Router Asmax Er-903v

Podobne dokumenty
PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

Moduł Ethernetowy. instrukcja obsługi. Spis treści

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

* konfiguracja routera Asmax V.1501 lub V.1502T do połączenia z Polpakiem-T lub inną siecią typu Frame Relay

Router programowy z firewallem oparty o iptables

Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji

ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Konwerter RS-485->Ethernet [TCP/IP] CN-ETH-485 INSTRUKCJA [konfiguracja urządzenia do współpracy z programem MeternetPRO]

Czym jest router?... 3 Vyatta darmowy router... 3 Vyatta podstawowe polecenia i obsługa... 3 Zarządzanie użytkownikami... 3 Uzupełnianie komend...

Moduł Ethernetowy EL-ETH. Instrukcja obsługi

Aneks do instrukcji obsługi routera Asmax Br-804v II

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Telefon AT 530 szybki start.

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP



Asmax VoIP Router V320 Instrukcja instalacji

Tomasz Greszata - Koszalin

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Konwerter RS-485->TCP/IP [ethernet] ATC-1000 SZYBKI START [konfiguracja urządzenia do współpracy z programem Meternet]

ADSL Router Instrukcja instalacji

4. Podstawowa konfiguracja

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego

PODSTAWOWA OBSŁUGA PROGRAMU PROGRAMU PACKET TRACER TRYB REAL TIME

Wireless Router Instrukcja instalacji. 1. Wskaźniki i złącza urządzenia...1

Telefon IP 620 szybki start.

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

Serwer DHCP (dhcpd). Linux OpenSuse.

Wprowadzenie do obsługi systemu IOS na przykładzie Routera

Instrukcja konfiguracji urządzenia Comarch TNA Gateway Plus

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

Konfiguracja aplikacji ZyXEL Remote Security Client:


Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

1.1 Podłączenie Montaż Biurko Montaż naścienny... 4

Instrukcja obsługi. Grand IP Camera III. Kamera IP do monitoringu

Konwerter RS-485->TCP/IP [ethernet] ATC-1000 SZYBKI START [konfiguracja urządzenia do współpracy z programem MeternetPRO]

ABA-X3 PXES v Podręczna instrukcja administratora. FUNKCJE SIECIOWE Licencja FDL (bez prawa wprowadzania zmian)

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

TP-LINK 8960 Quick Install

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat hasła SOHO (ang. Small Office/Home Office).

Warsztaty z Sieci komputerowych Lista 3

FAQ: /PL Data: 19/11/2007 Programowanie przez Internet: Przekierowanie portu na SCALANCE S 612 w celu umo

Bramka IP 2R+L szybki start.

Bezpieczeństwo w M875

Instalacja. Dla przykładu, w instrukcji tej wykorzystano model TD-8817.

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

GPON Huawei HG8245/HG8245T/HG8245H

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Instrukcja podłączenia bramki IP 1R+L oraz IP 2R+L w trybie serwisowym za pomocą usługi telnet.

Instrukcja instalacji Encore ADSL 2 + WIG

Zarządzanie systemem komendy

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Routing - wstęp... 2 Routing statyczny... 3 Konfiguracja routingu statycznego IPv Konfiguracja routingu statycznego IPv6...

Punkt dostępowy z Routerem Wireless-G

Problemy techniczne SQL Server

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension.

7. Konfiguracja zapory (firewall)

Ćwiczenie Konfiguracja statycznych oraz domyślnych tras routingu IPv4

Zarządzanie bezpieczeństwem w sieciach

Bezprzewodowy ruter kieszonkowy/punkt dostępowy DWL-G730AP. Dysk CD z Podręcznikiem użytkownika. Kabel ethernetowy kat. 5 UTP

PODŁĄCZENIE I KONFIGURACJA BRAMKI VoIP LINKSYS PAP2T

Instalacja. Podłączenie urządzenia. Wyłącz wszystkie urządzenia sieciowe (komputer, modem i router).

Firewall bez adresu IP

Packet Tracer - Podłączanie routera do sieci LAN

Router VPN z Rangeboosterem

Instrukcja oryginalna Urządzenie posiada oznaczenie MODUŁ KOMUNIKACYJNY CENTRAL WENTYLACYJNYCH. WebManipulator

iptables/netfilter co to takiego?

Strona 1 z Przedni panel. LED Opis funkcji ADSL

Ćwiczenie 6 Przełącznik zarządzalny T2500G-10TS (TL-SG3210).

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Strona1. Suse LINUX. Konfiguracja sieci

Menu Status routera to pojedyncze okno, prezentujące aktualny stan oraz statystykę interfejsów z uwzględnieniem łącza dostępu do Internetu:

Instrukcja konfiguracji rejestratorów BCS. do pracy w sieci oraz programu PSS v.4.05

INSTRUKCJA OBSŁUGI ROUTERA 4 w 1 - ΩMEGA O700 - WIRELESS N 300M ROUTER.

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

Interfejsy: Ethernet do połączenia z siecią LAN Serial do połączenia z siecią WAN. pełną konfigurację urządzenia. Zadanie

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

1.1 Ustawienie adresów IP oraz masek portów routera za pomocą konsoli

Sieciowy serwer IP urządzeń USB z 4 portami USB 2.0

Podłączenie urządzenia. W trakcie konfiguracji routera należy korzystać wyłącznie z przewodowego połączenia sieciowego.

