Часто задаваемые вопросы

Для того чтобы создать VLAN на коммутаторе и задать ему имя необходимо в режиме глобального конфигурирование ввести следующие команды:

console(config)# vlan database переходим в конфигурации VLAN
console(config-vlan)# vlan 10 name Management создаем “VLAN 10” и задаем ему имя “Management”

Для того, чтобы произвести обновление ПО с использованием CLI необходимо подключиться к коммутатору при помощи терминальной программы (например HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.
Настройки терминальной программы при подключении к коммутатору через последовательный порт:
выбрать соответствующий последовательный порт.
установить скорость передачи данных – 115200 бит/с.
задать формат данных: 8бит данных, 1 стоповый бит, без контроля четности.
отключить аппаратное и программное управление потоком данных.
задать режим эмуляции терминала VT100 (многие терминальные программы используют данный режим эмуляции терминала в качестве режима по умолчанию).
       Загрузка файла системного ПО в энергонезависимую память коммутатора        
Для загрузки файла системного ПО необходимо в командной строке CLI ввести следующую команду:
сopy tftp:// xxx.xxx.xxx.xxx/File Name image, где
xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, с которого будет производиться загрузка файла системного ПО;
File Name – имя файла системного ПО;
и нажать Enter. В окне терминальной программы должно появиться следующее:

COPY-I-FILECPY: Files Copy - source URL tftp://xxx.xxx.xxx.xxx/ File Name destination URL flash://image

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Если загрузка файла прошла успешно, то появится сообщение вида

COPY-N-TRAP: The copy operation was completed successfully
Выбор файла системного ПО, который будет активен после перезагрузки коммутатора
Для того, чтобы произвести выбор файла системного ПО, который будет активен после перезагрузки, необходимо в командной строке CLIввести следующую команду:
boot system { image-1 | image-2 }, где
image-1, image-2  – файл системного ПО.
После выбора необходимо произвести перезагрузку коммутатора командой reload.

Необходимо использовать команду 
console#set interface active <имя интерфейса>

Доступ к коммутатору можно ограничить при помощи Management ACL.
Ниже приведен пример ограничения доступа по IP-адресу источника (IP 192.168.1.12).
1. Создать Management ACL с указанием IP-адреса источника:
console#configure 
console(config)#management access-list IP
console(config-macl)# permit ip-source 192.168.1.12
console(config-macl)#exit
2. Применить созданный Management ACL:
console(config)#management access-class IP

Для просмотра информации по созданным и примененным листам необходимо воспользоваться командами show:
console#show management access-list 
IP
----
permit ip-source 192.168.1.12
! (Note: all other access implicitly denied)
console-only
------------
deny
! (Note: all other access implicitly denied)
console#show management access-class 
Management access-class is enabled, using access-list IP

Широковещательный шторм – это размножение широковещательных сообщений в каждом узле, которое приводит к лавинообразному росту их числа и парализует работу сети. Коммутаторы MES имеют функцию, позволяющую ограничить скорость передачи широковещательных кадров, принятых коммутатором.
Пример настройки.
Перейти в режим конфигурирования интерфейса Ethernet и включить функцию (например, для интерфейса tengigabitethernet 1/0/1):
console(config)# interface tengigabitethernet 1/0/1
console(config-if)# storm-control broadcast enable
Задать максимальную скорость для широковещательного трафика на этом интерфейсе (например, 8500 кбит/с):
console(config-if)# storm-control broadcast level kbps 8500
Задать действия при обнаружении шторма: отображать информацию в логах и/или отключать порт
console(config-if)#storm-control broadcast logging
console(config-if)#storm-control broadcast shutdown
Пример настройки для коммутаторов с версией 4.0.х
Перейти в режим конфигурирования интерфейса .
Включить функцию. Ограничения настраиваются либо при помощи указания полосы пропускания в kbps, либо в процентах от полосы пропуская - level
console(config)# interface tengigabitethernet 1/0/1
console(config-if)#storm-control broadcast level 2
console(config-if)#storm-control broadcast kbps 8500

