Subnets.ru blog

Добро пожаловать в блог! Надеемся, что Вы еще вернетесь.

Продолжение статьи о настройке Foundry BigIron 4000.

Из предыдущей статьи мы знаем как создать виланы. Теперь будем настраивать маршрутизацию.
Общий принцип заключен в следующем порядке действий:

BigIron Router(config)#vlan <номер_вилана> by port //Создание вилана
BigIron Router(config-vlan-<номер_вилана>)#tagged ethernet <слот/порт> //Добавляем тегированный порт.
BigIron Router(config-vlan-<номер_вилана>)#router-interface ve <номер> //Указываем номер виртуального интерфейса для роутинга
BigIron Router(config-vlan-<номер_вилана>)#interface ve <номер> //Переходим к настройке того самого маршрутизирующего интефейса
BigIron Router(config-vif-<номер>)#ip address <ip-адрес/CIDR> //ip-адрес вилана на маршрутизаторе и ширину подсети. Адрес вилана будет gw для устройств, находящихся в этом вилане.
BigIron Router(config-vif-<номер>)#ip helper-address 1 <ip-адрес DHCP сервера> //Указываем адрес DHCP-сервера, цифра 1 обозначает порядковый номер DHCP-сервера. Их может быть несколько.
//Далее создаем ACL
BigIron Router(config-vif-<номер>)#access-list <100-199> perm udp any any eq bootps //создаем ACL с номером от 100 до 199 и разрешаем проброс DHCP-пакетов от любого адреса к любому.
BigIron Router(config-vif-<номер>)#access-list <100-199> perm ip <Сеть_в_исходном_вилане/CIDR> <Сеть_в_вилане_назначения/CIDR> //разрешаем хождение трафика из одной подсети в другую
BigIron Router(config-vif-<номер>)#access-list <100-199> perm ip <Сеть_в_исходном_вилане/CIDR> host <ip-адрес_вилана> //Разрешаем хождение трафика из этокого вилана в любой другой через host <ip-адрес_вилана>
BigIron Router(config-vif-<номер>)#access-list <100-199> deny ip any any //Запрещаем хождение трафика из любой подсети в любую, кроме тех, которые были ранее разрешены.
BigIron Router(config-vif-<номер>)#ip access-group <100-199> in //Прикручиваем ACL к интерфейсу, приэтом весь входящий трафик будет подчиняться этим правилам.

Вот пример настройки 1 и 167 вилана:

BigIron Router(config)#vlan 1
BigIron Router(config-vlan-1)#tagged ethe 4/5 ethe 4/14
BigIron Router(config-vlan-1)#router-interface ve 1
BigIron Router(config-vlan-1)#interface ve 1
BigIron Router(config-vif-1)#interface ve 1
BigIron Router(config-vif-1)#ip address 10.10.0.1 255.255.0.0
BigIron Router(config-vif-1)#ip helper-address 1 10.10.254.254

BigIron Router(config)#vlan 167 by port
BigIron Router(config-vlan-167)#tagged ethe 4/5 ethe 4/14
BigIron Router(config-vlan-167)#router-interface ve 167
BigIron Router(config-vlan-167)#interface ve 167
BigIron Router(config-vif-167)#interface ve 167
BigIron Router(config-vif-167)#ip address 10.2.70.1 255.255.255.0
BigIron Router(config-vif-167)#ip helper-address 1 10.10.254.254
BigIron Router(config-vif-167)#access-list 167 perm udp any any eq bootps
BigIron Router(config-vif-167)#access-list 167 perm ip 10.2.70.0 0.0.0.255 10.10.0.0 0.0.255.255
BigIron Router(config-vif-167)#access-list 167 deny ip any any
BigIron Router(config-vif-167)#access-list 167 perm ip 10.2.70.0 0.0.0.255 host 10.2.70.1
BigIron Router(config-vif-167)#ip access-group 167 in

Важно:
1. Если надо добавить несколько портов, то синтаксис будет выглядеть так
tagged ethernet <слот1/порт1> to <слот2/порт5> //Для добавления ряда портов с порт1 по порт5 находящемся в слоте1
tagged ethernet <слот1/порт1> ethernet <слотN/портN> //Для добавления выбранных портов, т.е добавится порт1 из слота1 и портN из слотаN.

2. В маршрутизирующих коммутаторах Foundry BigIron 4000 виланом по умолчанию считается vlan 1, если требуется сменить этот вилан, то следует использовать команду default-vlan-id <номер вилана по умолчанию>.

3. В маршрутизирующих коммутаторах Foundry BigIron 4000 существует ограничение по количеству виланов. У меня по умолчанию было 8 виланов из 256. Проверить это можно выполнив show default values. Изменить максимальное количество виланов можно следующим набором команд:
BigIron Router(config)#system-max vlan 256
BigIron Router(config)#write memory
BigIron Router(config)#exit
BigIron Router#reload

Следует отметить, что команды можно сокращать до нескольких знаков. К примеру команду show можно использовать как sh. А команду ip helper-address 1 10.10.254.254 можно использовать как ip help 1 10.10.254.254.

Передомной встала задача — разбить одно большое устройство на 3 VLAN’а, задать одному влану IP адрес и распределить
права доступа.
Для начала потребуется прямой консольный кабель. Если такого нет, то изготовить его не составит труда.

Вот его распайка:

1+6	<->	1+6
2	<->	2
3	<->	3
4	<->	4
5	<->	5
7	<->	7
8	<-> 	8
9	<->	9

Настраивать можно через Hyper Terminal, либо через CRT 5.2.

