Содержание
NETSHe BR104 Configuration guide RU
цветной прямоугольник с графическим текстомРуководство
Маршрутизатор BR104 |
Руководство по настройке |
Версия 3.0 февраль, 2020 |
Оглавление
Введение
Маршрутизатор BR104 с возможностью передачи данных через сотовые сети связи относится к типу полноценных маршрутизаторов с широким набором функций. Данное руководство охватывает только часть из них, а именно: некоторые аспекты сетевых протоколов, маршрутизацию и связности сетей на разных уровнях, включая беспроводные сети и сети операторов подвижной связи, и то, как эти функции реализованы во встроенном программном обеспечении (firmware) маршрутизатора.
Примеры, рассматриваемые по ходу документа, относятся к типовым случаям применения маршрутизаторов. Однако, если необходимо реализовать сложную или нетипичную схему с применением маршрутизаторов BR104, мы просим обращаться в службу поддержки ООО «Нетше лаб» на сайте http://www.netshe-lab.ru
Внимание!
* Этот документ охватывает так же совместимые модели оборудования:BR104, BR104-IoT, Ap145, AP147-2, MiROUTER. При чем этот список постоянно увеличивается за счет новых моделей. Также изложенное в этом руководстве относится к использованию операционной системы NETSHe версий 5.2 и 5.3. *
Внимание!
* IPsec описывается в отдельном руководстве ‘BR104 IPsec Configuration and Troubleshooting guide’. *
Доступ к устройству
При первом включении маршрутизатора пользователь может получить доступ к управлению маршрутизатором со следующими именами и паролями:
IP-адрес по умолчанию192.168.1.1
URL веб-интерфейсаhttp://192.168.1.1
http://192.168.1.1:5556 (для NMMS совместимых версий)
Умалчиваемое имяsuperuser / abC123dEf_(административные права)
Пользователя и пароль root / root(системная учетная запись)
Большинство современных браузеров Firefox, Chrome, IE11 и т.д. поддерживают веб-доступ к управлению маршрутизатором.
Доступ из командной строки
CLI (доступ из командной строки) требуется для редко употребимых команд, используется при решении проблем и получения информации о состоянии компонентов системы.
- По умолчанию используется протокол SSH (TCP порт 22) для доступа к интерфейсу командной строки.
- Telnet по умолчанию отключен. Пользователь может его включить, эта процедура будет описана в соответствующем пункте данного руководства.
- Можно использовать стандартные приложения типа Putty или Secure SSH.
- Доступ из командной строки требует аутентификации с системной учетной записью и паролем по умолчанию root / root.
Мастер установки
Внимание!
* Мастер установки помогает настроить WAN, LAN и прочие интерфейсы. Пользователь может настроить единственный WAN порт или два WAN (основной и резервный) по отказоустойчивому сценарию. Шаги мастера могут создаваться под конкретный проект и содержать настройки для разных компонентов. Мастер может автоматизировать настройки PPPoE, L2TP, PPTP, Cellular и Ethernet в качестве подключения первичного WAN и Cellular в качестве резервного WAN. Те же самые настройки можно произвести, отказавшись от мастера, и выполнить их вручную с помощью веб-интерфейса. Такой способ настройки требует больше внимания пользователя на разные детали, которые будут описаны по ходу этого документа. *
При первоначальной загрузке маршрутизатора пользователю будет предложено пройти мастер настройки. Пользователь должен нажать ‘Yes’ и проследовать следующими шагами.
Если пользователь случайно пропустил предложение мастера, то он может вызвать мастер, нажав иконку с волшебной палочкой на панели инструментов.
Далее следует выбрать шаблон из выпадающего списка и нажать кнопку ‘Next’.
Конфигурация с единственным WAN интерфейсом
Шаг 1. Выберите ‘CELLULAR CONNECTION’ для настроек IPv4 соединения через сим-карту.
Шаг 2. Введите настройки APN, как того требует ваш оператор сотовой связи, и нажмите ‘NEXT’.
Если IPv6 доступно для настройки в сети оператора, то выберите опцию ‘Enable IPv6 over PPP link’.
Конфигурация с двумя подключениями WAN
Шаг 1. Выберите ‘PPPOE CONNECTION’.
Шаг 2. Пользователю следует заполнить параметры PPPoE в соответствии с требованиями провайдера. MAC-адрес является опциональным параметром и может учитываться, если пользователю уже сопоставлен какой-то MAC-адрес в сети провайдера, и он желает возобновить это соединение на новом маршрутизаторе.
Шаг 2.a. Щелкните на ‘CONFIGURE BACKUP’.
Шаг 2.b. Введите параметры APN и нажмите ‘NEXT’.
Шаг 3. На следующем шаге щелкните ‘NEXT’, ничего не меняя.