Кнопка "F" - функциональная кнопка для перезагрузки устройства и сброса к завод-ским настройкам:
- при нажатии на кнопку длительностью менее 10 с. происходит пере-загрузка устройства;
- при нажатии на кнопку длительностью более 10 с. происходит сброс настроек устройства до заводской конфигурации.
Отключить кнопку можно командой:
reset-button disable 
Чтобы запретить сброс устройства к заводстким настройкам, но разрешить перезагрузку, следует ввести команду:
reset-button reset-only 

Команда, которая позволяет посмотреть статистику по пакетам на физическом интерфейсе
show interfaces counters [interface-id]
Например, 
sh interfaces counters GigabitEthernet 0/12

Alignment Errors: 0
Принятые пакеты содержат контрольную сумму не кратную восьми.
FCS Errors: 0
Принятые пакеты содержат ошибки контрольной суммы CRC
Single Collision Frames: 0
Количество кадров , принятых с единичной коллизией и впоследствии переданные успешно
Multiple Collision Frames: 0
Количество кадров , принятых больше, чем с одной коллизией и впоследствии переданные успешно
SQE Test Errors: 0
Количетство раз, когда принят SQE TEST ERROR.
Deferred Transmissions: 0
Количество кадров, для которых первая передача задерживается из-за занятости среды передачи
Late Collisionss: 0
Количество раз когда обнаружена Late Collisions
Excessive Collisions: 0
Количество непереданных кадров из-за excessive collisions
Carrier Sense Errors: 0
Количество раз, когда происходили ошибки из-за потери несущей при попытке передаче данных
Oversize Packets: 0
Количество принятых, кадров, превышающих максимально разрешенный размер кадра
Internal MAC Rx Errors: 0
Количество кадров, приём которых сопровождался внутренними ошибками на физическом уровне
Symbol Errors: 0
Количество раз, когда интерфейс не может интерпретировать принятый символ
 Received Pause Frames: 0
Количество принятых пакетов, содержащих pause-frame
Transmitted Pause Frames: 0
Количество переданных пакетов, содержащих pause-frame

В качестве, примера, настроим соседство OSPF между коммутаторами MES3124 (версия 2.5.х) и MES3124 (версия 3.5.х).
Настройка для версии 2.5.х
1) Создаем interface vlan для создания соседства
console(config)#interface vlan 10
console(config-if)#ip address 10.10.10.6 255.255.255.252
console(config-if)#exit
2) Настройки в режиме глобальной конфигурации
console(config)#router ospf enable
console(config)#router ospf area 4.4.4.4
console(config)#router ospf redistribute connected
console(config)#router ospf router-id 1.1.1.1
3) Настройка интерфейса ip
console(config)#interface ip 10.10.10.6
console(config-ip)#ospf
console(config-ip)#ospf area 4.4.4.4
console(config-ip)#exit
Настройка для версии 3.5.х и 4.0
1) Создаем interface vlan для создания соседства
console(config)#interface vlan 10
console(config-if)#ip address 10.10.10.5 255.255.255.252
console(config-if)#exit
2) Настройки в режиме глобальной конфигурации
console(config)#router ospf 1
console(router_ospf_process)#network 10.10.10.5 area 4.4.4.4
console(router_ospf_process)#router-id 5.5.5.5
console(router_ospf_process)#exit
 Контроль работы протокола
Просмотр  ospf соседей  - sh ip ospf neighbor
Просмотр таблицы LSDB - show ip ospf database
Просмотр состяния ospf -  sh ip ospf

Протокол RADIUS используется для аутентификации, авторизации и учета. Сервер RADIUS использует базу данных пользователей, которая содержит данные проверки подлинности для каждого пользователя. Таким образом, использование протокола RADIUS обеспечивает дополнительную защиту при доступе к ресурсам сети, а также при доступе к самому коммутатору.

Конфигурацию будем выполнять на базе коммутатора MES2324.

1.    Для начала необходимо указать ip-адрес radius-сервера и указать key:
MES2324B(config)#radius-server host 192.168.10.5 key test

2.    Далее установить способ аутентификации для входа в систему по протоколу radius:
MES2324B(config)#aaa authentication login authorization default radius local

Примечение: На коммутаторах серии 23xx, 33xx, 53xx используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 4.0.6 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке. На коммутаторах серии 1000, 2000, 3000 уже имеется этот функционал.
3.    Установить способ аутентификации при повышении уровня привилегий:
MES2324B(config)#aaa authentication enable authorization default radius enable 

Чтобы не потерять доступ до коммутатора (в случае  недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
4.    Создать учетную запись:
MES2324B(config)#username tester password eltex privilege 15
5.    Задать пароль на доступ в привилегированный режим:
MES2324B(config)#enable password eltex
Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).

