Маршрутизатор ELTEX ESR-30
Сегодня начнем пробовать на вкус маршрутизатор Eltex ESR-30.
Подключаемся по консольке (скорость 115200 не забываем)
Обновимся для начала.
sh version
Boot version:
1.23.6.8 (date 27/05/2024 time 19:21:32)
SW version:
1.23.6 build 8[86455c8931] (date 27/05/2024 time 19:04:18)
Видим что на сайте есть поновее. Скачиваем на флешку, втыкаем её в маршрутер.
коммутатор радостно сообщает
2058-01-12T20:35:07+00:00 %USBFLASH-I-CHANGE: 'DATA' has been inserted! это у меня партиция на флешке сделана для обновления софта.
Привыкли что при вводе команды копирования работает автокомплит и варианты названий файлов? В новой реальности всё работает немного странно. Причем в пути присутствует имя партиции флешки. Поэтому мои юные юмористы не рекомендую называть партиции "по всякому".
При наборе команды dir подсказка по доброму говорит нам
dir usb://
PATH Select file:
usb://usb_name:/[FILE]
и на TAB не реагирует.
Что-бы узнать имя надо вспомнить что там сказал про это маршрутер или посмотреть в логах... Только sh log не работает...
поэтому говорим
sh syslog
Name Size Date of last modification
---------------------------------------- -------- -- -------------------------
tmpsys:syslog/auth.log 10.93 KB Sat Jan 12 20:34:52 2058
tmpsys:syslog/default 61.17 KB Sat Jan 12 20:35:07 2058
Total files: 2
И сам файл поглядеть можно командой
sh syslog tmpsys:syslog/default
Но лучше с фильтром, тут он работает
sh syslog tmpsys:syslog/default | in USB
2058-01-12T20:35:07+00:00 %USBFLASH-I-CHANGE: 'DATA' has been inserted!
Так-же стораджи можно глянуть командой
show storage-devices usb
Name Filesystem Total, MB Used, MB Free, MB
------------------------------ ---------- ---------- ---------- ----------
DATA vfat 3999.69 3387.94 611.75
Теперь пишем dir usb://D нажимаем TAB и имя партиции замечательно подставляется. (пинок разработчикам)
там выпадает полный список файлов. Но нам-же хочется видеть только наши нужные файлики
Поэтому мы говорим
dir usb://DATA:/ | in esr
и в ответ получаем
Syntax error: Illegal command line
У меня на флешке три файлика начинающихся с esr3x-1.24.1-build1.
я пишу copy usb://DATA:/e (жму TAB) оно подставляется до copy usb://CISCO:/esr3x-1.24.1-build1. дальше варианты не предлагает и автоподставлять дальше не хочет. (понимаю, что можно оставить один файл, но это костыль)
copy usb://CISCO:/esr3x-1.24.1-build1.firmware system:firmware
|******************************************| 100% (97831kB) Firmware updated successfully.
Смотрим параметры загрузки
sh bootvar
Image Version Date Status After reboot
----- ------------------------- -------------------- ------------ ------------
1 1.23.6 build date 27/05/2024 time Active *
8[86455c8931] 19:04:18
2 1.24.1 build date 24/09/2024 time Not Active
1[1145370348] 16:47:42
boot system image-2 указываем что грузиться со 2-го имиджа
и reload system перегружаем маршрутер
После перезагрузки убеждаемся что всё хорошо
sh version
Boot version:
1.24.1.1 (2024-09-24 16:48:03)
SW version:
1.24.1 build 1[1145370348] (2024-09-24 16:47:42)
-----------------------------------------------------
И начинаем с нуля. (вначале сделаем сценарий самый классический, просто два L3 порта LAN и WAN и какой-то NAT соорудим. Что ещё нам надо-то от простого роутера)
убираем всё непонятное из конфига (только хардкор!!!)
configure никакого conf t, сидящего в подсознании.