Шаг 4. Выберите ‘NO’, если нет необходимости менять настройки DNS, получаемые от провайдера.
ИЛИ Шаг 4. Выберите ‘YES’ для того, чтобы задать настройки DNS вручную.
Внимание!
* Задание параметров DNS обязательно в случае использования двух WAN интерфейсов, основного и резервного, на предыдущих шагах. В противном случае WAN интерфейс окажется поднятым, но пользователи не смогут получить доступ в Интернет из своих браузеров. Потому что при двух WAN соединениях системный DNS демон не сможет работать с двойными настройками, полученными от двух источников. Поэтому важно настроить DNS глобально на устройстве. *
Шаг 5. Введите широковещательное имя для беспроводного доступа (SSID) и пароль для аутентификации пользователей Wi-Fi, затем щелкните ‘NEXT’.
Внимание!
* Если пользователь желает отключить Wi-Fi в любом из диапазонов 5гГц/2.4гГц, то ему необходимо отметить данную опцию вверху страницы интерфейса ‘wlan0’/’wlan1’ соответственно. *
Шаг 6.Настройте адрес и подсеть для LAN интерфейса, по завершению щелкните ‘NEXT’. Для того, чтоб отключить LAN DHCP-сервер, уберите галочку, показанную на следующей картинке.
Внимание!
* В этом случае все пользователи должны настраивать адреса своих устройств вручную, задавая адреса из той же подсети, что и LAN интерфейс маршрутизатора. Либо в данной подсети должен быть другой рабочий DHCP-сервер. *
или Шаг 6.1. Если пользователь выбрал IPv6 на Шаг 2.1 выше, то следующий шаг появится для ввода адреса LAN IPv6 и DHCPv6 сервера.
Шаг 7. Щелкните ‘Next’ на предложение настроить DM VPN Spoke, чтоб пропустить эти настройки.
Шаг 8. На этом шаге, если пользователь хочет настроить IPsec туннель, ему следует выбрать ‘Yes, I want to …’. В противном случае пользователь должен щелкнуть на ‘Next’, чтобы пропустить IPsec.
Если пользователь выбирает ‘Yes, I Want to………’, следующий диалог будет показан. Параметры должны соответствовать другой стороне туннеля.
Внимание!
* Пользователь должен проверить параметры IPsec средствами WebUI позднее, потому что параметры политики (интерфейса) гораздо шире, чем их предлагает мастер первоначальной настройки. * Пользователь может найти подробную информацию про IPsec в руководстве ‘BR104 IPsec Configuration and Troubleshooting guide’.
* Шаг 9. Пользователь может изменить имя маршрутизатора с умалчиваемого ‘NETSHe’ на что-нибудь ему удобное. Также пользователь может установить пароли для учетных записей ‘root’ и ‘superuser’, не забывая про требование сложности. Полная перезагрузка маршрутизатора займет около двух с половиной минут. Пользователь должен подождать, пока страница автоматически перейдет на домашнюю страницу веб-интерфейса (WebUI). * Если автоматического перенаправления нет или страница не обновляется, следует проверить IP-адрес маршрутизатора и попробовать порт 5556 TCP.
* ====== Домашняя страница ====== После успешной перезагрузки устройства, пользователь может подключиться к WebUI, используя логин и пароль, введённые во время мастера настройки. После успешной аутентификации откроется домашняя страница, которая содержит: - Информацию о системе и время с последнего включения, - Счетчики потребления памяти, процессора, дисков, - Все настроенные и недонастроенные интерфейсы. * В зависимости от установленного в маршрутизатор модема тип интерфейса сотового подключения может быть ‘wwan0’ или ‘cellular’, в данном руководстве для примера интерфейс ‘wwan0’ соответствует IPv4 сотовому соединению, а интерфейс ‘cellular’ предназначен для Ipv6.
