====== NETSHe BR104 Configuration guide RU ====== {{NETSHe BR104 Configuration guide RU.odt|Original file}} цветной прямоугольник с графическим текстомРуководство {{настройка_маршрутизатора_br104_Image_0.gif}} {{настройка_маршрутизатора_br104_Image_1.png}} | Маршрутизатор\\ BR104\\ | |Руководство \\ по \\ настройке\\ | | Версия 3.0 \\ февраль, 2020\\ | **Оглавление**** ** ====== ====== ====== Введение ====== Маршрутизатор BR104 с возможностью передачи данных через сотовые сети связи относится к типу полноценных маршрутизаторов с широким набором функций. Данное руководство охватывает только часть из них, а именно: некоторые аспекты сетевых протоколов, маршрутизацию и связности сетей на разных уровнях, включая беспроводные сети и сети операторов подвижной связи, и то, как эти функции реализованы во встроенном программном обеспечении (firmware) маршрутизатора. Примеры, рассматриваемые по ходу документа, относятся к типовым случаям применения маршрутизаторов. Однако, если необходимо реализовать сложную или нетипичную схему с применением маршрутизаторов BR104, мы просим обращаться в службу поддержки ООО «Нетше лаб» на сайте [[http://www.netshe-lab.ru|http://www.netshe-lab.ru]] Внимание! *** Этот документ охватывает так же совместимые модели оборудования:BR104, BR104-IoT, Ap145, AP147-2, MiROUTER. При чем этот список постоянно увеличивается за счет новых моделей. Также изложенное в этом руководстве относится к использованию операционной системы NETSHe версий 5.2 и 5.3. *** Внимание! *** IPsec описывается в отдельном руководстве ‘BR104 IPsec Configuration and Troubleshooting guide’. *** ====== Доступ к устройству ====== При первом включении маршрутизатора пользователь может получить доступ к управлению маршрутизатором со следующими именами и паролями: IP-адрес по умолчанию192.168.1.1 URL веб-интерфейсаhttp://192.168.1.1\\ http://192.168.1.1:5556 (для NMMS совместимых версий) \\ Умалчиваемое имяsuperuser / abC123dEf_(административные права) Пользователя и пароль root / root(системная учетная запись) Большинство современных браузеров Firefox, Chrome, IE11 и т.д. поддерживают веб-доступ к управлению маршрутизатором. ====== Доступ из командной строки ====== CLI (доступ из командной строки) требуется для редко употребимых команд, используется при решении проблем и получения информации о состоянии компонентов системы. - По умолчанию используется протокол SSH (TCP порт 22) для доступа к интерфейсу командной строки. - Telnet по умолчанию отключен. Пользователь может его включить, эта процедура будет описана в соответствующем пункте данного руководства. - Можно использовать стандартные приложения типа Putty или Secure SSH. - Доступ из командной строки требует аутентификации с системной учетной записью и паролем по умолчанию root / root. {{настройка_маршрутизатора_br104_Image_2.png}} ====== Мастер установки ====== Внимание! ******* Мастер установки помогает настроить WAN, LAN и прочие интерфейсы. Пользователь может настроить единственный WAN порт или два WAN (основной и резервный) по отказоустойчивому сценарию. Шаги мастера могут создаваться под конкретный проект и содержать настройки для разных компонентов. Мастер может автоматизировать настройки PPPoE, L2TP, PPTP, Cellular и Ethernet в качестве подключения первичного WAN и Cellular в качестве резервного WAN. Те же самые настройки можно произвести, отказавшись от мастера, и выполнить их вручную с помощью веб-интерфейса. Такой способ настройки требует больше внимания пользователя на разные детали, которые будут описаны по ходу этого документа. ******* При первоначальной загрузке маршрутизатора пользователю будет предложено пройти мастер настройки. Пользователь должен нажать ‘Yes’ и проследовать следующими шагами. Если пользователь случайно пропустил предложение мастера, то он может вызвать мастер, нажав иконку с волшебной палочкой на панели инструментов. {{настройка_маршрутизатора_br104_Image_3.png}} {{настройка_маршрутизатора_br104_Image_4.png}} Далее следует выбрать шаблон из выпадающего списка и нажать кнопку ‘Next’. {{настройка_маршрутизатора_br104_Image_5.png}} ===== Конфигурация с единственным WAN интерфейсом ===== Шаг 1. Выберите ‘CELLULAR CONNECTION’ для настроек IPv4 соединения через сим-карту. {{настройка_маршрутизатора_br104_Image_6.png}} Шаг 2. Введите настройки APN, как того требует ваш оператор сотовой связи, и нажмите ‘NEXT’. {{настройка_маршрутизатора_br104_Image_7.png}} Если IPv6 доступно для настройки в сети оператора, то выберите опцию ‘Enable IPv6 over PPP link’. {{настройка_маршрутизатора_br104_Image_8.png}} ===== Конфигурация с двумя подключениями WAN ===== Шаг 1. Выберите ‘PPPOE CONNECTION’. {{настройка_маршрутизатора_br104_Image_9.png}} Шаг 2. Пользователю следует заполнить параметры PPPoE в соответствии с требованиями провайдера. MAC-адрес является опциональным параметром и может учитываться, если пользователю уже сопоставлен какой-то MAC-адрес в сети провайдера, и он желает возобновить это соединение на новом маршрутизаторе. {{настройка_маршрутизатора_br104_Image_10.png}} Шаг 2.a. Щелкните на ‘CONFIGURE BACKUP’. {{настройка_маршрутизатора_br104_Image_11.png}} Шаг 