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

GPON Huawei HG8245/HG8245T/HG8245H/HG8546M/ HG8245Q/HS8546V/HS8145V

Instrukcja instalacji Control Expert 3.0

Ping. ipconfig. getmac

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Dla przykładu, w instrukcji tej wykorzystano model TL-WA701ND.

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Instalacja. Produkt pokazany na ilustracjach w tej instrukcji to model TD-VG3631. Podłączanie urządzenia

DHCP + udostępnienie Internetu

Konwerter RS-485->TCP/IP [ethernet] ATC-2000 SZYBKI START [konfiguracja urządzenia do współpracy z programem Meternet]

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

Iptables informacje ogólne

Transkrypt:

Router Asmax Er-903v Instrukcja konfiguracji Nowości, dane techniczne http://www.asmax.pl Sterowniki, firmware ftp://ftp.asmax.pl/pub/sterowniki Instrukcje, konfiguracje ftp://ftp.asmax.pl/pub/instrukcje Firmware Version 1.0.12

Spis treści 1. Specyfikacja:...3 2. Zawartość opakowania:...3 3. Właściwości:...4 4. Panel przedni i tylni:...5 5. Konfiguracja urządzenia...6 5.1 Dynamiczne IP WAN:...9 5.2 Stałe IP WAN np. InternetDSL:...9 5.3 Klient PPPoE Neostrada+/Net24...10 5.4 Konfiguracja serwera DHCP...10 5.5 Filtrowanie ruchu na podstawie MAC adresów:...12 5.6 Ograniczanie ruchu - Quality of Services...13 5.7 Virtual Server przekierowanie portów...16 5.8 VPN - IPSec...17 5.8 Przypisanie adresu IP do adresu MAC...19 5.9 Rozkładanie obciążenia na dwa łącza WAN a modem-backup...20 6. Filtrowanie w Er-903V...21 6.1 Dodawanie reguły filtrującej...21 6.1.1 Reguła wejściowa input...21 6.1.2 Reguła wyjściowa output i przesyłająca pomiędzy interfejsami forward...23 6.1.3 Dodawanie adresów MAC do MAC listy...23 6.2 Usuwanie reguły filtrującej...24 6.3 Konfiguracja reguł za pomocą strony konfiguracyjnej urządzenia...24 6.4 Podsumowanie filtrowania...26 7. Linux w Er-903V...27 8. FAQ najczęściej zadawane pytania...33 2

1. Specyfikacja: Hardware - Milti-Service Processor (MIPS Core) - 32 MB pamięci RAM (maks. 64 MB) - 512 kb pamięci Boot ROM - 8 MB pamięci flash - 3 porty Ethernet 10/100 Base-TX, Auto-Negotiation - 1 port szeregowy RS-232C - Zasilacz: 5 V DC, 3 A - Wymiary: 167 x 155 x 35 mm [szerokość] x [długość] x [wysokość] Software - LAN: TCP/IP, UDP, ICMP, ARP - WAN: PPPoE - Routing: Ipv4, RIPv1/v2 - Zarządzanie: SNMP, web (www), CLI (konsola, telnet) - Aplikacje: NAPT, klient/serwer DHCP, filtering, virtual server, load balancing - VPN: IPSec (HMAC-MD5, HMAC-SHA1, 3DES, DES), PPTP, L2TP - Filtrowanie: IP, TCP port, Protocol 2. Zawartość opakowania: Opakowanie powinno zawierać następujące elementy: - Router Asmax Er-903v - Zasilacz 5 V DC 3 A - Kabel terminala - Płyta CD-ROM z instrukcjami - Instrukcja instalacji W przypadku braku któregokolwiek z elementów proszę o kontakt ze sprzedawcą. Instrukcje obsługi oraz sterowniki można pobrać bezpłatnie z serwera ftp://ftp.asmax.pl/pub z katalogu sterowniki oraz instrukcje. 3

3. Właściwości: Opakowanie powinno zawierać następujące elementy: - Sygnalizacja stanu interfejsów urządzenia za pomocą diod LED - Szybkie i bezpieczne przetwarzanie danych przez procesor MIPS oraz 32 MB pamięć - 3 porty Ethernet 10/100 Mb/s - Wsparcie dla protokołów TCP, UDP, IPv4, ICMP, ARP - Zdalna konfiguracja i zarządzanie poprzez telnet i SNMP - Filtrowanie IP, Filtrowanie portów i protokołów - Klient PPPoE - Moduł VPN IPSec, L2TP, PPTP - Moduł QoS kolejkowanie ruchu TBF, SFQ - Sprzętowa akceleracja VPN Urządzenie posiada 3 w pełni konfigurowalne porty Ethernet. Router może pracować zarówno z dwoma interfejsami WAN i jednym LAN jak i z dwoma interfejsami LAN i jednym WAN. Pierwsze rozwiązanie umożliwia rozdzielenie ruchu na dwa łącza WAN, natomiast drugie rozwiązanie umożliwia separacje dwóch sieci LAN, posiadających dostęp do jednego łącza WAN. Ponadto urządzenie może pracować jako router umieszczony w sieci WAN (2 lub 3 interfejsy WAN) oraz najczęściej jako klasyczny router z jednym interfejsem WAN i jednym LAN (trzeci interfejs pozostaje wolny i nie skonfigurowany). 4

