя цифра, например,

gigabitethernet 1/0/4

означает 4 порт устройства или 4 порт SFP+ если это комбо-порт.

Настройка сети производится из режима конфигурации (config)

Вход в режим настройки порта производится командой:

interface gigabitethernet 1/0/2

после её ввода приглашение командной строки меняется на:

esr:GW-MAIN(config-if-gi)#

это означает что мы находимся в режиме конфигурирования сетевого интерфейса.

Прежде всего нужно включить порт, для этого воспользуемся командой

esr:GW-MAIN(config-if-gi)# no shutdown

 Данная команда включает порт, установленный по умолчанию командой ‘shutdown’. Вообще команда ‘no’ очень часто используется для удаления настроек и параметров. После её применения установленное значение shutdown данного порта удаляется из конфигурации.

Теперь пришло время прописать IP адрес для нашего порта.

esr:GW-MAIN(config-if-gi)# ip address 192.168.0.230/24

Обратите внимание, обязательно нужно прописывать маску подсети в формате /24 или /27

Можно добавить описание порта

esr:GW-MAIN(config-if-gi)# description LAN

Теперь просто выходим из режима настройки порта

esr:GW-MAIN(config-if-gi)# exit

esr:GW-MAIN(config)#

И делаем commit конфига:

esr:GW-MAIN(config)# do commit

2011-03-04T20:19:15+00:00 %CLI-I-CRIT: user admin from console  input: do commit

Configuration has been successfully committed

Проверяем наличие сети, подразумевается, что в сети у вас есть устройство с адресом 192.168.0.1:

esr:GW-MAIN(config)# do ping 192.168.0.1

PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.

!!!!!

--- 192.168.130.1 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4005ms

rtt min/avg/max/mdev = 0.177/0.186/0.194/0.018 ms

Сеть работает, делаем confirm

esr:GW-MAIN(config)# do confirm

2011-03-04T20:21:47+00:00 %CLI-I-CRIT: user admin from console  input: do confirm

Configuration has been successfully confirmed

Вот мы и настроили локальную сеть на устройстве.

Проверяем конфигурацию:

esr:GW-MAIN(config)# do show running-config

hostname GW-MAIN


interface gigabitethernet 1/0/1
  shutdown
exit

interface gigabitethernet 1/0/2
  description "LAN"
  ip address 192.168.130.230/24
exit

interface gigabitethernet 1/0/3
  shutdown
exit

interface gigabitethernet 1/0/4
  shutdown
exit

interface gigabitethernet 1/0/5
  shutdown
exit

interface gigabitethernet 1/0/6
  shutdown
exit

interface gigabitethernet 1/0/7
  shutdown
exit

interface gigabitethernet 1/0/8
  shutdown
exit

На этом всё!

Заключение

Подведем итоги, что же мы узнали о первоначальной настройке ESR-200:

1. Мы научились подключаться к консоли управления с помощью программы PuTTY;

2. Узнали пароли по умолчанию для входа на устройство;

3. Разобрались как войти в режим управления и конфигурирования устройства;

4. Узнали команды вывода информации об устройстве и его текущей конфигурации;

5. Разобрались в том, как можно сменить hostname устройства;

6. Разобрали механизм commit/confirm для сохранения конфигурации устройства;

7. Настроили сетевой адаптер на устройстве.

В будущих статьях будет рассмотрена настройка межсетевого экрана, а так же настройка NAT, в том числе и маскарадинг.

 

 

Прочитано 2076 раз Последнее изменение Вторник, 28 июля 2020 12:37
Другие материалы в этой категории: ESR-100 FSTEC - анализируем лог загрузки »