* ===== Проверьте статус сотового подключения IPv4 ===== На домашней странице нужно найти интерфейс ‘wwan0’, это будет IPv4 сотовое соединение. Пользователю нужно проверить у этого интерфейса: - IPv4 адрес, назначенный оператором сотовой связи, - Статус регистрации сим-карты, - Привязку к текущей сети (2G/3G/4G), - Силу сигнала базовой станции. ===== Проверьте статус сотового подключения IPv6 ===== Интерфейс с именем ‘cellular’ в данном примере является интерфейсом IPv6 для сотовых соединений. На следующей картинке выделены детали подключения: Проверьте соединение PPPoE Интерфейс ‘pppoe’ на домашней странице может означать туннель к агенту сервера NMMS (Network Management and Monitoring server). Данный агент применяется как вспомогательное устройство для связи NMMS и контролируемых устройств. ===== Проверьте статус IPsec туннелей ===== Если IPsec туннель поднят, статус интерфейса будет показан с внешними адресами обеих сторон туннеля и протоколом ESP. Если соединение не поднято, не сконфигурировано или сконфигурировано ошибочно, статус туннеля будет показан как ‘Unknown’. В этом случае пользователю следует обратиться к руководству ‘BR104 IPsec Configuration and Troubleshooting guide’ для решения проблемы. ===== Проверьте маршрут по умолчанию ===== Откройте меню ‘Diagnostic’ и выберите опцию ‘Routes’ для того, чтобы увидеть таблицу маршрутизации. Маршрут с назначением ‘0.0.0.0’ называется ‘default route’,т.е. маршрут по умолчанию. Внимание! * ‘Backup route’, т.е. резервный маршрут не показывается в графическом интерфейсе. Его можно увидеть в выводе команды CLI:
Root@NETSHe# ip route show table default
* Настройка интерфейсов Внимание! *Пользователь должен проверить или заполнить все вкладки свойств интерфейса, затем сохранить настройки и перезагрузить маршрутизатор. Однако, если предполагается внести изменения нескольким интерфейсам и/или сервисам, то следует все изменения выполнить (без нажатий опции ‘restart the service’), а затем перегрузить маршрутизатор для применения всех изменений в конфигурации.
*
Вид диалога параметров интерфейсов выглядит по-разному в зависимости от типа интерфейса. Обычно диалог для полноценного интерфейса имеет три вкладки:
1) ‘Base Settings’ вкладка, где предусмотрены общие параметры:
- Опция включения/отключения интерфейса.
- Опция для установки интерфейса как резервный к другому WAN интерфейсу.
- Включение/отключение использования DNS от провайдера.
( Опция отключения нужна в случае основного и резервного WAN.
Поскольку разные провайдеры используют разные адреса DNS, а системный демон DNS не может оперировать с двумя наборами адресов одновременно, то рекомендуется отключить использование DNS обоих провайдеров и задать вручную свои настройки DNS.)
- Опция включения IP passthrough mode на интерфейсе. Нужна в случае, когда надо пробросить адрес от провайдера на внутреннее устройство в своей сети.
- Список методов аутентификации (PAP/CHAP/AUTO).
- Варианты для ограничения стандартов сотового соединения AUTO/2G/3D/4G.
2) ‘Additional’ вкладка предназначена для привязывания интерфейса к зонам. Если интерфейс не привязан к зоне, часть сервисов на нем будет недоступна.
3) Вкладка ‘Routes through interface’ это наиболее короткий способ создать новый статический маршрут в таблице маршрутизации устройства. Вопросы маршрутизации рассматриваются подробнее в другом разделе данного руководства.
Когда все настройки интерфейса заданы, следует нажать кнопку ‘Save’ и перезагрузить маршрутизатор, для того чтоб измененная конфигурация применилась. Для этого надо открыть меню ‘Utilities’ и выбрать‘Reboot System’, далее выбрать ‘Yes’ на запрос перезагрузки устройства.
Внимание!
* Все интерфейсы должны именоваться в соответствии с правилами, чтобы пользователям было понятно назначение интерфейса по его имени. Например, ethX соответствует физическому Ethernet порту, а имена pppoe/l2tp/pptp – соответствующим сервисам. Интерфейсы с ‘.auto’ в имени создаются системой для сервисных нужд и не могут быть изменены пользователями.
* ===== Сим-карта IPv4, интерфейс wwan0 ===== Выберите интерфейс ‘wwan0’ на домашней странице, как это показано на картинке выше, откроются параметры интерфейса. На вкладке ‘Base Settings’ можно изменить параметры сим-карты, а так же включить/отключить сам интерфейс. На вкладке ‘Additional’ можно назначить интерфейс в ‘WAN’ зону. ===== Сим-карта IPv6, интерфейс CELLULAR ===== Внимание * Конфигурирование IPv6 интерфейса вручную потребует дополнительной настройки DHCPv6 и определения правил NAT на сетевом экране IPv6.
*
Для того, чтобы создать IPv6 интерфейс вручную, пользователю следует внизу домашней страницы найти поле ‘Input name of interface to add’и ввести туда имя ‘cellular’ (без кавычек), щелкнуть кнопку ‘New’.
После того, как откроются настройки интерфейса, на вкладке ‘Base settings’ ввести требуемые настройки.
Затем на вкладке ‘Additional’ назначить интерфейс в зону WAN, после чего нажать кнопку ‘Save’.
===== PPPoE IPv4 интерфейс =====
Для того, чтобы вручную создать интерфейс PPPoE, пользователь должен заполнить поле ‘Input name of interface to add’ в конце домашней страницы именем ‘pppoe’ (без кавычек) и нажать ‘New’.