4. Panel przedni i tylni: Uwaga: Urządzenie nie posiada wbudowanego switch a co oznacza iż: komputer PC oraz hub podłączamy do interfejsów 1/2/3 kablem skrosowanym (cross-over). Switch w zależności od budowy kablem prostym (uplink) lub skrosowanym. Jeżeli switch posiada funkcję auto-sensing to można podłączyć go do routera dowolnym kablem sieciowym. Uwaga: Przycisk Reset służy TYLKO do ponownego uruchomienia systemu. Aby przywrócić ustawienia fabryczne należy zalogować się do urządzenia i z trybu konfiguracji zaawansowanej Enable uruchomić polecenie reboot factory. 5

5. Konfiguracja urządzenia Urządzenie może być zarządzane poprzez: terminal telnet (zdalnie, po uprzednim skonfigurowaniu interfejsów) stronę WEB (po uprzednim skonfigurowaniu interfejsów i uaktywnieniu opcji) Uwaga: Pierwsze logowanie do urządzenie musi być poprzez terminal, gdyż urządzenie nie posiada skonfigurowanych interfejsów. Porty 1/2/3 fabrycznie nie posiadają adresu IP. Konfiguracja poprzez terminal jest możliwa na dwa sposoby: z poziomu wiersza poleceń (za pomocą komend IOS) z poziomu shell a Linuxa (IOS poleceniem start-shell) Logowanie do urządzenia: łączymy się za pomocą konsoli z routerem np. za pomocą programu Hyper Terminal (Prędkość transmisji 57600b/s, 8 bitów danych, 1 bit stopu, brak kontroli przepływu i parzystości) 6

użytkownik - root, hasło - curia wchodzimy w tryb enable a następnie configure terminal Wiersz poleceń (firmware 1.0.12) możliwe komendy: a) tryb enable configure terminal Tryb konfiguracji terminala vty. disable Wyłączenie trybu uprzywilejowanego. end Zakończenie bieżącego trybu konfiguracji i powrót do poprzedniego. exit Wyjście z bieżącego trybu konfiguracji i powrót do poprzedniego. list Wyświetlenie listy dostępnych poleceń. ping Polecenie ping. quit Wyjście z bieżącego trybu konfiguracji i powrót do poprzedniego. reboot factory Przywrócenie ustawień fabrycznych. show Wyświetlenie informacji o bieżącej konfiguracji. start-shell Uruchomienie shell a Linux owego. 7

telnet Otwarcie połączenia telnet. traceroute Określenie trasy docelowej (trasowanie). Polecenie traceroute. write config Zapisanie bieżącej konfiguracji do pamięci flash. b) tryb configure terminal arp Konfiguracja tablicy ARP. backup-line Konfiguracja łącza zapasowego (Network Line Backup). config Zapisanie konfiguracji do pliku (backup) lub załadowanie konfiguracji z pliku (restore) poprzez serwer TFTP. ddns Konfiguracja dynamicznej domeny Dynamic DNS. dhcp Konfiguracja klienta DHCP (client) lub serwera DHCP (server). dns Konfiguracja adresu serwera DNS (Domain Name Service). end Zakończenie bieżącego trybu konfiguracji i powrót do poprzedniego. exit Wyjście z bieżącego trybu konfiguracji i powrót do poprzedniego. filter Konfiguracja filtrowania IP oraz MAC. hostname Nazwa urządzenia. interface Wybór interfejsu do konfiguracji. l2tp Konfiguracja połączenie VPN L2TP. list Wyświetlenie listy dostępnych poleceń. mac-clone Klonowanie adresu MAC jednego z interfejsów. napt Konfiguracja NAT, PAT, NAPT. no Negacja następnego polecenia anulowanie wprowadzonego polecenia. osimage Aktualizacja firmware (upgrade) lub zapis obrazu (download). passwd Zmiana hasła dostępu do urządzenia. ping Polecenie ping. port-control Rozdzielanie ruchu poprzez dwa łącza WAN. pppoe Konfiguracja protokołu PPP over Ethernet. pptp Konfiguracja połączeń VPN PPTP. qos Konfiguracja zarządznia pasmem (Quality of Service) reboot Zapisanie ustawień do pamięci flash oraz restart urządzenia. route Konfiguracja statycznej tablicy routingu. router Konfiguracja dynamicznego routingu RIP. service-port Konfiguracja portów RPC. settime Synchronizacja czasu z serwerem NTP. show Wyświetlenie informacji o bieżącej konfiguracji. snmp Konfiguracja SNMP. start-shell Uruchomienie shell a Linux owego. syslog Konfiguracja funkcji System Log. system Konfiguracja ustawień systemowych. timeout Konfiguracja czasu automatycznego wylogowania. timezone Konfiguracja strefy czasowej. tunnel Konfiguracja tuneli GRE. user Zarządzanie kontami. vpn Konfiguracja połączenia VPN IPSec. vrrp Konfiguracja protokołu VRRP. web konfiguracja portu zarządzania urządzeniem poprzez www. write config Zapisanie bieżącej konfiguracji do pamięci flash. Przywracanie ustawień fabrycznych: TYLKO w trybie enable poleceniem REBOOT FACTORY 8