2.b. Введите параметры APN и нажмите ‘NEXT’. {{настройка_маршрутизатора_br104_Image_7.png}} Шаг 3. На следующем шаге щелкните ‘NEXT’, ничего не меняя. {{настройка_маршрутизатора_br104_Image_13.png}} Шаг 4. Выберите ‘NO’, если нет необходимости менять настройки DNS, получаемые от провайдера. {{настройка_маршрутизатора_br104_Image_14.png}} ИЛИ Шаг 4. Выберите ‘YES’ для того, чтобы задать настройки DNS вручную. Внимание! *** Задание параметров DNS обязательно в случае использования двух WAN интерфейсов, основного и резервного, на предыдущих шагах. В противном случае WAN интерфейс окажется поднятым, но пользователи не смогут получить доступ в Интернет из своих браузеров. Потому что при двух WAN соединениях системный DNS демон не сможет работать с двойными настройками, полученными от двух источников. Поэтому важно настроить DNS глобально на устройстве. ******* {{настройка_маршрутизатора_br104_Image_15.png}} Шаг 5. Введите широковещательное имя для беспроводного доступа (SSID) и пароль для аутентификации пользователей Wi-Fi, затем щелкните ‘NEXT’. Внимание! *** Если пользователь желает отключить Wi-Fi в любом из диапазонов 5гГц/2.4гГц, то ему необходимо отметить данную опцию вверху страницы интерфейса ‘wlan0’/’wlan1’ соответственно. *******{{настройка_маршрутизатора_br104_Image_16.png}} Шаг 6.Настройте адрес и подсеть для LAN интерфейса, по завершению щелкните ‘NEXT’. Для того, чтоб отключить LAN DHCP-сервер, уберите галочку, показанную на следующей картинке. Внимание! *** В этом случае все пользователи должны настраивать адреса своих устройств вручную, задавая адреса из той же подсети, что и LAN интерфейс маршрутизатора. Либо в данной подсети должен быть другой рабочий DHCP-сервер. ******* {{настройка_маршрутизатора_br104_Image_17.png}} или Шаг 6.1. Если пользователь выбрал IPv6 на Шаг 2.1 выше, то следующий шаг появится для ввода адреса LAN IPv6 и DHCPv6 сервера. {{настройка_маршрутизатора_br104_Image_18.png}} Шаг 7. Щелкните ‘Next’ на предложение настроить DM VPN Spoke, чтоб пропустить эти настройки. {{настройка_маршрутизатора_br104_Image_19.png}} Шаг 8. На этом шаге, если пользователь хочет настроить IPsec туннель, ему следует выбрать ‘Yes, I want to …’. В противном случае пользователь должен щелкнуть на ‘Next’, чтобы пропустить IPsec. {{настройка_маршрутизатора_br104_Image_20.png}} Если пользователь выбирает ‘Yes, I Want to………’, следующий диалог будет показан. Параметры должны соответствовать другой стороне туннеля. Внимание! *** Пользователь должен проверить параметры IPsec средствами WebUI позднее, потому что параметры политики (интерфейса) гораздо шире, чем их предлагает мастер первоначальной настройки. *** Пользователь может найти подробную информацию про IPsec в руководстве ‘BR104 IPsec Configuration and Troubleshooting guide’. ******* {{настройка_маршрутизатора_br104_Image_21.png}} Шаг 9. Пользователь может изменить имя маршрутизатора с умалчиваемого ‘NETSHe’ на что-нибудь ему удобное. Также пользователь может установить пароли для учетных записей ‘root’ и ‘superuser’, не забывая про требование сложности. {{настройка_маршрутизатора_br104_Image_22.png}} Полная перезагрузка маршрутизатора займет около двух с половиной минут. Пользователь должен подождать, пока страница автоматически перейдет на домашнюю страницу веб-интерфейса (WebUI). *** Если автоматического перенаправления нет или страница не обновляется, следует проверить IP-адрес маршрутизатора и попробовать порт 5556 TCP. ******* ====== Домашняя страница ====== После успешной перезагрузки устройства, пользователь может подключиться к WebUI, используя логин и пароль, введённые во время мастера настройки. После успешной аутентификации откроется домашняя страница, которая содержит: - Информацию о системе и время с последнего включения, - Счетчики потребления памяти, процессора, дисков, - Все настроенные и недонастроенные интерфейсы. {{настройка_маршрутизатора_br104_Image_23.png}} *** В зависимости от установленного в маршрутизатор модема тип интерфейса сотового подключения может быть ‘wwan0’ или ‘cellular’, в данном руководстве для примера интерфейс ‘wwan0’ соответствует IPv4 сотовому соединению, а интерфейс ‘cellular’ предназначен для Ipv6. ******* ===== Проверьте статус сотового подключения IPv4 ===== На домашней странице нужно найти интерфейс ‘wwan0’, это будет IPv4 сотовое соединение. Пользователю нужно проверить у этого интерфейса: - IPv4 адрес, назначенный оператором сотовой связи, - Статус регистрации сим-карты, - Привязку к текущей сети (2G/3G/4G), - Силу сигнала базовой станции. {{настройка_маршрутизатора_br104_Image_24.png}} ===== Проверьте статус сотового подключения IPv6 ===== Интерфейс с именем ‘cellular’ в данном примере является интерфейсом IPv6 для сотовых соединений. На следующей картинке выделены детали подключения: **{{настройка_маршрутизатора_br104_Image_25.png}}** Проверьте соединение PPPoE Интерфейс ‘pppoe’ на домашней странице может означать туннель к агенту сервера NMMS (Network Management and Monitoring server). Данный агент применяется как вспомогательное устройство для связи NMMS и контролируемых устройств. **{{настройка_маршрутизатора_br104_Image_26.png}}** ===== Проверьте статус IPsec туннелей ===== Если IPsec туннель поднят, статус интерфейса будет показан с внешними адресами обеих сторон туннеля и протоколом ESP. Если соединение не поднято, не сконфигурировано или сконфигурировано ошибочно, статус туннеля будет показан как ‘Unknown’. В этом случае пользователю следует обратиться к руководству ‘BR104 IPsec Configuration and Troubleshooting guide’ для решения проблемы. ===== Проверьте маршрут по умолчанию ===== Откройте меню ‘Diagnostic’ и выберите опцию ‘Routes’ для того, чтобы увидеть таблицу маршрутизации. Маршрут с назначением ‘0.0.0.0’ называется ‘default route’,т.