Далее на открывшейся вкладке ‘Base settings’ следует заполнить параметры подключения, как того требует провайдер.
Далее на вкладке ‘Additional’ пользователь должен добавить интерфейс в ‘WAN’ зону и нажать кнопку ‘Save’, чтоб сохранить настройки.
===== Интерфейс локальной сети br0 =====
Пользователь должен найти интерфейс ‘br0’ на домашней странице или в пункте меню ‘Network→Interfaces’.
Далее пользователь должен сделать следующее:
- Щелкнуть по имени интерфейса ‘br0’, чтоб изменить настройки.
- Убедиться, что интерфейс включен, проверив соответствующую опцию.
- Отредактировать IP4 или IPv6 адрес и маску сети.
- Сохранить настройки кнопкой ‘Save’.
- Перезагрузить маршрутизатор, чтоб настройки вступили в силу.
===== Настройка Wi-Fi =====
Пользователь может настроить Wi-Fi посредством настройки интерфейсов ‘wlan0’ и ‘wlan1’. В зависимости от firmware устройство может иметь двух диапазонный Wi-Fi и ‘wlan1’ интерфейс соответственно. Рассмотрим настройки 5гГц Wi-Fi для примера.
Пользователь опцией ‘enable interface’ может включить Wi-Fi и задать имя беспроводной сети (SSID), а так же WPA2 пароль для защиты.
====== Настройки DNS ======
Пользователю следует воспользоваться пунктом меню ‘Services→Domain name resolution’ как показано ниже.
Нужно выбрать вкладку ‘DNS Resolver settings’, ввести IP адрес DNS сервера в поле ‘IP-Address of ….’ и сохранить настройки кнопкой ’Save’.
====== Настройка DHCP сервера IPv4 / IPv6 ======
Внимание!
* Изменения в настройках DHCP следует производить, принимая во внимание IP-адрес интерфейса. Следует убедиться, что адрес интерфейса ‘br0’ из того же самого диапазона, что и DHCP пул для выдачи адресов клиентам. В противном случае эта нестыковка может не дать желаемого от DHCP результата.
* Выберите ‘Services→DHCP Settings’ Картинка ниже показывает параметры, которые можно задать: - DHCP пул адресов IPv4 / IPv6, - Опция включения/отключения DHCP сервера, - Время аренды адресов, - Привязки MAC адресов или резервирования IP. ====== Добавление статических маршрутов ====== Выберите меню ‘Routes’, а в нем пункт ‘Static’. Щелкните на второй ‘+’, чтоб добавить статический маршрут. После нажатия ‘Save’ новый маршрут отразится в списке маршрутов, как показано ниже. Далее нажмите кнопку ‘Save’. Перегрузите маршрутизатор, чтоб применить маршрут. Перезагрузку можно выполнить через пункт меню ‘Utilities→Reboot system’. BR104 маршрутизатор поддерживает широкий набор функций маршрутизации, включая протоколы динамической маршрутизации: RIP, OSPF, BGP, а так же механизмы типа маршрутизации от источника (source routing) или маршрутизации на основе политик (policy base routing). Функции маршрутизации собраны в пункте меню ‘Routes’. Данный документ не сфокусирован на сетевых технологиях и их теории. В случае сложных применений или больших распределенных сетей пользователям следует проконсультироваться с техподдержкой ООО «Нетше лаб». ====== Сетевой экран и настройки NAT ====== Выберите пункт меню ‘Network’ и в нем строку ‘Firewall’(IPv4) или ‘IPv6 Firewall’. Если маршрутизатор расположен на периметре сети, сетевой экран должен быть обязательно включен. Сетевой экран можно выключить на устройствах, используемых исключительно внутри безопасной сети. Если сетевой экран включен, то все интерфейсы маршрутизатора должны принадлежать какой-нибудь зоне. В противном случае трафик таких интерфейсов будет отбрасываться. Настройки сетевого экрана любой зоны имеют три секции с правилами: - Первая секция описывает поведение экрана для входящего трафика зоны. Эти правила разрешают или запрещают трафик в зависимости от заданных TCP/UDP портов и/или IP адресов/подсетей приемника или источника. - Вторая секция включает правила проброса портов (Port forwarding) для входящего трафика на IP адреса внутри сети. - Третья секция реализует правила NAT(на базе источника). NAT (Network address translation) нужен для передачи IP-пакетов локального источника по сети Интернет, заменяя локальный адрес на публичный IP, маршрутизируемый в сети Интернет. ====== Настройка Port Forwarding ====== В обратном направлении действует Port Forwarding или PAT (Port Address Translation), который используется для доступа к локальным IP-адресам из Интернет. Наши устройства реализуют PAT тем же системным механизмом, что реализует и