5.1 Dynamiczne IP WAN: 1. Konfigurujemy port eth1 (LAN) np. ip address 10.0.0.1/24 - łączymy się za pomocą konsoli z routerem - użytkownik - root, hasło curia - wchodzimy w tryb enable a następnie configure terminal - wybieramy tryb konfiguracji interfejsu interface eth1 - ip address 10.0.0.1/24 - wychodzimy z trybu konfiguracji interfejsu poleceniem exit 2. Konfigurujemy port eth3 (WAN) adres uzyskiwany z DHCP - dhcp client enable 3. Włączamy NAPT - napt dynamic add 4. Uaktywniamy konfigurację routera ze strony www i zapisujemy ustawienia - web enable 80 - write config 5.2 Stałe IP WAN np. InternetDSL: 1. Konfigurujemy port eth1 (LAN) ip address 10.0.0.1/24 - łączymy się za pomocą konsoli z routerem - użytkownik - root, hasło curia - wchodzimy w tryb enable a następnie configure terminal - wybieramy tryb konfiguracji interfejsu interface eth1 - ip address 10.0.0.1/24 - wychodzimy z trybu konfiguracji interfejsu poleceniem exit 2. Konfigurujemy port eth3 (WAN) adres stały - wybieramy tryb konfiguracji interfejsu interface eth3 - ip address adres_ip_wan/maska np. ip address 80.80.80.2/30 (adres komputera w InternetDSL) - wychodzimy z trybu konfiguracji interfejsu poleceniem exit 3. Włączamy NAPT - napt dynamic add (lub napt static add dla statycznych wpisów do tablicy NAT) 4. Dopisujemy bramę domyślną - route 0.0.0.0/0 adres_bramy n p. route 0.0.0.0/0 80.80.80.1 (adres modemu w InternetDSL) 5. Ustawiamy adres serwera DNS - dns setup 217.98.63.164 lub dns setup 194.204.152.34 (np. DNS TP s.a.) 6. Uaktywniamy konfigurację routera ze strony www i zapisujemy ustawienia - web enable 80 - write config 9

5.3 Klient PPPoE Neostrada+/Net24 1. Konfigurujemy port eth1 (LAN) ip address 10.0.0.1/24 - łączymy się za pomocą konsoli z routerem - użytkownik - root, hasło curia - wchodzimy w tryb enable a następnie configure terminal - wybieramy tryb konfiguracji interfejsu interface eth1 - ip address 10.0.0.1/24 - wychodzimy z trybu konfiguracji interfejsu poleceniem exit 2. Włączamy NAPT - napt dynamic add 3. Ustawiamy autoryzację połączenia PPPoE: - pppoe add chap <CR> Do you want to configure for CHAP authentication ADD? [Y/n] y <CR> - należy wpisać parametry autoryzacji PPP Input CHAP authentication configuration - Client Name (username) : xyzsdf@neostrada.pl <CR> - Server Name (Just press ENTER to keep the default): <CR> - Password : qwerty <CR> 4. Sprawdzamy poprawność wpisu - show pppoe chap <CR> 5. Konfigurujemy interfejs, na którym ma być przeprowadzana autoryzacja PPP: - pppoe setup eth3 <CR> Do you want to confgure PPPoE for the interface eth3? [Y/n] y <CR> Input ADSL Configuration Username : xyzsdf@neostrada.pl <CR> Do you want to run a ADSL at interface eth3 now? [Y/n] y <CR> 5.4 Konfiguracja serwera DHCP 1. Skonfiguruj interfejs WAN (eth3) oraz NAPT jak w punktach 4.1 4.3. 2. Określamy adres IP interfejsu LAN (np. ip address 10.0.0.1/24 na interfejsie eth1). 3. Ustawiamy parametry serwera DHCP - za pomocą polecenia dhcp server setup uruchamiamy konfigurację serwera Do you want to configure DHCP Server? [Y/n] y <CR> - wybieramy interfejs serwera DHCP (w naszym przykładzie eth1) Input DHCP Server Configuration interface[eth1/eth2/eth3] = eth1 <CR> 10

- ustalamy adresy serwerów DNS (w naszym przykładzie serwery TP s.a.) maks. 4 DNS Server No.1 [MAX = 4] = 217.98.63.164 <CR> DNS Server No.2 [MAX = 4] = 194.204.159.1 <CR> DNS Server No.3 [MAX = 4] = 194.204.152.34 <CR> DNS Server No.4 [MAX = 4] = 194.204.151.151 <CR> - ustalamy nazwę domeny oraz czas dzierżawy Domain Name = asmax <CR> Default Lease Time = 84600 <CR> Max Lease Time = 8460 <CR> - ustalamy adresy IP bramy, podsieci serwera DHCP wraz z maską Default Gateway = 10.0.0.1 <CR> Subnet = 10.0.0.0 <CR> Subnet Mask = 255.255.255.0 <CR> - ustalamy początkowy i końcowy adres IP puli serwera DHCP IP Address Range (Start IP Address) = 10.0.0.2 <CR> IP Address Range (End IP Address) = 10.0.0.254 <CR> - na koniec możemy przypisać poszczególne adresy IP do adresów MAC, host o danym adresie MAC za każdym razem dostanie z serwera DHCP ten sam adres IP Static ip address assign by MAC address... MAC address No.1 [MAX = 253] = 00:50:8d:23:e4:23 <CR> adres MAC fixed address No.1 [MAX = 253] = 10.0.0.2 <CR> i przypisany do niego adres IP MAC address No.2 [MAX = 253] = 00:05:51:3e:aa:e4 <CR> fixed address No.2 [MAX = 253] = 10.0.0.3 <CR> j.w. j.w. MAC address No.3 [MAX = 253] = <CR> aby zakończyć wprowadzanie rezerwacji naciśnij ENTER Do you want to run a DHCP Server now? [Y/n] y uruchomienie serwera DHCP - jeżeli poprawnie skonfigurowaliśmy serwer DHCP powinniśmy otrzymać poniższy komunikat 11