е. маршрут по умолчанию. **{{настройка_маршрутизатора_br104_Image_27.png}}** **{{настройка_маршрутизатора_br104_Image_28.png}}** Внимание! *** ‘Backup route’, т.е. резервный маршрут не показывается в графическом интерфейсе. Его можно увидеть в выводе команды CLI: Root@NETSHe# ip route show table default ******* {{настройка_маршрутизатора_br104_Image_29.png}} Настройка интерфейсов Внимание! *******Пользователь должен проверить или заполнить все вкладки свойств интерфейса, затем сохранить настройки и перезагрузить маршрутизатор. Однако, если предполагается внести изменения нескольким интерфейсам и/или сервисам, то следует все изменения выполнить (без нажатий опции ‘restart the service’), а затем перегрузить маршрутизатор для применения всех изменений в конфигурации. ******* Вид диалога параметров интерфейсов выглядит по-разному в зависимости от типа интерфейса. Обычно диалог для полноценного интерфейса имеет три вкладки: 1) ‘Base Settings’ вкладка, где предусмотрены общие параметры:\\ - Опция включения/отключения интерфейса. - Опция для установки интерфейса как резервный к другому WAN интерфейсу. - Включение/отключение использования DNS от провайдера. ( Опция отключения нужна в случае основного и резервного WAN.\\ Поскольку разные провайдеры используют разные адреса DNS, а системный демон DNS не может оперировать с двумя наборами адресов одновременно, то рекомендуется отключить использование DNS обоих провайдеров и задать вручную свои настройки DNS.) - Опция включения IP passthrough mode на интерфейсе. Нужна в случае, когда надо пробросить адрес от провайдера на внутреннее устройство в своей сети. - Список методов аутентификации (PAP/CHAP/AUTO). - Варианты для ограничения стандартов сотового соединения AUTO/2G/3D/4G. 2) ‘Additional’ вкладка предназначена для привязывания интерфейса к зонам. Если интерфейс не привязан к зоне, часть сервисов на нем будет недоступна. 3) Вкладка ‘Routes through interface’ это наиболее короткий способ создать новый статический маршрут в таблице маршрутизации устройства. Вопросы маршрутизации рассматриваются подробнее в другом разделе данного руководства. Когда все настройки интерфейса заданы, следует нажать кнопку ‘Save’ и перезагрузить маршрутизатор, для того чтоб измененная конфигурация применилась. Для этого надо открыть меню ‘Utilities’ и выбрать‘Reboot System’, далее выбрать ‘Yes’ на запрос перезагрузки устройства. Внимание! *** Все интерфейсы должны именоваться в соответствии с правилами, чтобы пользователям было понятно назначение интерфейса по его имени. Например, ethX соответствует физическому Ethernet порту, а имена pppoe/l2tp/pptp – соответствующим сервисам. Интерфейсы с ‘.auto’ в имени создаются системой для сервисных нужд и не могут быть изменены пользователями. ******* ===== Сим-карта IPv4, интерфейс wwan0 ===== {{настройка_маршрутизатора_br104_Image_30.png}} Выберите интерфейс ‘wwan0’ на домашней странице, как это показано на картинке выше, откроются параметры интерфейса. На вкладке ‘Base Settings’ можно изменить параметры сим-карты, а так же включить/отключить сам интерфейс. {{настройка_маршрутизатора_br104_Image_31.png}} На вкладке ‘Additional’ можно назначить интерфейс в ‘WAN’ зону. {{настройка_маршрутизатора_br104_Image_32.png}} ===== Сим-карта IPv6, интерфейс CELLULAR ===== Внимание *** Конфигурирование IPv6 интерфейса вручную потребует дополнительной настройки DHCPv6 и определения правил NAT на сетевом экране IPv6. ******* Для того, чтобы создать IPv6 интерфейс вручную, пользователю следует внизу домашней страницы найти поле ‘Input name of interface to add’и ввести туда имя ‘cellular’ (без кавычек), щелкнуть кнопку ‘New’. **{{настройка_маршрутизатора_br104_Image_33.png}}** После того, как откроются настройки интерфейса, на вкладке ‘Base settings’ ввести требуемые настройки. **{{настройка_маршрутизатора_br104_Image_34.png}}** Затем на вкладке ‘Additional’ назначить интерфейс в зону WAN, после чего нажать кнопку ‘Save’. **{{настройка_маршрутизатора_br104_Image_35.png}}** ===== PPPoE IPv4 интерфейс ===== \\ Для того, чтобы вручную создать интерфейс PPPoE, пользователь должен заполнить поле ‘Input name of interface to add’ в конце домашней страницы именем ‘pppoe’ (без кавычек) и нажать ‘New’. **{{настройка_маршрутизатора_br104_Image_36.png}}** Далее на открывшейся вкладке ‘Base settings’ следует заполнить параметры подключения, как того требует