сетевой экран. В случае port forwarding настройки правил имеют следующий вид: - Протокол может быть TCP или UDP. - ‘External IP’ это адрес, запрашиваемый из Интернет. Пользователь может его не указывать, тогда запрос на любой адрес будет попадать под это правило. - ‘External Port’ это порт, запрашиваемый из Интернет. В общем случае он может быть случайным, тогда надо это поле в правиле не заполнять. - ‘Internal address’ это IP адрес из локальной сети, который привязан правилом к внешнему адресу WAN в целях доступности из Интернет. - ‘Internal port’ это порт приложения локального сервера, на который внешний запрос и будет отправлен. Чаще всего это популярные порты TCP типа 443 для SSL. - ‘Description’ любое понятное описание правила, объясняющее его суть и отличающее его от других правил. ====== Настройка агента TR069 ====== Пользователю следует из меню ‘System’ выбрать строку ‘TR069 agent’. В открывшемся диалоге пользователь должен задать параметры TR069 ACS сервера, как того требует администратор этого сервера. После сохранения настроек маршрутизатор нужно перегрузить. Для этого пользователь может воспользоваться меню ‘Utilities’ и пунктом ‘Reboot system’. ====== Балансировка нагрузки для двух Ethernet WAN портов ====== Первый Ethernet порт на маршрутизаторе это WAN порт по умолчанию. Чтоб создать дополнительный Ethernet WAN порт, пользователю нужно сделать небольшие изменения, а именно, сделать таговый порт с новым VLAN таким образом, чтобы устройство могло оперировать портами, логически разделенными на VLAN-ы. Другими словами пользователь должен изолировать любой из LAN портов в новом VLAN-е, чтобы тот стал WAN портом. ===== Настройка VLAN метки ===== Картинка ниже показывает умалчиваемые настройки встроенного коммутатора. Пользователь может найти их в меню ‘System→Ethernet Switch Management’. Чтоб создать новый Ethernet WAN интерфейс, пользователь вносит изменения, которые показаны ниже. Номер “3” в поле VLAN ID для Port 1 ( Физически это второй порт на маршрутизаторе слева направо). Внимание! * VLAN здесь означают так называемые VLAN на основе портов. Чтоб оперировать VLAN 802.11q, пользователь должен создать интерфейсы следующего уровня, например, eth0.3.20 для dot11.q VLAN20.
*
Для этого надо открыть ‘Network→Interfaces’, промотать до конца списка, найти поле для нового интерфейса, как показано на следующей картинке. Ввести ‘eth0.3’ в поле имени создаваемого интерфейса и нажать ‘New’. Откроется страница со свойствами интерфейса eth0.3.
Отметьте опцию ‘Enable’ в верхнем правом углу. Так же убедитесь на вкладке ‘Additional’, что интерфейс eth0.3 добавлен в зону ‘WAN’.
Перейдите на вкладку ‘IP Setting’, задайте IP адрес и маску сети.
===== Настройки зон =====
В пункте ‘Network→Zones’ пользователь увидит следующее (имена интерфейсов могут быть другими).
В данном примере пользователю следует проверить вновь созданный eth0.3, входит ли он в зону WAN. Если нет, то пользователь должен перетащить eth0.3 в WAN, а затем нажать ‘Save’.
===== Балансировка нагрузки =====
В случае двух WAN портов необходимо настраивать общий DNS, для этого на каждом из WAN интерфейсов нужно отметить опцию ‘Do not use peer DNS’. Как уже объяснялось, системный DNS демон может работать только с одним набором настроек DNS, поэтому настройки DNS должны быть определены глобально на маршрутизаторе и выключены на каждом из WAN интерфейсов.
Картинка для первого WAN eth0.2:
Картинка для второго WAN eth0.3:
===== Настройка общего DNS =====
Выберите пункт меню ‘Services→Domain name resolution’ и далее вкладку ‘DNS resolver settings’. Введите адрес доступного DNS сервера.
Балансировка нагрузки в терминах NETSHe называется ‘Multipath Routing’. Найдите одноименный пункт меню в меню ‘Routes’ и проделайте следующее:
- Включите ‘Multipath Routing’, для этого выберите одноименную опцию и ‘Load balance’ под ней.
- Слева на странице выберите eth0.2 и eth0.3 для включения балансировки между ними.
- Умалчиваемое значение 0 означает балансировку 50/50. Эту величину можно изменить по усмотрению пользователя.
- Сохраните изменения.
====== Отказоустойчивость при двух WAN (основной – резервный) ======
Предположим, у пользователя имеется:
- PPPoE WAN соединение на местного провайдера Интернет, которое получает частный IP на PPPoE интерфейс.
