1.    Задайте имя устройства:

esr:esr-1000# configure

esr:esr-1000(config)# hostname hub

2.    Задайте адрес внешнего интерфейса gi1/0/1 (см. схему взаимодействия):

esr:esr-1000(config)# interface gigabitethernet 1/0/1

esr:esr-1000(config-if-gi)# no shutdown

esr:esr-1000(config-if-gi)# ip address 172.16.15.2/24

esr:esr-1000(config-if-gi)# exit

3.    Создайте мост (bridge), назначьте IP-адрес, VLAN и добавьте в него все интерфейсы с gi1/0/5 по gi1/0/24:

esr:esr-1000(config)# bridge 1

esr:esr-1000(config-bridge)# ip address 192.168.20.1/24

esr:esr-1000(config-bridge)# vlan 1

esr:esr-1000(config-bridge)# enable

esr:esr-1000(config-bridge)# exit

esr:esr-1000(config)# interface gigabitethernet 1/0/5-24

esr:esr-1000(config-if-gi)# no shutdown

esr:esr-1000(config-if-gi)# switchport

esr:esr-1000(config-if-gi)# exit

Все интерфейсы с gi1/0/5 по gi1/0/24 могут быть использованы для подключения защищаемых устройств, то есть на данных интерфейсах выполняются функции коммутатора.

4.    Добавьте маршрут по умолчанию через маршрутизатор Hub_ISP и примените настройки:

esr:esr-1000(config)# ip route 0.0.0.0/0 172.16.15.1

esr:esr-1000(config)# end

esr:esr-1000# commit

2017-02-15T10:41:45+00:00 %CLI-I-CRIT: user admin from console  input: commit

Setting hostname to 'Hub'...done.

...

2017-02-15T10:41:52+00:00 %LINK-I-UP: bridge 1 changed state to up

2017-02-15T10:41:52+00:00 %LINK-W-DOWN: bridge 1 changed state to down

2017-02-15T10:41:54+00:00 %LINK-I-UP: gigabitethernet 1/0/1 changed state to up, speed 1000M, full-duplex

Configuration has been successfully committed

esr:Hub# confirm

2017-02-15T10:41:55+00:00 %CLI-I-CRIT: user admin from console  input: confirm

Configuration has been successfully confirmed

esr:Hub#

5.    Убедитесь, что базовые сетевые настройки выполнены верно. Для этого подключите внешний интерфейс gi1/0/1 криптомаршрутизатора Hub к маршрутизатору Hub_ISP и персональный компьютер host_behind_hub к любому интерфейсу криптомаршрутизатора Hub из диапазона gi1/0/5 – 24.

После чего выполните последовательно следующие команды ping c устройства Hub (если выполнить команду ping с Hub_ISP или host_behind_hub с адресом назначения Hub, то Hub будет недоступен из-за предустановленных настроек в Eltex FW):

5.1.     Выполните команду ping с Hub на host_behind_hub:

esr:hub# ping 192.168.20.100 packets 4

PING 192.168.20.100 (192.168.20.100) 56(84) bytes of data.

!!!!

--- 192.168.20.100 ping statistics ---

4 packets transmitted, 4 received, 0% packet loss, time 2998ms

rtt min/avg/max/mdev = 0.271/0.278/0.287/0.017 ms

5.2.     Выполните команду ping с Hub на Hub_ISP:

esr:hub# ping 172.16.15.1 packets 4

PING 172.16.15.1 (172.16.15.1) 56(84) bytes of data.

!!!!

--- 172.16.15.1 ping statistics ---

4 packets transmitted, 4 received, 0% packet loss, time 2998ms

rtt min/avg/max/mdev = 0.287/0.364/0.452/0.060 ms

5.3.     Выполните команду ping с Hub на CRL_distribution_point:

esr:hub# ping 172.17.10.100 packets 4

PING 172.17.10.100 (172.17.10.100) 56(84) bytes of data.

!!!!

--- 172.17.10.100 ping statistics ---

4 packets transmitted, 4 received, 0% packet loss, time 3002ms

rtt min/avg/max/mdev = 0.841/0.949/1.006/0.067 ms

Видно, что устройства в защищаемой и недоверенной сетях доступны по ICMP. Если устройства недоступны – проверьте настройки и сетевые кабели, также в CLI разграничения доступа выполните команду run csconf_mgr activate, в том случае, если она не была выполнена ранее.