провайдер. **{{настройка_маршрутизатора_br104_Image_37.png}}** Далее на вкладке ‘Additional’ пользователь должен добавить интерфейс в ‘WAN’ зону и нажать кнопку ‘Save’, чтоб сохранить настройки. **{{настройка_маршрутизатора_br104_Image_38.png}}** ===== Интерфейс локальной сети br0 ===== Пользователь должен найти интерфейс ‘br0’ на домашней странице или в пункте меню ‘Network->Interfaces’. {{настройка_маршрутизатора_br104_Image_39.png}} Далее пользователь должен сделать следующее: - Щелкнуть по имени интерфейса ‘br0’, чтоб изменить настройки. - Убедиться, что интерфейс включен, проверив соответствующую опцию. - Отредактировать IP4 или IPv6 адрес и маску сети. - Сохранить настройки кнопкой ‘Save’. - Перезагрузить маршрутизатор, чтоб настройки вступили в силу. ===== Настройка Wi-Fi ===== Пользователь может настроить Wi-Fi посредством настройки интерфейсов ‘wlan0’ и ‘wlan1’. В зависимости от firmware устройство может иметь двух диапазонный Wi-Fi и ‘wlan1’ интерфейс соответственно. Рассмотрим настройки 5гГц Wi-Fi для примера. {{настройка_маршрутизатора_br104_Image_40.png}} {{настройка_маршрутизатора_br104_Image_41.png}} Пользователь опцией ‘enable interface’ может включить Wi-Fi и задать имя беспроводной сети (SSID), а так же WPA2 пароль для защиты. ====== Настройки DNS ====== Пользователю следует воспользоваться пунктом меню ‘Services->Domain name resolution’ как показано ниже. **{{настройка_маршрутизатора_br104_Image_42.png}}** Нужно выбрать вкладку ‘DNS Resolver settings’, ввести IP адрес DNS сервера в поле ‘IP-Address of ….’ и сохранить настройки кнопкой ’Save’. **{{настройка_маршрутизатора_br104_Image_43.png}}** ====== Настройка DHCP сервера IPv4 / IPv6 ====== Внимание! *** Изменения в настройках DHCP следует производить, принимая во внимание IP-адрес интерфейса. Следует убедиться, что адрес интерфейса ‘br0’ из того же самого диапазона, что и DHCP пул для выдачи адресов клиентам. В противном случае эта нестыковка может не дать желаемого от DHCP результата. *** Выберите ‘Services->DHCP Settings’ {{настройка_маршрутизатора_br104_Image_44.png}} Картинка ниже показывает параметры, которые можно задать: - DHCP пул адресов IPv4 / IPv6, - Опция включения/отключения DHCP сервера, - Время аренды адресов, - Привязки MAC адресов или резервирования IP. **{{настройка_маршрутизатора_br104_Image_45.png}}** ====== Добавление статических маршрутов ====== Выберите меню ‘Routes’, а в нем пункт ‘Static’. {{настройка_маршрутизатора_br104_Image_46.png}} Щелкните на второй ‘+’, чтоб добавить статический маршрут. {{настройка_маршрутизатора_br104_Image_47.png}} {{настройка_маршрутизатора_br104_Image_48.png}} После нажатия ‘Save’ новый маршрут отразится в списке маршрутов, как показано ниже. Далее нажмите кнопку ‘Save’. {{настройка_маршрутизатора_br104_Image_49.png}} Перегрузите маршрутизатор, чтоб применить маршрут. Перезагрузку можно выполнить через пункт меню ‘Utilities->Reboot system’. {{настройка_маршрутизатора_br104_Image_50.png}} BR104 маршрутизатор поддерживает широкий набор функций маршрутизации, включая протоколы динамической маршрутизации: RIP, OSPF, BGP, а так же механизмы типа маршрутизации от источника (source routing) или маршрутизации на основе политик (policy base routing). Функции маршрутизации собраны в пункте меню ‘Routes’. Данный документ не сфокусирован на сетевых технологиях и их теории. В случае сложных применений или больших распределенных сетей пользователям следует проконсультироваться с техподдержкой ООО «Нетше лаб». ====== Сетевой экран и настройки NAT ====== Выберите пункт меню ‘Network’ и в нем строку ‘Firewall’(IPv4) или ‘IPv6 Firewall’. **{{настройка_маршрутизатора_br104_Image_51.png}}** Если маршрутизатор расположен на периметре сети, сетевой экран должен быть обязательно включен. Сетевой экран можно выключить на устройствах, используемых исключительно внутри безопасной сети. Если сетевой экран включен, то все интерфейсы маршрутизатора должны принадлежать какой-нибудь зоне. В противном случае трафик таких интерфейсов будет отбрасываться. **{{настройка_маршрутизатора_br104_Image_52.png}}** Настройки сетевого экрана любой зоны имеют три секции с правилами: - Первая секция описывает поведение экрана для входящего трафика зоны. Эти правила разрешают или запрещают трафик в зависимости от заданных TCP/UDP портов и/или IP адресов/подсетей приемника или источника. - Вторая секция включает правила проброса портов (Port forwarding) для входящего трафика на IP адреса внутри сети. - Третья секция реализует правила NAT(на базе источника). NAT (Network address translation) нужен для передачи IP-пакетов локального источника по сети Интернет, заменяя локальный адрес на публичный IP, маршрутизируемый в сети Интернет. **{{настройка_маршрутизатора_br104_Image_53.png}}** ====== Настройка Port Forwarding ====== В обратном направлении действует Port Forwarding или PAT (Port Address Translation), который используется для доступа к локальным IP-адресам из Интернет. Наши устройства реализуют PAT тем же системным механизмом, что реализует и сетевой экран. В случае port forwarding настройки правил имеют следующий вид: - Протокол может быть TCP