4. Nie musimy wprowadzać wszystkich rezerwacji przy konfiguracji samego serwera DHCP. Odpowiednie rezerwacje możemy dopisać później. Służy do tego następujące polecenie: - dhcp server static add eth3 00:01:02:03:04:05 10.0.0.4 <CR> 5. Za pomocą poniższego polecenia możemy sprawdzić bieżącą konfigurację serwera DHCP: - show dhcp server DHCP Server running on the interface : eth1 start ip address : 10.0.0.2 end ip address : 10.0.0.254 subnet : 10.0.0.0 subnet mask: 255.255.255.0 default gateway : 10.0.0.1 DNS[0] : 217.98.63.164 DNS[1] : 194.204.159.1 DNS[2] : 194.204.152.34 DNS[3] : 194.204.151.151 Domain Name : asmax Lease Time [default, MAX] : 84600, 84600 hwaddr 00:50:8d:23:e4:23 -> ipaddr : 10.0.0.2 hwaddr 00:05:51:3e:aa:e4 -> ipaddr : 10.0.0.3 hwaddr 00:01:02:03:04:05 -> ipaddr : 10.0.0.4 DHCP Server [on the eth2] does not working!!! DHCP Server [on the eth3] does not working!!! 5.5 Filtrowanie ruchu na podstawie MAC adresów: 1. Tworzymy listę adresów MAC, które powinny mieć dostęp do sieci - filter add mac-list 2. Dodajemy filtr dla sieci LAN (input dostęp do routera) oraz WAN (forward dostęp do WAN) - filter add input mac - filter add forward mac 3. Usuwamy ostatni wpis w liście input i forward - filter del input ostatni_indeks - filter del forward ostatni_indeks 4. Dodajemy wpis uniemożliwiający cały ruch wewnątrz LAN (input) i na zewnątrz (forward) - filter add input ostatni_indeks wpisujemy adres źródłowy np. 10.0.0.0/24 - reszta bez zmian aby odrzucał ruch wybieramy DROP - filter add forward ostatni_indeks wpisujemy adres źródłowy np. 10.0.0.0/24 - reszta bez zmian aby odrzucał ruch wybieramy DROP 12

5.6 Ograniczanie ruchu - Quality of Services 1. Reguła rezerwująca wyznaczone pasmo dla użytkownika lub grupy użytkowników (na podstawie ich adresów IP). Użytkownik nie może rozszerzyć pasma ponad określone ani pożyczyć innym regułom jeżeli w pełni go nie wykorzystuje. - dodajemy regułę qos add <CR> - nadajemy jej dowolną nazwę np. zasada1 Input QoS Description (No space and Max 32-charactor) : zasada1 <CR> - wprowadzamy identyfikator klasy, najlepiej nadawać je kolejno przy wprowadzaniu reguł Input QoS Class ID (2~999) : 2 <CR> - określamy interfejs dla którego tworzymy regułę Device parameters of Rules Device Name (eth1~eth3) : eth1 <CR> - określamy jego przepustowość Bandwidth for Device (Mbit, Kbit, bps) : 100Mbit <CR> - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Tuning Parameter [ Weight = Bandwidth / 10 ] ( Just press ENTER to keep the default ): <CR> - wprowadzamy nasze pasmo Class parameters of Rules Bandwidth for Class (Mbit, Kbit, bps) : 64Kbit <CR> - wprowadzamy wagę klasy stosując zasadę 1/10, czyli w naszym przypadku 64Kbit/10, czyli około 7Kbit Weight for Class (Mbit, Kbit, bps) : 7Kbit - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Priority for Class (1~8, Just press ENTER to keep the default(5)): <CR> - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Input inherited Parent Class ID (Just press ENTER to keep the default (eg. 1280)): <CR> - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Queuing method for Class ( none tbf sfq, Just press ENTER to keep the default (tbf)): <CR> - nie zezwalamy tej regule zapożyczać pasma z innych reguł Do not you permit borrow bandwidth from Parent Class? [Y/n][Y] y <CR> - chcemy izolować pasmo tej reguły jeżeli nie jest ono w całości wykorzystane Do you isolate bandwidth that unuse of Class? [Y/n][N] y <CR> 13

- poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER TBF qdisc parameters of Rules Input token bucket's depth. (Just press ENTER to keep the default(1280byte)): <CR> - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Input Backlog's maximum length. (Just press ENTER to keep the default(15kb)): <CR> - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Input Short-term burst traffic's maximum peak rate. (Just press ENTER to keep the default): <CR> - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Input MTU size. (Just press ENTER to keep the default(1500byte)): <CR> - wprowadzamy adres IP dla, którego tworzymy ta regułę, czyli w naszym przypadku 10.0.0.2 Filtering parameters of Rules Input Filtering Rule (If finish entry, input "end") (Form : [[saddr[/prefix]][:port[/mask]],][daddr[/prefix]][:port[/mask]]: 10.0.0.2 <CR> - kończymy wprowadzanie adresów wpisując end Input Filtering Rule (If finish entry, input "end") (Form : [[saddr[/prefix]][:port[/mask]],][daddr[/prefix]][:port[/mask]]: end <CR> - nie określamy ram czasowych, więc naciskamy ENTER Rule's action by Timer Input the running time range of QoS : <CR> 2. Po wprowadzeniu wszystkich reguł, dla każdego użytkownika (grupy) uruchamiamy QoS - wpisz polecenie qos start <CR> 3. Reguła umożliwiająca zapożyczanie pasma oraz pożyczanie własnego nie wykorzystanego. UWAGA należy zmienić metodę kolejkowania na sfq. - dodajemy regułę qos add <CR> - nadajemy jej dowolną nazwę np. zasada1 Input QoS Description (No space and Max 32-charactor) : zasada2 <CR> - wprowadzamy identyfikator klasy, najlepiej nadawać je kolejno przy wprowadzaniu reguł Input QoS Class ID (2~999) : 3 <CR> - określamy interfejs dla którego tworzymy regułę Device parameters of Rules Device Name (eth1~eth3) : eth1 <CR> - określamy jego przepustowość Bandwidth for Device (Mbit, Kbit, bps) : 100Mbit <CR> 14

- poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Tuning Parameter [ Weight = Bandwidth / 10 ] ( Just press ENTER to keep the default ): <CR> - wprowadzamy nasze pasmo Class parameters of Rules Bandwidth for Class (Mbit, Kbit, bps) : 64Kbit <CR> - wprowadzamy wagę klasy stosując zasadę 1/10, czyli w naszym przypadku 64Kbit/10, czyli około 7Kbit Weight for Class (Mbit, Kbit, bps) : 7Kbit - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Priority for Class (1~8, Just press ENTER to keep the default(5)): <CR> - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Input inherited Parent Class ID (Just press ENTER to keep the default (eg. 1280)): <CR> - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Queuing method for Class ( none tbf sfq, Just press ENTER to keep the default (tbf)): <CR> - nie zezwalamy tej regule zapożyczać pasma z innych reguł Do not you permit borrow bandwidth from Parent Class? [Y/n][Y] n <CR> - chcemy izolować pasmo tej reguły jeżeli nie jest ono w całości wykorzystane Do you isolate bandwidth that unuse of Class? [Y/n][N] n <CR> - zmieniamy kolejkowanie na sfq Queuing method for Class (none tbf sfq, Just press ENTER to keep the default (tbf)): sfq <CR> - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Input Backlog's maximum length. (Just press ENTER to keep the default(15kb)): <CR> - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Input Short-term burst traffic's maximum peak rate. (Just press ENTER to keep the default): <CR> - poniższy parametr zostawiamy domyślny, czyli naciskamy ENTER Input MTU size. (Just press ENTER to keep the default(1500byte)): <CR> - wprowadzamy adres IP dla, którego tworzymy ta regułę, czyli w naszym przypadku 10.0.0.2 Filtering parameters of Rules Input Filtering Rule (If finish entry, input "end") (Form : [[saddr[/prefix]][:port[/mask]],][daddr[/prefix]][:port[/mask]]: 10.0.0.3 <CR> - kończymy wprowadzanie adresów wpisując end Input Filtering Rule (If finish entry, input "end") (Form : [[saddr[/prefix]][:port[/mask]],][daddr[/prefix]][:port[/mask]]: end <CR> 15

- nie określamy ram czasowych, więc naciskamy ENTER Rule's action by Timer Input the running time range of QoS : <CR> 4. Po wprowadzeniu wszystkich reguł, dla każdego użytkownika (grupy) uruchamiamy QoS - wpisz polecenie qos start <CR> 5.7 Virtual Server przekierowanie portów Przykład: Przekierowanie portu TCP numer 3389 na adres 10.0.0.100 1. Z poziomu strony www link PAT w polu NAPT ADD/DEL ADD Index Number NULL Address Rule Source NULL Destination adres_wan_routera Protocol Rule Protocol NULL (wszystkie) TCP Port Rule Source NULL Destination numer_portu 3389 Device Rule Input Device NULL New Destination IP Address adres_ip_serwera 10.0.0.100 Port NULL 2. Z poziomu konfiguracji z terminala - funkcja - napt pat add Do you want NAPT Rule's addition? Y <CR> Do you want ADDRESS connection Rule's addition? Y <CR> Input SOURCE IP or network (eg, 10.0.0.1) : <CR> Input DESTINATION IP or network (eg, 10.0.0.2):adres_WAN_routera CR> Do you want INVERSE of value about input? N <CR> Do you want PROTOCOL connection Rule's addition? Y <CR> Input PROTOCOL name (tcp or udp) : tcp <CR> Do you want INVERSE of value about input? N <CR> Do you want PORT connection Rule's addition? Y <CR> Input SOURCE PORT's value (0~65535) or range (eg, 23 or 21:23):<CR> Input DESTINATION PORT's value (0~65535) or range (eg, 23 or 21:23) : 3389 <CR> Do you want INVERSE of value about input? N <CR> Do you want DEVICE connection Rule's addition? N <CR> 16