убираем какие-то вланы, какие-то зоны, какие-то dhcp сервера.
no boot host auto-config
no boot host auto-update
Кстати. Вот ещё полезные две команды
Очистка конфигурации происходит путем копирования пустой конфигурации в candidate-config и применения его в running-config.
copy system:default-config system:candidate-config
Процесс сброса на заводскую конфигурацию аналогичен.
copy system:factory-config system:candidate-config
И сразу новость, для применения этоих всех надо говорить commint и confirm. Не было печали, но привыкнем видимо. Кстати, для удаления изменений внесенных в candidate-config но не примененных в running-config используется команда rollback.
interface gigabitethernet 1/0/1
mode routerport
ip address 10.10.20.31/26
no shut
exit
ip route 10.10.0.0/16 10.10.20.1
внутри конфига для применения говорим по простому do com и do con
пингаем с роутера сеть всё норм, а вот сам роутер у нас не пингуется. И мы приходим в мир security-zone.
Создадим
security zone LAN
description "LAN"
exit
Пропишем её на интерфейсе
interface gigabitethernet 1/0/1
security-zone LAN
exit
И начннем прописывать разрешения. Сейчас для ICMP (в простонаречии ping)
security zone-pair LAN self
rule 100
description "ICMP"
action permit
match protocol icmp
enable
exit
применяем изменения.
и пинг с другого компа пошел.
Теперь ssh
object-group service ssh
port-range 22
exit
object-group network LAN
description "LAN"
ip prefix 10.10.20.0/26
exit
security zone-pair LAN self
rule 1
description "SSH"
action permit
match protocol tcp
match source-address object-group LAN
match destination-port object-group ssh
enable
exit
По синтаксису всё вроде понятно,
Сделаем LAN линк с резервированием по LACP
interface gigabitethernet 1/0/1
no ip address all
no security-zone
exit
do com
do con
interface port-channel 1 если объединять каналы интерфейсы 10G, то обязательно указать speed 10000
mode routerport
security-zone LAN
ip address 10.10.20.31/26
exit
interface gigabitethernet 1/0/1
mode switchport
channel-group 1 mode auto
exit
interface gigabitethernet 1/0/2
mode switchport
channel-group 1 mode auto
exit
do com
do con
проверяем
sh lacp interfaces gigabitethernet 1/0/1
gigabitethernet 1/0/1 [active] up
Actor Port Partner Port
---------------- ------------ ------------
Port Priority 32768 32768
LACP Activity Active Active
sh lacp interfaces gigabitethernet 1/0/2
gigabitethernet 1/0/2 [active] up
Actor Port Partner Port
---------------- ------------ ------------
Port Priority 32768 32768
LACP Activity Active Active
Есть ещё команда
sh lacp parameters
Interface Port Priority Timeout Link Mode
-------------------- ------------- -------- ----------
gi1/0/1 32768 Long Active
gi1/0/2 32768 Long Active
Если-бы в ней добавили два поля "к какому Port-channel подключен порт" и "состояние интерфейса Up/Down" - то было-бы вообще прекрасно.
А так хочется хоть какого-то аналога цискиного show etherchannel summary
Проверяем функционирование LACP, запуском пинга и бесчеловечным выдиранием линков. Всё работает стабильно и вопросов не вызывает.
Ещё попинаю разрабов
(config) interface gigabitethernet 1/0/1
(config-if-gi) interface gigabitethernet 1/0/2
Syntax error: Unknown command
Из настроек одного интерфейса не прыгнуть в другой, только через exit ссуки!