- Сим-карта с Интернет подключением в качестве резервного WAN.
Конфигурация с основным и резервным подключением может быть настроена и проверена следующими шагами:
===== Настройки PPPoE интерфейса =====
У PPPoE WAN интерфейса откройте вкладку ‘Base Settings’, проверьте опцию ‘Do not use Peer DNS’ и, если что-то изменили, нажмите кнопку ‘Save’.
===== Настройка WWAN0 (сим-карты) =====
Откройте параметры интерфейса ‘wwan0’ на вкладке ‘Base Settings’,
выделите опции ‘Use this interface as Backup’ и ‘Do not use peer DNS’, сохраните настройки.
===== Настройка общего DNS для двух WAN =====
Откройте меню ‘Services→Domain name resolution’ на вкладке ‘DNS resolving settings’ или с иконки на панели инструментов, как это показано на картинке ниже. Задайте адрес DNS сервера, сохраните настройки.
Проверьте, оба ли WAN соединения подняты, как показано на картинке:
Когда оба интерфейса WAN имеют назначенные IP адреса, проверьте соединение с Интернет серфингом или откройте почту. Отключите основное соединение, подождите, пока соединение перестроится на резервный WAN. Время переключения зависит от типа порта и используемого типа соединения (обычно около полутора минут).
Внимание!
* Если интерфейсы не настроены как основной и резервный, и оба работают, то в случае падения одного из них, второй продолжает работать, но с большой задержкой в 4-5 секунд в зависимости от скорости соединения.
* ====== URL фильтрация ====== Механизм URL фильтрации в устройствах с ОС NETSHe работает согласно следующим принципам: - На странице URL фильтрации пользователь увидит две секции. Верхняя секция предназначена для HTTPS трафика (Blacklist), нижняя секция – для HTTP (Blacklist или Whitelist). - HTTPS трафик может только блокироваться по «черному» списку. Поскольку HTTPS передает шифрованные данные, он не может быть досмотрен напрямую. Это требует высокопроизводительное оборудование для выполнения расшифровки, и только после этого пакеты могут блокироваться. Однако маршрутизатор может блокировать (blacklist) трафик по URL. Что бы пользователь ни указал в данной секции, это будет блокироваться, а остальной трафик пропускаться. - HTTP трафик пропускается по «белому» списку, если не выбрана опция ’URL filtering policy’ и заполнен список URL. Все упомянутое в этом списке будет пропускаться, а остальной трафик будет блокироваться. - HTTP трафик будет фильтроваться по «черному» списку, если опция ’URL filtering policy’ выбрана и список URL определен. Все, что там указано, будет заблокировано. Все поисковые системы и прокси не могут быть заблокированы полностью, какие-то из них будут заблокированы, а какие-то успешно проходить. По той же самой причине. Этот тип сайтов нужно тщательно инспектировать, применяя базы данных сигнатур, а для этого требуется производительно оборудование. Настройка URL фильтрации включает в себя несколько шагов: - Нужно включить HTTP Proxy, - Нужно включить фильтрацию URL, - Задать URL списки. Включить HTTP Proxy В процессе фильтрации используются функции встроенного в маршрутизатор сервиса прокси. Пользователям не нужно указывать настройки этого прокси на своих устройствах. Включите опцию ‘Enable service’ сверху и выберите подходящий WAN интерфейс (для сотовых подключений имя интерфейса ‘wwan0’), выберите ‘br0’ для прослушивания и нажмите ‘Save’. ===== Параметры URL фильтров ===== Выберите пункт ‘Services’ и в нем строку ‘URL and domain filtering’. ===== HTTPS «черный» или «белый» списки ===== Результат показан ниже: сайты по «белому» списку открываются, а остальные блокируются. ====== QoS и Bandwidth политики ====== Следующий пример демонстрирует ограничение полосы пропускания для пользователей. В нем будет ограничена подсеть LAN или отдельные адреса LAN в использовании Интернет. ===== Создание политики QoS ===== Выберите пункт меню ‘Network→Bandwidth Management and Traffic Prioritization’. Затем выберите вкладку с интерфейсом ‘br0‘, соответствующую LAN подсети, и сделайте следующие действия: - включите QoS, - (в данном случае) настройте значения upload/download равными 1200 Kbps, - Назначьте destination subnet адрес и маску, соответствующие для ‘br0’, в правиле QoS, - Задайте CIR как максимально разрешенный для интерфейса. Внимание! * Правила QoS применимы только для исходящего трафика. Правила QoS третьего уровня (L3) оперируют IP-адресами источника и назначения. Правила QoS второго уровня (L2) оперируют номерами IP протоколов, номерами VLAN и MAC адресами.