Establish IP and PORT that is changed by NAPT Input IP which want to change (eg, 20.20.20.1 or 20.20.20.1-20.20.20.10) : 10.0.0.100 <CR> Input PORT which want to change (eg, 23 or telnet or 21-23) : <CR> 3. Z poziomu shell'a: - należy uważać gdyż z poziomu shell'a wpisy do iptables są dodawane zawsze na koniec, natomiast w poprzednich konfiguracjach jest możliwość ustalenia kolejności na liście (Index Number). iptables -t nat -A PREROUTING -p tcp -d adres_wan_routera --dport 3389 -j DNAT --todestination 10.0.0.100 5.8 VPN - IPSec 1. Przykładowa konfiguracja VPNa pomiędzy BR-804V a Er-903V BR-804V Er-903V 172.16.1.5/23 --------------------- 172.16.1.1/23 10.2.0.1/24 192.168.12.43/23 10.2.0.2/24 192.168.12.44/23 VPN PC1 <=============> PC2 1.1 Konfiguracja Er-903V a) konfiguracja ogólna - eth1: ip address 192.168.12.43/23 - eth2: ip address 172.16.1.1/24 - napt dynamic add konfigurujemy NAT (musimy wyłączyć z NAT zdalną podsieć VPN) napt dynamic add <CR> Do you want default dynamic NAPT rule's addition? [Y/n][N] y <CR> Just press ENTER to keep the default. Do you want NAPT Rule's addition? [Y/n][Y] y <CR> Do you want ADDRESS connection Rule's addition? [Y/n][N] y <CR> Input SOURCE IP or network (eg, 10.0.0.1) : <CR> Input DESTINATION IP or network (eg, 10.0.0.2) : 10.2.0.0/24 <CR> adres zdalnej sieci Do you want INVERSE of value about input? [Y/n][N] y <CR> 17

Do you want PROTOCOL connection Rule's addition? [Y/n][N] <CR> Do you want DEVICE connection Rule's addition? [Y/n][N] y <CR> Input OUT-device to do napt (eg, eth1, ppp0) : eth2 <CR> Do you want INVERSE of value about input? [Y/n][N] <CR> - route 0.0.0.0/0 192.168.12.1 - (shell: iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT) default - (shell: iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT) default b) konfigurujemy połączenie VPN - vpn setup conf config setup interfaces="ipsec0=eth2" klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=0 disablearrivalcheck=no keyexchange=ike ikelifetime=28800 keylife=3600 pfs=yes compress=no authby=secret auto=add conn sample type=tunnel left=172.16.1.1 leftsubnet=192.168.12.0/23 right=172.16.1.5 rightsubnet=10.2.0.0/24 auto=start - vpn setup secret - vpn enable 172.16.1.1 172.16.1.5 : PSK "secure" 1.2 Konfiguracja Br-804V a) konfiguracja ogólna - WAN : adres IP - 172.16.1.5 maska - 255.255.255.0 brama - 172.16.1.1 18

- LAN : adres IP - 10.2.0.1 maska - 255.255.255.0 b) konfiguracja VPN Connection Name - sample UID (Unique Identifier String) - Disable Enabled Keep Alive - zaznaczone Enabled NetBIOS Broadcast - dowolnie Remote IP Network - 192.168.12.0 Remote IP Netmask - 255.255.254.0 Remote Gateway IP - 172.16.1.1 Network Interface - AUTOWAN Secure Association - IKE Perfect Forward Secure - Enabled Encryption Protocol - 3DES PreShared Key - secure Key Life 3600 Seconds IKE Life Time 28800 Seconds Uwaga: Zdalne podsieci LAN przy połączeniachvpn IPSec muszą być z różnych podsieci np. 192.168.0.0/24 oraz 192.168.2.0/24. 5.8 Przypisanie adresu IP do adresu MAC Za pomocą polecenia funkcji iptables z poziomu shell a można przypisać adresy IP do konkretnych adresów MAC niezależnie od tego czy host posiada dynamiczny adres IP (z serwera DHCP) czy statyczny adres IP (na stałe przypisany). Załóżmy, że mamy sieć 10.0.0.0/24 i pracujący w tej sieci komputer o adresie 10.0.0.14/24 z MAC aa:bb:cc:dd:ee:ff. Uruchamiamy shell'a komendą start-shell i wpisujemy: - iptables -A FORWARD -s 10.0.0.14 -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT - iptables -A FORWARD -d 10.0.0.14 -j ACCEPT a na koniec po wprowadzeniu powyższych wpisów dla wszystkich użytkowników dodajemy: - iptables -A FORWARD - j DROP W ten oto sposób dostęp do sieci WAN (forward) będzie posiadał tylko użytkownik o adresie IP 10.0.0.14 z kartą sieciową o adresie MAC aa:bb:cc:dd:ee:ff. Jeżeli posiadamy większą liczbę użytkowników i chcemy im przypisać MAC adresy do ich adresów IP prościej jest stworzyć skrypt w shell u. Skrypt musi się zaczynać od wiersza #!/bin/sh. Następnie dodajemy kolejno wiersze iptables. Na koniec trzeba zmienić atrybuty pliku tak aby był wykonywalny, czyli np.na 777 i uruchomić skrypt. 19