Требуются следующие параметры доступа:

Порт: Выбираете сами.
Скорость: 9600 бит/с
Биты данных: 8
Четность: Нет
Стоповые биты: 1
Управление потоком: Нет

CLI похож на CLI от оборудования Cisco Systems.

Теперь приступим к настройке:

Входим в режим конфигурирования:
BigIron Router>enable
BigIron Router#configure trminal

задаем пароль суперпользователю, где <str> — строка:
BigIron Router(config)#enable super-user-password <str>

задаем пароль для конфигурирования портов, где <str> — строка:
BigIron Router(config)#enable port-config-password <str>

задаем пароль только для чтения, где <str> — строка:
BigIron Router(config)#enable read-only-password <str>

сохраняем произведенные изменения:
BigIron Router(config)#write memory

Просмотр сохраненной конфигурации:
BigIron Router(config)#write terminal

Теперь создаем VLAN.

NUMBER это номер VLAN (система поумолчанию использует VLAN 1):
BigIron Router(config)#vlan <number>

Добавляем нетегированные порты по принципу номер_слота/порт:
BigIron Router(config-vlan-<number>)#untagged ethernet <SLOT/PoRT>
или
<SLOT/PORT to SLOT/PORT>

BigIron Router(config-vlan-<number>)#router-interface ve <VLAN-number>

указываем, что будем настраивать виртуальный интерфейс:
BigIron Router(config-vlan-<number>)#interface ve <VLAN-number>

Задаем ip адрес и маску для VLAN’а:
BigIron Router(config-vif-<number>)#ip address <IP/CIDR>

Не обязательная строка, но можно указать имя VLAN’а:
BigIron Router(config-vif-<number>)#port-name <str>

Сохраняем настройки:
BigIron Router(config-vif-<number>)#write memory

смотрим настройки:
BigIron Router(config-vif-<number>)#write terminal

выходим и конфигурирования vlan`а:
BigIron Router(config-vif-<number>)#exit

создаем пользователя с именем <str>, определенными привелегиями и паролем (можно создавать и без паролей):
BigIron Router(config)#username <str> privilege <0 READ-WRITE, 4 PORT-CONFIG, 5 READ-ONLY> password <str>

разрешаем запуск вэб-морды на устройстве:
BigIron Router(config)#aaa authentication web-server default local

настраиваем безопасность на доступ к вэб морде, указываю допускаемые/недопускаемые хосты:
BigIron Router(config)#access-list <NumList> <permit/deny> host <IP>
или подсеть:
BigIron Router(config)#access-list <NumList> <permit or deny> <NetIP/CIDR>

BigIron Router(config)#<TypeProtocol> access-group <NumList>

BigIron Router(config)#access-list <NumList> permit host <IP>
BigIron Router(config)#snmp-server community <str> <ro or rw> <NumList>

Ниже я привел свой текст настройки:

BigIron Router>enable
BigIron Router#configure trminal
BigIron Router(config)#enable super-user-password super-ROOT
BigIron Router(config)#enable port-config-password portCFGpas$
BigIron Router(config)#enable read-only-password ropa$s
BigIron Router(config)#write memory
BigIron Router(config)#write terminal

BigIron Router(config)#vlan 2
BigIron Router(config-vlan-2)#untagged ethernet 1/1 to 1/8
BigIron Router(config-vlan-2)#untagged ethernet 2/1 to 2/8
BigIron Router(config-vlan-2)#untagged ethernet 3/3 to 3/16
BigIron Router(config-vlan-2)#router-interface ve 2
BigIron Router(config-vlan-2)#interface ve 2
BigIron Router(config-vif-2)#ip address 10.10.0.1/16
BigIron Router(config-vif-2)#port-name Users
BigIron Router(config-vif-2)#write memory
BigIron Router(config-vif-2)#write terminal

BigIron Router(config)#vlan 3
BigIron Router(config-vlan-3)#untagged ethernet 3/17 to 3/24
BigIron Router(config-vlan-3)#router-interface ve 3
BigIron Router(config-vlan-3)#interface ve 3
BigIron Router(config-vif-3)#ip address 192.168.1.1/24
BigIron Router(config-vif-3)#port-name Users
BigIron Router(config-vif-3)#write memory
BigIron Router(config-vif-3)#write terminal

BigIron Router(config-vif-3)#exit

BigIron Router(config)#username root privilege 0 password superuserpass
BigIron Router(config)#aaa authentication web-server default local
BigIron Router(config)#access-list 1 permit host 10.10.0.2
BigIron Router(config)#access-list 1 permit host 10.10.10.99
BigIron(config)# web access-group 1
BigIron(config)# write memory

BigIron(config)# access-list 25 permit host 10.10.0.2
BigIron(config)# access-list 30 permit host 10.10.0.2
BigIron(config)# snmp-server community public ro 25
BigIron(config)# snmp-server community private rw 30
BigIron(config)# write memory

BigIron(config)# access-list 10 permit host 10.10.10.99
BigIron(config)# access-list 10 permit host 10.10.0.2
BigIron(config)# access-list 10 permit host 10.10.10.2
BigIron(config)# telnet access-group 10
BigIron(config)# write memory

Следует помнить, что при распределении доступа следует указывать только 1 номер листа доступа для одного протокола.
Так же необходимо учесть, что если прописать только те IP-адреса, которые будут иметь доступ к определенным
протоколам, другим адресам в доступе будет отказано.

Ссылки:

• Foundry Networks

P.S. При копировании статьи ссылка на источник ОБЯЗАТЕЛЬНА !

Автор: Андрей