Настроим отдельный интерфейс для управления и мониторинга в отдельном vrf
ip vrf MGMT
description "MGMT" Диксрипшины на Элтексах пишем в кавычках. Привыкайте!
exit
interface gigabitethernet 1/0/3
ip vrf forwarding MGMT
description "Gi1/0/3 -==OOB MGMT"
ip firewall disable
ip address 10.10.100.244/24
exit
ip route vrf MGMT 10.10.0.0/16 10.10.100.1
ip ssh server vrf MGMT
ip ssh source-vrf MGMT
snmp-server
snmp-server community TeStC0mMuNiTy#2024 vrf MGMT ro
do com
do con
Синхронизируем время с сервером.
ntp enable
ntp logging
ntp server 10.10.100.2 vrf MGMT
Смотрим в
sh ntp peers
Clock is not synchronized
No peers configured
А там ничего нет. Умные люди подсказали "В заводской конфигурации (factory-config) прописан параметр ntp broadcast-client enable, которой включается режим приёма широковещательных сообщений от NTP-серверов. Маршрутизатор работает в качестве NTP-клиента. Если в конфигурации устройства заданы NTP пиры и серверы, то в широковещательном режиме они игнорируются. Соответственно, при указании NTP сервера дата и время не обновится. Для устранения проблемы необходимо использовать:
no ntp broadcast-client enable". После этого всё начинает работать.
Начинаем прорубать окно в европу выход в интернет
У нас самая простая статика с белым IP, никакой экзотики.
interface gigabitethernet 1/0/4
description "Gi1/0/4 -==WAN"
ip address 200.200.200.2/30
exit
nat source
ruleset RS_INET
to interface gigabitethernet 1/0/4
rule 10
description "INET ACCESS"
match source-address object-group LAN
action source-nat interface
enable
exit
exit
exit
do com
do con
Пинги с роутера в мир идут, на пользовательских компах интернета нет.
уберем с пользовательского интерфейса фаервол и секьюрити зону. Заодно отключим доступный ssh вне vrf управления
interface port-channel 1
no security zone LAN
ip firewall disable
exit
no ip ssh server
do com
do con
Проверяем что всё заработало.
Не забываем сохранять конфиг save
Проверил работу закачкой тяжелого файла 19Гб через "хитрый сервис" и тестером speedtest
Закачка не захотела идти быстрее 230Мб/с. SpeedTest показал 600Мб/с в краткосрочном пике.
Графики загрузки интерфейса и CPU прилагаю.
WAN
CPU
Скопировал тот-же большой файлик внутри локальной сети.
LAN
CPU
Подключаемся по консольке (скорость 115200 не забываем)
Обновимся для начала.
sh version
Boot version:
1.23.6.8 (date 27/05/2024 time 19:21:32)
SW version:
1.23.6 build 8[86455c8931] (date 27/05/2024 time 19:04:18)
Видим что на сайте есть поновее. Скачиваем на флешку, втыкаем её в маршрутер.
коммутатор радостно сообщает
2058-01-12T20:35:07+00:00 %USBFLASH-I-CHANGE: 'DATA' has been inserted! это у меня партиция на флешке сделана для обновления софта.
Привыкли что при вводе команды копирования работает автокомплит и варианты названий файлов? В новой реальности всё работает немного странно. Причем в пути присутствует имя партиции флешки. Поэтому мои юные юмористы не рекомендую называть партиции "по всякому".
При наборе команды dir подсказка по доброму говорит нам
dir usb://
PATH Select file:
usb://usb_name:/[FILE]
и на TAB не реагирует.
Что-бы узнать имя надо вспомнить что там сказал про это маршрутер или посмотреть в логах... Только sh log не работает...
поэтому говорим
sh syslog
Name Size Date of last modification
---------------------------------------- -------- -- -------------------------
tmpsys:syslog/auth.log 10.93 KB Sat Jan 12 20:34:52 2058
tmpsys:syslog/default 61.17 KB Sat Jan 12 20:35:07 2058
Total files: 2
И сам файл поглядеть можно командой
sh syslog tmpsys:syslog/default
Но лучше с фильтром, тут он работает
sh syslog tmpsys:syslog/default | in USB
2058-01-12T20:35:07+00:00 %USBFLASH-I-CHANGE: 'DATA' has been inserted!
Так-же стораджи можно глянуть командой
show storage-devices usb
Name Filesystem Total, MB Used, MB Free, MB
------------------------------ ---------- ---------- ---------- ----------
DATA vfat 3999.69 3387.94 611.75
Теперь пишем dir usb://D нажимаем TAB и имя партиции замечательно подставляется. (пинок разработчикам)
там выпадает полный список файлов. Но нам-же хочется видеть только наши нужные файлики
Поэтому мы говорим
dir usb://DATA:/ | in esr
и в ответ получаем
Syntax error: Illegal command line
У меня на флешке три файлика начинающихся с esr3x-1.24.1-build1.
я пишу copy usb://DATA:/e (жму TAB) оно подставляется до copy usb://CISCO:/esr3x-1.24.1-build1. дальше варианты не предлагает и автоподставлять дальше не хочет. (понимаю, что можно оставить один файл, но это костыль)
copy usb://CISCO:/esr3x-1.24.1-build1.firmware system:firmware
|******************************************| 100% (97831kB) Firmware updated successfully.
Смотрим параметры загрузки
sh bootvar
Image Version Date Status After reboot
----- ------------------------- -------------------- ------------ ------------
1 1.23.6 build date 27/05/2024 time Active *
8[86455c8931] 19:04:18
2 1.24.1 build date 24/09/2024 time Not Active
1[1145370348] 16:47:42
boot system image-2 указываем что грузиться со 2-го имиджа
и reload system перегружаем маршрутер
После перезагрузки убеждаемся что всё хорошо
sh version
Boot version:
1.24.1.1 (2024-09-24 16:48:03)
SW version:
1.24.1 build 1[1145370348] (2024-09-24 16:47:42)
-----------------------------------------------------
И начинаем с нуля. (вначале сделаем сценарий самый классический, просто два L3 порта LAN и WAN и какой-то NAT соорудим. Что ещё нам надо-то от простого роутера)
убираем всё непонятное из конфига (только хардкор!!!)
configure никакого conf t, сидящего в подсознании.
убираем какие-то вланы, какие-то зоны, какие-то dhcp сервера.
no boot host auto-config
no boot host auto-update
Кстати. Вот ещё полезные две команды
Очистка конфигурации происходит путем копирования пустой конфигурации в candidate-config и применения его в running-config.
copy system:default-config system:candidate-config
Процесс сброса на заводскую конфигурацию аналогичен.
copy system:factory-config system:candidate-config
И сразу новость, для применения этоих всех надо говорить commint и confirm. Не было печали, но привыкнем видимо. Кстати, для удаления изменений внесенных в candidate-config но не примененных в running-config используется команда rollback.
interface gigabitethernet 1/0/1
mode routerport
ip address 10.10.20.31/26
no shut
exit
ip route 10.10.0.0/16 10.10.20.1
внутри конфига для применения говорим по простому do com и do con
пингаем с роутера сеть всё норм, а вот сам роутер у нас не пингуется. И мы приходим в мир security-zone.
Создадим
security zone LAN
description "LAN"
exit
Пропишем её на интерфейсе
interface gigabitethernet 1/0/1
security-zone LAN
exit
И начннем прописывать разрешения. Сейчас для ICMP (в простонаречии ping)
security zone-pair LAN self
rule 100
description "ICMP"
action permit
match protocol icmp
enable
exit
применяем изменения.
и пинг с другого компа пошел.