Przykład: *******plik********* #!/bin/sh iptables -A FORWARD -s 10.0.0.14 -m mac --mac-source 00:b7:5c:0d:e1:00 -j ACCEPT iptables -A FORWARD -s 10.0.0.15 -m mac --mac-source 00:b7:5c:0d:e2:00 -j ACCEPT iptables -A FORWARD -s 10.0.0.16 -m mac --mac-source 00:b7:5c:0d:e3:00 -j ACCEPT iptables -A FORWARD -s 10.0.0.17 -m mac --mac-source 00:b7:5c:0d:e4:00 -j ACCEPT iptables -A FORWARD -d 10.0.0.14 -j ACCEPT iptables -A FORWARD -d 10.0.0.15 -j ACCEPT iptables -A FORWARD -d 10.0.0.16 -j ACCEPT iptables -A FORWARD -d 10.0.0.17 -j ACCEPT iptables -A FORWARD - j DROP ******************* Następnie za pomocą polecenia chmod należy zmienić atrybuty pliku: chmod a+rwx nazwa_pliku 5.9 Rozkładanie obciążenia na dwa łącza WAN a modem-backup Jeżeli uruchomimy funkcję backup-line to nie możemy używać port-control (i odwrotnie). Za pomocą opcji port-control możemy rozdzielić ruch wychodzący z sieci LAN na dwa interfejsy WAN, tak że pierwszym jest wysyłany cały ruch za wyjątkiem www, ftp, telnet, port zdefiniowany przez użytkownika, które są wysyłane drugim. Zdefiniowanie tylko jednego portu jest dużym, ograniczeniem, które można obejść z poziomu shell a (patrz punkt dotyczący Linux a). Za pomocą opcji backup-line możemy stworzyć łącze rezerwowe na wypadek awarii łącza głównego. Jeżeli zostanie przerwane łącze główne router automatycznie przerzuci ruch na łącze rezerwowe. 20

6. Filtrowanie w Er-903V Polecenie filter dostępne jest w trybie konfiguracji terminala. Aby można było pracować w powyższym trybie należy: - zalogować się do urządzenia (domyślnie użytkownik root, hasło curia) - wejść w tryb uprzywilejowany enable - wejść w tryb konfiguracji terminala configure terminal filter add Addtion filtering Rule dodawanie reguły filtrującej del Delete filtering Rule usuwanie reguły filtrującej flush Delete All Rule usuwanie wszystkich reguł filtrujących 6.1 Dodawanie reguły filtrującej filter add forward Forward Filter Name dodawanie reguły przesyłającej input Input Filter Name dodawanie reguły wejściowej output Output Filter Name dodawanie reguły wyjściowej mac-list Access Mac-Address List dodawanie adresu MAC do MAC listy Reguła przesyłająca (forward) umożliwia dostęp do interfejsu routera, w zależności od trybu pracy reguły przesyła lub blokuje ruch w procesie routowania, czyli w momencie przesyłania ruchu z interfejsu wejściowego do wyjściowego. Reguła wejściowa (input) w zależności od trybu pracy reguły przepuszcza lub blokuje ruch na interfejsie wejściowym. Reguła wyjściowa (output) umożliwia dostęp do interfejsu wejściowego, w zależności od trybu pracy reguły ruch jest blokowany lub przepuszczany na interfejsie wyjściowym już po procesie trasowania (po określeniu, gdzie należy skierować ruch z takim adresem docelowym). 6.1.1 Reguła wejściowa input filter add input <cr> dodawanie filtru o kolejnym numerze INSERT_NUM Rule Index Number dodawanie filtru o określonym numerze mac Access Mac Filtering dodawanie filtru dla zdefiniowanej MAC listy 21

składnia: filter add input lub filter add input 1 - tworzenie nowej reguły Do you want Filtering Rule's addition? [Y/n][Y] <CR> - konfiguracja adresów Do you want ADDRESS connection Rule's addition? [Y/n][N] y <CR> Input SOURCE IP or network(eg, 10.0.0.0/24): adres/maska <CR> adres źródłowy Do you want INVERSE of value about input?[y/n][n] <CR> negacja adresu źródłowego Input DESTINATION IP or network(eg, 10.0.0.0/24) : <CR> adres docelowy Do you want INVERSE of value about input? [Y/n][N] <CR> negacja adresu docelowego - konfiguracja protokołów Do you want PROTOCOL connection Rule's addition? [Y/n][N] y <CR> konfiguracja protokołów Input PROTOCOL name (tcp, udp, icmp, all,...) : protokół <CR> wybór protokołu Do you want INVERSE of value about input? [Y/n][N] <CR> negacja protokołu Do you want PORT connection Rule's addition? [Y/n][N] y <CR> konfiguracja portów Input SOURCE PORT's value (0 ~ 65535) or range (eg, 23 or 21:23): <CR> numery portów źródłowych Do you want INVERSE of value about input? [Y/n][N] <CR> negacja portu Input DESTINATION PORT's value (0 ~ 65535) or range (eg, 23 or 21:23) : <CR> numery portów docelowych - konfiguracja interfejsów Do you want DEVICE connection Rule's addition? [Y/n][N] y <CR> konfiguracja interfejsu Input IN-device(eg, eth1, ppp0) : eth1 <CR> wejściowy interfejs Do you want INVERSE of value about input? [Y/n][N] <CR> negacja interfejsu Do you want ACTIVE connection Rule's addition? [Y/n][Y] y <CR> aktywacja filtru Input ACTIVE Rule ([D]rop or [A]ccept) : D <CR> wybór trybu pracy reguły, czy ruch ma być blokowany czy przepuszczany Przykład: Zablokować dla adresu 10.0.0.26 (255.255.255.0) dostęp do ftp. filter add input Do you want Filtering Rule's addition? [Y/n][Y] <CR> Do you want ADDRESS connection Rule's addition? [Y/n][N] y <CR> Input SOURCE IP or network(eg, 10.0.0.0/24) : 10.0.0.26/24 <CR> Do you want INVERSE of value about input? [Y/n][N] <CR> Input DESTINATION IP or network(eg, 10.0.0.0/24) : <CR> 22

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres