1. Задайте имя устройства:
esr:esr-1000# configure
esr:esr-1000(config)# hostname hub
2. Задайте IP-адрес для первого внешнего интерфейса gi1/0/1, подключенного к маршрутизатору Hub_ISP01, выполняющего роль основного интернет провайдера (см. схему взаимодействия):
esr:esr-1000(config)# interface gigabitethernet 1/0/1
esr:esr-1000(config-if-gi)# no shutdown
esr:esr-1000(config-if-gi)# ip address 172.16.15.2/24
esr:esr-1000(config-if-gi)# exit
3. Задайте IP-адрес для второго внешнего интерфейса gi1/0/2, подключенного к маршрутизатору Hub_ISP02, выполняющего роль резервного интернет провайдера (см. схему взаимодействия):
esr:esr-1000(config)# interface gigabitethernet 1/0/2
esr:esr-1000(config-if-gi)# no shutdown
esr:esr-1000(config-if-gi)# ip address 172.16.16.2/24
esr:esr-1000(config-if-gi)# exit
4. Создайте мост (bridge), назначьте IP-адрес, VLAN и добавьте в него все интерфейсы с gi1/0/5 по gi1/0/24, после чего примените настройки:
В данном сценарии в качестве устройства Hub выступает ESR-1000-ST, у которого большое количество сетевых интерфейсов, если у Вас используются модель ESR-100-ST или ESR-200-ST, то скорректируйте диапазон сетевых интерфейсов самостоятельно.
esr:esr-1000(config)# bridge 1
esr:esr-1000(config-bridge)# ip address 192.168.20.1/24
esr:esr-1000(config-bridge)# vlan 1
esr:esr-1000(config-bridge)# enable
esr:esr-1000(config-bridge)# exit
esr:esr-1000(config)# interface gigabitethernet 1/0/5-24
esr:esr-1000(config-if-gi)# no shutdown
esr:esr-1000(config-if-gi)# switchport
esr:esr-1000(config-if-gi)# end
esr:esr-1000# commit
esr:hub# confirm
Все интерфейсы с gi1/0/5 по gi1/0/24 могут быть использованы для подключения защищаемых устройств, то есть на данных интерфейсах выполняются функции коммутатора.
5. Убедитесь, что базовые сетевые настройки выполнены верно. Для этого подключите первый внешний интерфейс gi1/0/1 криптомаршрутизатора Hub к маршрутизатору Hub_ISP01, второй интерфейс gi1/0/2 к маршрутизатору Hub_ISP02 и персональный компьютер host_behind_hub к любому интерфейсу криптомаршрутизатора Hub из диапазона gi1/0/5 – 24.
После чего выполните последовательно следующие команды ping c устройства Hub (если выполнить команду ping с Hub_ISP01/Hub_ISP02 или host_behind_hub с адресом назначения Hub, то Hub будет недоступен из-за предустановленных настроек в Eltex FW):
В производственной эксплуатации подключать криптомаршрутизтор к недоверенным сетям до настройки политики безопасности (СКЗИ и МЭ) запрещено.
5.1. Выполните команду ping с Hub на host_behind_hub:
esr:hub# ping 192.168.20.100 packets 4
PING 192.168.20.100 (192.168.20.100) 56(84) bytes of data.
!!!!
--- 192.168.20.100 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 0.292/0.303/0.315/0.019 ms
5.2. Выполните команду ping с Hub на Hub_ISP01:
esr:hub# ping 172.16.15.1 packets 4
PING 172.16.15.1 (172.16.15.1) 56(84) bytes of data.
!!!!
--- 172.16.15.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 0.294/0.416/0.625/0.124 ms
5.3. Выполните команду ping с Hub на Hub_ISP02:
esr:hub# ping 172.16.16.1 packets 4
PING 172.16.16.1 (172.16.16.1) 56(84) bytes of data.
!!!!
--- 172.16.16.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 0.347/0.369/0.378/0.018 ms
Видно, что устройства в защищаемой и недоверенной сетях доступны по ICMP. Если устройства недоступны – проверьте настройки и сетевые кабели, также в CLI разграничения доступа выполните команду run csconf_mgr activate, в том случае, если она не была выполнена ранее.