или UDP. - ‘External IP’ это адрес, запрашиваемый из Интернет. Пользователь может его не указывать, тогда запрос на любой адрес будет попадать под это правило. - ‘External Port’ это порт, запрашиваемый из Интернет. В общем случае он может быть случайным, тогда надо это поле в правиле не заполнять. - ‘Internal address’ это IP адрес из локальной сети, который привязан правилом к внешнему адресу WAN в целях доступности из Интернет. - ‘Internal port’ это порт приложения локального сервера, на который внешний запрос и будет отправлен. Чаще всего это популярные порты TCP типа 443 для SSL. - ‘Description’ любое понятное описание правила, объясняющее его суть и отличающее его от других правил. {{настройка_маршрутизатора_br104_Image_54.png}} ====== Настройка агента TR069 ====== Пользователю следует из меню ‘System’ выбрать строку ‘TR069 agent’. {{настройка_маршрутизатора_br104_Image_55.png}} В открывшемся диалоге пользователь должен задать параметры TR069 ACS сервера, как того требует администратор этого сервера. {{настройка_маршрутизатора_br104_Image_56.png}} После сохранения настроек маршрутизатор нужно перегрузить. Для этого пользователь может воспользоваться меню ‘Utilities’ и пунктом ‘Reboot system’. ====== Балансировка нагрузки для двух Ethernet WAN портов ====== Первый Ethernet порт на маршрутизаторе это WAN порт по умолчанию. Чтоб создать дополнительный Ethernet WAN порт, пользователю нужно сделать небольшие изменения, а именно, сделать таговый порт с новым VLAN таким образом, чтобы устройство могло оперировать портами, логически разделенными на VLAN-ы. Другими словами пользователь должен изолировать любой из LAN портов в новом VLAN-е, чтобы тот стал WAN портом. ===== Настройка VLAN метки ===== Картинка ниже показывает умалчиваемые настройки встроенного коммутатора. Пользователь может найти их в меню ‘System->Ethernet Switch Management’. {{настройка_маршрутизатора_br104_Image_57.png}} Чтоб создать новый Ethernet WAN интерфейс, пользователь вносит изменения, которые показаны ниже. Номер “3” в поле VLAN ID для Port 1 ( Физически это второй порт на маршрутизаторе слева направо). Внимание! *** VLAN здесь означают так называемые VLAN на основе портов. Чтоб оперировать VLAN 802.11q, пользователь должен создать интерфейсы следующего уровня, например, eth0.3.20 для dot11.q VLAN20. *** {{настройка_маршрутизатора_br104_Image_58.png}} Для этого надо открыть ‘Network->Interfaces’, промотать до конца списка, найти поле для нового интерфейса, как показано на следующей картинке. Ввести ‘eth0.3’ в поле имени создаваемого интерфейса и нажать ‘New’. Откроется страница со свойствами интерфейса eth0.3. {{настройка_маршрутизатора_br104_Image_59.png}} Отметьте опцию ‘Enable’ в верхнем правом углу. Так же убедитесь на вкладке ‘Additional’, что интерфейс eth0.3 добавлен в зону ‘WAN’. {{настройка_маршрутизатора_br104_Image_60.png}} Перейдите на вкладку ‘IP Setting’, задайте IP адрес и маску сети. {{настройка_маршрутизатора_br104_Image_61.png}} ===== Настройки зон ===== В пункте ‘Network->Zones’ пользователь увидит следующее (имена интерфейсов могут быть другими). {{настройка_маршрутизатора_br104_Image_62.png}} В данном примере пользователю следует проверить вновь созданный eth0.3, входит ли он в зону WAN. Если нет, то пользователь должен перетащить eth0.3 в WAN, а затем нажать ‘Save’. ===== Балансировка нагрузки ===== В случае двух WAN портов необходимо настраивать общий DNS, для этого на каждом из WAN интерфейсов нужно отметить опцию ‘Do not use peer DNS’. Как уже объяснялось, системный DNS демон может работать только с одним набором настроек DNS, поэтому настройки DNS должны быть определены глобально на маршрутизаторе и выключены на каждом из WAN интерфейсов. Картинка для первого WAN eth0.2: {{настройка_маршрутизатора_br104_Image_63.png}} Картинка для второго WAN eth0.3: {{настройка_маршрутизатора_br104_Image_64.jpg}} ===== Настройка общего DNS ===== Выберите пункт меню ‘Services->Domain name resolution’ и далее вкладку ‘DNS resolver settings’. Введите адрес доступного DNS сервера. {{настройка_маршрутизатора_br104_Image_65.png}} Балансировка нагрузки в терминах NETSHe называется ‘Multipath Routing’. Найдите одноименный пункт меню в меню ‘Routes’ и проделайте следующее: - Включите ‘Multipath Routing’, для этого выберите одноименную опцию и ‘Load balance’ под ней. - Слева на странице выберите eth0.2 и eth0.3 для включения балансировки между ними. - Умалчиваемое значение 0 означает балансировку 50/50. Эту величину можно изменить по усмотрению пользователя. - Сохраните изменения. {{настройка_маршрутизатора_br104_Image_66.png}} ====== Отказоустойчивость при двух WAN (основной – резервный) ====== Предположим, у пользователя имеется: - PPPoE WAN соединение на местного провайдера Интернет, которое получает частный IP на PPPoE интерфейс. - Сим-карта с Интернет подключением в качестве резервного WAN. Конфигурация с основным и резервным подключением может быть настроена и проверена следующими шагами: ===== Настройки PPPoE интерфейса ===== \\ У PPPoE WAN интерфейса откройте вкладку ‘Base Settings’, проверьте опцию ‘Do not use Peer DNS’ и, если что-то изменили, нажмите кнопку ‘Save’. {{настройка_маршрутизатора_br104_Image_67.png}} ===== Настройка WWAN0 (сим-карты) ===== Откройте параметры интерфейса ‘wwan0’ на вкладке ‘Base Settings’, \\ выделите опции ‘Use this interface as Backup’ и ‘Do not use peer DNS’, сохраните настройки. {{настройка_маршрутизатора_br104_Image_68.png}} ===== Настройка общего DNS для двух WAN ===== Откройте меню ‘Services->Domain name resolution’ на вкладке ‘DNS resolving settings’ или с иконки на панели инструментов, как это показано на картинке ниже. Задайте адрес DNS сервера, сохраните настройки. {{настройка_маршрутизатора_br104_Image_69.png}} Проверьте, оба ли WAN соединения подняты, как показано на картинке: {{настройка_маршрутизатора_br104_Image_70.png}} Когда оба интерфейса WAN имеют назначенные IP адреса, проверьте соединение с Интернет серфингом или откройте почту. Отключите основное соединение, подождите, пока соединение перестроится на резервный WAN. Время переключения зависит от типа порта и используемого типа соединения (обычно около полутора минут). Внимание! *** Если интерфейсы не настроены как основной и резервный, и оба работают, то в случае падения одного из них, второй продолжает работать, но с большой задержкой в 4-5 секунд в зависимости от скорости соединения. *** ====== URL фильтрация ====== Механизм URL фильтрации в устройствах с ОС NETSHe работает согласно следующим принципам: - На странице URL фильтрации пользователь увидит две секции. Верхняя секция предназначена для HTTPS** **трафика (Blacklist), нижняя секция – для HTTP (Blacklist или Whitelist). - HTTPS трафик может только блокироваться по «черному» списку. Поскольку HTTPS передает шифрованные данные, он не может быть досмотрен напрямую. Это требует высокопроизводительное оборудование для выполнения расшифровки, и только после этого пакеты могут блокироваться. Однако маршрутизатор может блокировать (blacklist) трафик по URL. Что бы пользователь ни указал в данной секции, это будет блокироваться, а остальной трафик пропускаться. - HTTP трафик пропускается по «белому» списку, если не выбрана опция ’URL filtering policy’ и заполнен список URL. Все упомянутое в этом списке будет пропускаться, а остальной трафик будет блокироваться. - HTTP трафик будет фильтроваться по «черному» списку, если опция ’URL filtering policy’ выбрана и список URL определен. Все, что там указано, будет заблокировано. Все поисковые системы и прокси не могут быть заблокированы полностью, какие-то из них будут заблокированы, а какие-то успешно проходить. По той же самой причине. Этот тип сайтов нужно тщательно инспектировать, применяя базы данных сигнатур, а для этого требуется производительно оборудование. Настройка URL фильтрации включает в себя несколько шагов: - Нужно включить HTTP Proxy, - Нужно включить фильтрацию URL, - Задать URL списки. Включить HTTP Proxy В процессе фильтрации используются функции встроенного в маршрутизатор сервиса прокси. Пользователям не нужно указывать настройки этого прокси на своих устройствах. {{настройка_маршрутизатора_br104_Image_71.png}} Включите опцию ‘Enable service’ сверху и выберите подходящий WAN интерфейс (для сотовых подключений имя интерфейса ‘wwan0’), выберите ‘br0’ для прослушивания и нажмите ‘Save’. {{настройка_маршрутизатора_br104_Image_72.png}} ===== Параметры URL фильтров ===== Выберите пункт ‘Services’ и в нем строку ‘URL and domain filtering’. {{настройка_маршрутизатора_br104_Image_73.png}} ===== HTTPS «черный» или «белый» списки ===== {{настройка_маршрутизатора_br104_Image_74.png}} Результат показан ниже: сайты по «белому» списку открываются, а остальные блокируются. {{настройка_маршрутизатора_br104_Image_75.png}} ====== QoS и Bandwidth политики ====== Следующий пример демонстрирует ограничение полосы пропускания для пользователей. В нем будет ограничена подсеть LAN или отдельные адреса LAN в использовании Интернет. ===== Создание политики QoS ===== Выберите пункт меню ‘Network->Bandwidth Management and Traffic Prioritization’. {{настройка_маршрутизатора_br104_Image_76.png}} Затем выберите вкладку с интерфейсом ‘br0‘, соответствующую LAN подсети, и сделайте следующие действия: - включите QoS, - (в данном случае) настройте значения upload/download равными 1200 Kbps, - Назначьте destination subnet адрес и маску, соответствующие для ‘br0’, в правиле QoS, - Задайте CIR как максимально разрешенный для интерфейса. Внимание! *** Правила QoS применимы только для исходящего трафика. Правила QoS третьего уровня (L3) оперируют IP-адресами источника и назначения. Правила QoS второго уровня (L2) оперируют номерами IP протоколов, номерами VLAN и MAC адресами. *** {{настройка_маршрутизатора_br104_Image_77.png}} Перейдите на вкладку ‘br1’ (в данном примере это вторая подсеть LAN). Повторите действия как для ‘br0’ и выставьте CIR равным 800 Kbps. Установите IP адрес интерфейса ‘br1’ как адрес назначения. {{настройка_маршрутизатора_br104_Image_78.png}} Затем перейдите на вкладку ‘PPPoE’ (WAN). Включите QoS на интерфейсе PPPoE и создайте два потока для двух LAN сетей как показано на картинке ниже: {{настройка_маршрутизатора_br104_Image_79.png}} ===== Правила сетевого экрана для изолирования трафика двух LAN ===== Сетевой экран нужен, чтобы изолировать трафик одной LAN подсети от другой. Настройте их в пункте ‘Network->Firewall’ на вкладке LAN. {{настройка_маршрутизатора_br104_Image_80.png}} Перегрузите маршрутизатор через пункт ‘Utilities->Reboot system’. После перезагрузки проверьте скорость скачивания/загрузки для обеих LAN сетей. {{настройка_маршрутизатора_br104_Image_81.png}} ====== Настройка нескольких беспроводных интерфейсов (SSID) ====== Внимание! *** Маршрутизатор поддерживает до 4х физических радиомодулей. ‘wlan0’ соответствует первому физическому радио, ‘wlan1’ – второму и т.