* Перейдите на вкладку ‘br1’ (в данном примере это вторая подсеть LAN). Повторите действия как для ‘br0’ и выставьте CIR равным 800 Kbps. Установите IP адрес интерфейса ‘br1’ как адрес назначения. Затем перейдите на вкладку ‘PPPoE’ (WAN). Включите QoS на интерфейсе PPPoE и создайте два потока для двух LAN сетей как показано на картинке ниже: ===== Правила сетевого экрана для изолирования трафика двух LAN ===== Сетевой экран нужен, чтобы изолировать трафик одной LAN подсети от другой. Настройте их в пункте ‘Network→Firewall’ на вкладке LAN. Перегрузите маршрутизатор через пункт ‘Utilities→Reboot system’. После перезагрузки проверьте скорость скачивания/загрузки для обеих LAN сетей. ====== Настройка нескольких беспроводных интерфейсов (SSID) ====== Внимание! * Маршрутизатор поддерживает до 4х физических радиомодулей. ‘wlan0’ соответствует первому физическому радио, ‘wlan1’ – второму и т.д.
Каждый радиомодуль поддерживает до 4х интерфейсов. Учитывая четыре радиомодуля, нумерация интерфейсов одного модуля должна быть через 4, т.е. ‘wlan0’,’wlan4’,’wlan8’,’wlan12’ для первого модуля, ‘wlan1’,’wlan5’,’wlan9’,’wlan13’ для второго и т.д.
*
Физическое радио имеет ряд ограничений:
- Одно устройство не может быть WDS точкой доступа и WDS клиентом.
- На маршрутизаторе не может быть более одного AD-Hoc.
- Все интерфейсы одного радиомодуля должны работать на одной частоте (канале).
Если пользователь имеет разнородный и сложный Wi-Fi проект, то крайне рекомендовано узнать полный список подобных ограничений от службы поддержки ООО «Нетше лаб».
‘wlan0’ беспроводной LAN интерфейс по умолчанию. Ему соответствует первый SSID по умолчанию. Помня правила нумерации, следующий новый интерфейс будет ‘wlan4’. Номера каналов, их ширина и т.д. должны быть одинаковыми для всех SSID одного модуля. Но можно таким интерфейсам задавать разные типы шифрования и разные пароли для каждого SSID.
===== Создание нового беспроводного интерфейса =====
На домашней странице найдите пункт ‘Network→Interface’, прокрутите страницу вниз. Введите имя ‘wlan4’ и нажмите рядом кнопку ‘New’.
===== Задание нового SSID =====
Откроется диалог параметров беспроводного интерфейса. Перейдите на вкладку ‘Wireless’ и задайте режим, SSID, выберите модуляцию и канал в соответствующих полях, как показано на картинке ниже:
Перейдите на вкладку ‘Wireless security’ и назначьте тип шифрования и пароль, нажмите на кнопку ‘Save’, по окончанию всех настроек перезагрузите маршрутизатор.
Когда маршрутизатор перезагрузится, пользователь сможет увидеть новый интерфейс в списке интерфейсов на домашней странице.
====== Как обновить встроенное ПО ======
Выберите меню ‘Utilities’ и строку ‘Upgrade firmware’.
На следующем диалоге щелкните на кнопке ‘Browse’ и в диалоге открытия файла выберите *.bin файл с локального компьютера или из папки в сетевом окружении.
Как только подходящий файл выбран, он будет показан в диалоге. Щелкните на кнопке ‘Upload and write’ для запуска процесса обновления.
Файл *.bin будет загружен на флэш-карту маршрутизатора. Система проверит MD5 хэш файла и сравнит существующую и новую версии/билды. Если версия/билд нового программного обеспечения старше существующих, и программное обеспечение соответствует модели устройства, то процесс обновления будет запущен, после него маршрутизатор перезапустится.
- Обновление и перезагрузка займут около 5 минут. Не нужно выключать питание маршрутизатора и не нужно форсировать соединение до истечения этого времени.
- Процесс обновления встроенного ПО не стирает конфигурацию устройства. После перезагрузки пользователь сможет присоединиться к маршрутизатору со старыми учетными данными на прежний IP-адрес.
====== Сохранение и восстановление конфигурации ======
Выберите пункт меню ‘Utilities→Backup/Restore→Download current config’
Щелкните ‘Yes’ для загрузки конфигурации через браузер.
Index.php файл будет загружен в папку для загрузок, заданную в браузере. Потом пользователь может переименовать файл конфигурации, дав понятное имя с указанием даты, чтоб потом можно было этот файл распознать среди многих таких же в процессе эксплуатации. После того, как файл получен, можно нажать ‘No’ для возврата на домашнюю страницу.
Аналогично восстановить сохраненную ранее конфигурацию можно через пункт меню ‘Utilities→Backup/Restore→Upload new config’.