Теперь ssh
object-group service ssh
port-range 22
exit
object-group network LAN
description "LAN"
ip prefix 10.10.20.0/26
exit
security zone-pair LAN self
rule 1
description "SSH"
action permit
match protocol tcp
match source-address object-group LAN
match destination-port object-group ssh
enable
exit
По синтаксису всё вроде понятно,
Сделаем LAN линк с резервированием по LACP
interface gigabitethernet 1/0/1
no ip address all
no security-zone
exit
do com
do con
interface port-channel 1 если объединять каналы интерфейсы 10G, то обязательно указать speed 10000
mode routerport
security-zone LAN
ip address 10.10.20.31/26
exit
interface gigabitethernet 1/0/1
mode switchport
channel-group 1 mode auto
exit
interface gigabitethernet 1/0/2
mode switchport
channel-group 1 mode auto
exit
do com
do con
проверяем
sh lacp interfaces gigabitethernet 1/0/1
gigabitethernet 1/0/1 [active] up
Actor Port Partner Port
---------------- ------------ ------------
Port Priority 32768 32768
LACP Activity Active Active
sh lacp interfaces gigabitethernet 1/0/2
gigabitethernet 1/0/2 [active] up
Actor Port Partner Port
---------------- ------------ ------------
Port Priority 32768 32768
LACP Activity Active Active
Есть ещё команда
sh lacp parameters
Interface Port Priority Timeout Link Mode
-------------------- ------------- -------- ----------
gi1/0/1 32768 Long Active
gi1/0/2 32768 Long Active
Если-бы в ней добавили два поля "к какому Port-channel подключен порт" и "состояние интерфейса Up/Down" - то было-бы вообще прекрасно.
А так хочется хоть какого-то аналога цискиного show etherchannel summary
Проверяем функционирование LACP, запуском пинга и бесчеловечным выдиранием линков. Всё работает стабильно и вопросов не вызывает.
Ещё попинаю разрабов
(config) interface gigabitethernet 1/0/1
(config-if-gi) interface gigabitethernet 1/0/2
Syntax error: Unknown command
Из настроек одного интерфейса не прыгнуть в другой, только через exit ссуки!
Настроим отдельный интерфейс для управления и мониторинга в отдельном vrf
ip vrf MGMT
description "MGMT" Диксрипшины на Элтексах пишем в кавычках. Привыкайте!
exit
interface gigabitethernet 1/0/3
ip vrf forwarding MGMT
description "Gi1/0/3 -==OOB MGMT"
ip firewall disable
ip address 10.10.100.244/24
exit
ip route vrf MGMT 10.10.0.0/16 10.10.100.1
ip ssh server vrf MGMT
ip ssh source-vrf MGMT
snmp-server
snmp-server community TeStC0mMuNiTy#2024 vrf MGMT ro
do com
do con
Синхронизируем время с сервером.
ntp enable
ntp logging
ntp server 10.10.100.2 vrf MGMT
Смотрим в
sh ntp peers
Clock is not synchronized
No peers configured
А там ничего нет. Умные люди подсказали "В заводской конфигурации (factory-config) прописан параметр ntp broadcast-client enable, которой включается режим приёма широковещательных сообщений от NTP-серверов. Маршрутизатор работает в качестве NTP-клиента. Если в конфигурации устройства заданы NTP пиры и серверы, то в широковещательном режиме они игнорируются. Соответственно, при указании NTP сервера дата и время не обновится. Для устранения проблемы необходимо использовать:
no ntp broadcast-client enable". После этого всё начинает работать.
Начинаем прорубать окно в европу выход в интернет
У нас самая простая статика с белым IP, никакой экзотики.
interface gigabitethernet 1/0/4
description "Gi1/0/4 -==WAN"
ip address 200.200.200.2/30
exit
nat source
ruleset RS_INET
to interface gigabitethernet 1/0/4
rule 10
description "INET ACCESS"
match source-address object-group LAN
action source-nat interface
enable
exit
exit
exit
do com
do con
Пинги с роутера в мир идут, на пользовательских компах интернета нет.
уберем с пользовательского интерфейса фаервол и секьюрити зону. Заодно отключим доступный ssh вне vrf управления
interface port-channel 1
no security zone LAN
ip firewall disable
exit
no ip ssh server
do com
do con
Проверяем что всё заработало.
Не забываем сохранять конфиг save
Проверил работу закачкой тяжелого файла 19Гб через "хитрый сервис" и тестером speedtest
Закачка не захотела идти быстрее 230Мб/с. SpeedTest показал 600Мб/с в краткосрочном пике.
Графики загрузки интерфейса и CPU прилагаю.
WAN
CPU
Скопировал тот-же большой файлик внутри локальной сети.
LAN
CPU