д. Каждый радиомодуль поддерживает до 4х интерфейсов. Учитывая четыре радиомодуля, нумерация интерфейсов одного модуля должна быть через 4, т.е. ‘wlan0’,’wlan4’,’wlan8’,’wlan12’ для первого модуля, ‘wlan1’,’wlan5’,’wlan9’,’wlan13’ для второго и т.д. *** Физическое радио имеет ряд ограничений: - Одно устройство не может быть WDS точкой доступа и WDS клиентом. - На маршрутизаторе не может быть более одного AD-Hoc. - Все интерфейсы одного радиомодуля должны работать на одной частоте (канале). Если пользователь имеет разнородный и сложный Wi-Fi проект, то крайне рекомендовано узнать полный список подобных ограничений от службы поддержки ООО «Нетше лаб». ‘wlan0’ беспроводной LAN интерфейс по умолчанию. Ему соответствует первый SSID по умолчанию. Помня правила нумерации, следующий новый интерфейс будет ‘wlan4’. Номера каналов, их ширина и т.д. должны быть одинаковыми для всех SSID одного модуля. Но можно таким интерфейсам задавать разные типы шифрования и разные пароли для каждого SSID. ===== Создание нового беспроводного интерфейса ===== На домашней странице найдите пункт ‘Network->Interface’, прокрутите страницу вниз. Введите имя ‘wlan4’ и нажмите рядом кнопку ‘New’. {{настройка_маршрутизатора_br104_Image_82.png}} ===== Задание нового SSID ===== Откроется диалог параметров беспроводного интерфейса. Перейдите на вкладку ‘Wireless’ и задайте режим, SSID, выберите модуляцию и канал в соответствующих полях, как показано на картинке ниже: {{настройка_маршрутизатора_br104_Image_83.png}} Перейдите на вкладку ‘Wireless security’ и назначьте тип шифрования и пароль, нажмите на кнопку ‘Save’, по окончанию всех настроек перезагрузите маршрутизатор. {{настройка_маршрутизатора_br104_Image_84.png}} Когда маршрутизатор перезагрузится, пользователь сможет увидеть новый интерфейс в списке интерфейсов на домашней странице. {{настройка_маршрутизатора_br104_Image_85.png}} ====== Как обновить встроенное ПО ====== Выберите меню ‘Utilities’ и строку ‘Upgrade firmware’. {{настройка_маршрутизатора_br104_Image_86.png}} На следующем диалоге щелкните на кнопке ‘Browse’ и в диалоге открытия файла выберите *.bin файл с локального компьютера или из папки в сетевом окружении. {{настройка_маршрутизатора_br104_Image_87.png}} Как только подходящий файл выбран, он будет показан в диалоге. Щелкните на кнопке ‘Upload and write’ для запуска процесса обновления. {{настройка_маршрутизатора_br104_Image_88.png}} Файл *.bin будет загружен на флэш-карту маршрутизатора. Система проверит MD5 хэш файла и сравнит существующую и новую версии/билды. Если версия/билд нового программного обеспечения старше существующих, и программное обеспечение соответствует модели устройства, то процесс обновления будет запущен, после него маршрутизатор перезапустится. - Обновление и перезагрузка займут около 5 минут. Не нужно выключать питание маршрутизатора и не нужно форсировать соединение до истечения этого времени. - Процесс обновления встроенного ПО не стирает конфигурацию устройства. После перезагрузки пользователь сможет присоединиться к маршрутизатору со старыми учетными данными на прежний IP-адрес. ====== Сохранение и восстановление конфигурации ====== Выберите пункт меню ‘Utilities->Backup/Restore->Download current config’ **{{настройка_маршрутизатора_br104_Image_89.png}}** Щелкните ‘Yes’ для загрузки конфигурации через браузер. {{настройка_маршрутизатора_br104_Image_90.png}} __Index____.____php__ файл будет загружен в папку для загрузок, заданную в браузере. Потом пользователь может переименовать файл конфигурации, дав понятное имя с указанием даты, чтоб потом можно было этот файл распознать среди многих таких же в процессе эксплуатации. После того, как файл получен, можно нажать ‘No’ для возврата на домашнюю страницу. Аналогично восстановить сохраненную ранее конфигурацию можно через пункт меню ‘Utilities->Backup/Restore->Upload new config’. {{настройка_маршрутизатора_br104_Image_91.png}} {{настройка_маршрутизатора_br104_Image_92.png}} После выбора файла следует нажать ‘Upload’, а затем ‘Yes’ на предложение перезагрузить маршрутизатор. {{настройка_маршрутизатора_br104_Image_93.png}} ====== Сброс к заводским настройкам ====== Пользователь может вернуть заводские настройки маршрутизатору, нажав кнопочку ‘RST’ на корпусе и отпустив ее после мигания индикаторов. Возможно, для нажатия потребуется острый предмет типа иголки. Так же пользователь может сбросить настройки маршрутизатору через Web GUI, выбрав пункт меню ‘Utilities->Backup/Restore->Factory default settings’. {{настройка_маршрутизатора_br104_Image_94.png}} Щелкнув кнопку ‘Yes’ для запуска инициализации. {{настройка_маршрутизатора_br104_Image_95.png}} Около трех минут займет сброс и перезагрузка. После успешной загрузки маршрутизатора пользователь сможет зайти уже на IP адрес, с именем и паролем по умолчанию. ====== Использование ping из веб-интерфейса ====== Выберите пункт ‘Utilities->Ping host’. {{настройка_маршрутизатора_br104_Image_96.png}} Введите IP-адрес или имя хоста назначения ICMP пакетов и щелкните кнопку ‘Go!’