После выбора файла следует нажать ‘Upload’, а затем ‘Yes’ на предложение перезагрузить маршрутизатор.
====== Сброс к заводским настройкам ======
Пользователь может вернуть заводские настройки маршрутизатору, нажав кнопочку ‘RST’ на корпусе и отпустив ее после мигания индикаторов. Возможно, для нажатия потребуется острый предмет типа иголки.
Так же пользователь может сбросить настройки маршрутизатору через Web GUI, выбрав пункт меню ‘Utilities→Backup/Restore→Factory default settings’.
Щелкнув кнопку ‘Yes’ для запуска инициализации.
Около трех минут займет сброс и перезагрузка. После успешной загрузки маршрутизатора пользователь сможет зайти уже на IP адрес, с именем и паролем по умолчанию.
====== Использование ping из веб-интерфейса ======
Выберите пункт ‘Utilities→Ping host’.
Введите IP-адрес или имя хоста назначения ICMP пакетов и щелкните кнопку ‘Go!’. Результат ping будет отображаться под диалогом, как на картинке снизу, результат выделен желтым.
====== Настройки Telnet ======
Откройте пункт меню ‘System→Base setting’.
Пользователю нужно перейти на вкладку ‘Remote access’, разрешить telnet в соответствующей секции и задать порт 23 или любой желаемый. Telnet и SSH доступ принимают root/root в качестве логина и пароля по умолчанию.
====== Удаленный доступ со стороны WAN интерфейса
======
Выберите пункт меню ‘System’, а в нем строку ‘Base settings’.
Когда откроется страница ‘Base setting’, пользователю следует выбрать вкладку ‘Remote Setting’. На вкладке выбрать опцию ‘All interfaces’ и щелкнуть кнопку ‘Save’ внизу.
Внимание!
* Из соображений безопасности удаленный доступ закрыт по умолчанию со стороны WAN маршрутизатора. С настройками, показанными выше, устройство будет доступно с любой стороны. Рекомендовано это делать с осторожностью.
Не следует забывать о настройках сетевого экрана для приема соединений удаленного доступа на все нужные интерфейсы.
*
====== Настройки Syslog ======
По умолчанию журнал syslog хранится локально в @/var/log/messages. Для того, чтобы настроить хранение на удаленном сервере, следует перейти в ‘System→Base settings’.
Выбрать вкладку ‘Basic settings’ и заменить путь для хранения путем с IP-адресом внешнего сервера, как показано ниже.
Содержимое журналов можно посмотреть в пунктах меню ‘Diagnostic→Log→System’ или ‘Hardware’. Оно выглядит примерно, как показано на этом рисунке.
====== Локальные пользователи ======
Эти учетные записи пользователей применяются для аутентификации в процессе управления устройством или мониторинга. Чтоб найти список пользователей, нужно пройти в пункт меню ‘System→Users’.
Откроется список учетных записей пользователей. Чтоб создать новую запись, нужно нажать на иконку с зеленым плюсиком.
Что создать пользователя с ограниченными правами, достаточно указать только имя и пароль.
Список пользователей по умолчанию показан ниже:
Для того, чтобы изменить пароль пользователя, нужно щелкнуть на иконку в виде пера справа от имени пользователя, заменить пароль и сохранить изменения. Чтоб удалить учетную запись пользователя, необходимо щелкнуть по красному крестику справа от имени пользователя.
Внимание!
* Никогда не пытайтесь удалить системные учетные записи ‘superuser’ и ‘root’. Да система и не позволит этого сделать.
***
Расписание задач устройства
Устройство может выполнять определенные запланированные действия. Расписание этих действий можно найти в пункте меню ‘System→Schedule’.
Обычное расписание выглядит как список на следующей картинке:
Формат строк расписания описан тут же на странице настройки расписания. Любая задача может быть выполнена либо с интервалом, либо по часам/минутам.
Регистрация на NMMS
Находится в меню ‘System→Network management system integration’.
‘Network management system’ меню включает настройки подключения к NMMS, чтобы устройство было доступно для централизованного контроля и мониторинга. Регистрация на NMMS требует указать имя и пароль. Пользователь может прочитать руководство ‘Quick Administration Guide NMMS’ для понимания работы в среде NMMS.
Заключение
Маршрутизатор BR104 содержит довольно большой набор свойств, которые в процессе комбинирования превращаются в огромное число вариантов использования маршрутизатора. Все эти варианты сложно описать в одном руководстве, а еще сложнее будет такое руководство читать широкому кругу пользователей.
Поэтому специалисты ООО «Нетше лаб» всегда готовы предложить решение, максимально соответствующее вашей текущей задаче. Наши координаты вы можете найти на сайте http://www.netshe-lab.ru