. Результат ping будет отображаться под диалогом, как на картинке снизу, результат выделен желтым. {{настройка_маршрутизатора_br104_Image_97.png}} ====== Настройки Telnet ====== Откройте пункт меню ‘System->Base setting’. {{настройка_маршрутизатора_br104_Image_98.png}} Пользователю нужно перейти на вкладку ‘Remote access’, разрешить telnet в соответствующей секции и задать порт 23 или любой желаемый. Telnet и SSH доступ принимают root/root в качестве логина и пароля по умолчанию. {{настройка_маршрутизатора_br104_Image_99.png}} ====== Удаленный доступ со стороны WAN интерфейса\\ ====== Выберите пункт меню ‘System’, а в нем строку ‘Base settings’. {{настройка_маршрутизатора_br104_Image_100.png}} Когда откроется страница ‘Base setting’, пользователю следует выбрать вкладку ‘Remote Setting’. На вкладке выбрать опцию ‘All interfaces’ и щелкнуть кнопку ‘Save’ внизу. {{настройка_маршрутизатора_br104_Image_101.png}} Внимание! *** Из соображений безопасности удаленный доступ закрыт по умолчанию со стороны WAN маршрутизатора. С настройками, показанными выше, устройство будет доступно с любой стороны. Рекомендовано это делать с осторожностью. Не следует забывать о настройках сетевого экрана для приема соединений удаленного доступа на все нужные интерфейсы. *** ====== Настройки Syslog ====== По умолчанию журнал syslog хранится локально в @/var/log/messages. Для того, чтобы настроить хранение на удаленном сервере, следует перейти в ‘System->Base settings’. **{{настройка_маршрутизатора_br104_Image_102.png}}** Выбрать вкладку ‘Basic settings’ и заменить путь для хранения путем с IP-адресом внешнего сервера, как показано ниже. {{настройка_маршрутизатора_br104_Image_103.png}} Содержимое журналов можно посмотреть в пунктах меню ‘Diagnostic->Log->System’ или ‘Hardware’. Оно выглядит примерно, как показано на этом рисунке. {{настройка_маршрутизатора_br104_Image_104.jpg}} ====== Локальные пользователи ====== \\ Эти учетные записи пользователей применяются для аутентификации в процессе управления устройством или мониторинга. Чтоб найти список пользователей, нужно пройти в пункт меню ‘System->Users’. {{настройка_маршрутизатора_br104_Image_105.png}} Откроется список учетных записей пользователей. Чтоб создать новую запись, нужно нажать на иконку с зеленым плюсиком. {{настройка_маршрутизатора_br104_Image_106.png}} Что создать пользователя с ограниченными правами, достаточно указать только имя и пароль. {{настройка_маршрутизатора_br104_Image_107.png}} Список пользователей по умолчанию показан ниже: {{настройка_маршрутизатора_br104_Image_108.png}} Для того, чтобы изменить пароль пользователя, нужно щелкнуть на иконку в виде пера справа от имени пользователя, заменить пароль и сохранить изменения. Чтоб удалить учетную запись пользователя, необходимо щелкнуть по красному крестику справа от имени пользователя. Внимание! *** Никогда не пытайтесь удалить системные учетные записи ‘superuser’ и ‘root’. Да система и не позволит этого сделать. *** ====== Расписание задач устройства ====== \\ Устройство может выполнять определенные запланированные действия. Расписание этих действий можно найти в пункте меню ‘System->Schedule’. {{настройка_маршрутизатора_br104_Image_109.png}} Обычное расписание выглядит как список на следующей картинке: {{настройка_маршрутизатора_br104_Image_110.png}} Формат строк расписания описан тут же на странице настройки расписания. Любая задача может быть выполнена либо с интервалом, либо по часам/минутам. ====== Регистрация на NMMS ====== \\ Находится в меню ‘System->Network management system integration’. {{настройка_маршрутизатора_br104_Image_111.jpeg}} ‘Network management system’ меню включает настройки подключения к NMMS, чтобы устройство было доступно для централизованного контроля и мониторинга. Регистрация на NMMS требует указать имя и пароль. Пользователь может прочитать руководство ‘Quick Administration Guide NMMS’ для понимания работы в среде NMMS. {{настройка_маршрутизатора_br104_Image_112.png}} ====== Заключение ====== \\ Маршрутизатор BR104 содержит довольно большой набор свойств, которые в процессе комбинирования превращаются в огромное число вариантов использования маршрутизатора. Все эти варианты сложно описать в одном руководстве, а еще сложнее будет такое руководство читать широкому кругу пользователей. Поэтому специалисты ООО «Нетше лаб» всегда готовы предложить решение, максимально соответствующее вашей текущей задаче. Наши координаты вы можете найти на сайте [[http://www.netshe-lab.ru|http://www.netshe-lab.ru]]