Функция зеркалирования портов предназначена для контроля сетевого трафика путем пересылки копий входящих и/или исходящих пакетов с одного или нескольких контролируемых портов на один контролирующий порт.
  При зеркалировании более одного физического интерфейса возможны потери трафика. Отсутствие потерь гарантируется только при зеркалировании одного физического интерфейса.
  К контролирующему порту применяются следующие ограничения:
Порт не может быть контролирующим и контролируемым портом одновременно;
Порт не может быть членом группы портов;
IP-интерфейс должен отсутствовать для этого порта;
Протокол GVRP должен быть выключен на этом порту.
К контролируемым портам применяются следующие ограничения:
Порт не может быть контролирующим и контролируемым портом одновременно.
Пример настройки SPAN.
Организуем мониторинг трафика с порта GigabitEthernet 0/1 и с vlan 3 на примере MES2324
2324(config)#interface GigabitEthernet 0/2
2324(config-if)#port monitor GigabitEthernet 0/1
2324(config-if)# port monitor vlan 3
Пример настройки RSPAN.
Oрганизуем мониторинг трафика с порта GigabitEthernet 0/1  через vlan 100. На промежуточных коммутаторах, где прописан vlan 100 должен быть отключен mac learning в данном vlan и очищена таблица мак-адресов.
MES2324(config)#port monitor mode network
MES2324(config)#port monitor remote vlan 100
MES2324(config)#interface GigabitEthernet 0/2
MES2324(config-if)#switchport mode trunk
MES2324(config-if)#switchport trunk allowed vlan add 100
MES2324(config-if)#port monitor remote
MES2324(config-if)#port monitor GigabitEthernet0/1
На ряде моделей в ПО доступна настройка увеличения qos tail-drop mirror-limit, позволяющая увеличить лимиты для передачи отзеркалированного трафика
qos tail-drop mirror-limit rx 50
qos tail-drop mirror-limit tx 50

При эксплутации коммутаторов в сетях клиентов могут  возникать ситуации, когда на коммутаторе фиксируется высокая загрузка CPU ~ 80-100%. 

Клиенты обращаются в службу поддержки с просьбой помочь разобраться, что вызывает такую аномально высокую загрузку. Для анализа ситуации службе поддержки требуется информация по процессам, полученная в момент проблемы из debug режима.

Переходим в debug

console#debug
>debug
Enter DEBUG Password: ***** (debug)

DEBUG>set tasks utilize
DEBUG>print tasks utilize

DEBUG>print tasks utilize

TASK NAME 5-seconds minute 5-minutes 
-----------------------------------------
IDLE       75          N/A      N/A 
BRMN       12         N/A      N/A 
3SWF       1          N/A      N/A 
HLTX       3         N/A      N/A

IDLE - бездействие системы

Описание процессов на CPU можно найти в приложении  в "Руководстве по эксплуатации к оборудованию".

Найти имя процесса, который больше всего занимает ресурсы CPU. (IDLE - бездействие системы, по данному таску снимать статистику не нужно)

Вывести таблицу и найти в ней <ID> процесса по имени.
DEBUG>print os tasks

DEBUG>print os tasks

...........

В момент пиковой загрузки CPU несколько раз (не меньше 10) подряд выполнить

DEBUG>print os stack <TASK_ID>

DEBUG>print os stack 160281C
Name ID Stck-size Stck-cusg Stck-musg Prio. TS
BRMN 160281C 4000 128 16FC 4 ON 
Task Stack:
158758
15965C
171534
72A86C
72A95C
66F00C
122040

Все полученные данные нужно предоставить в техническую поддержку при обращении

Пример конфигурации для коммутаторов серии MES2000, MES3000

gi 0/7 - mac авторизация
gi 0/8 - mac авторизация с назначением влана
gi 0/18 - 802.1x авторизация

no spa
vlan database
vlan 100,200
exit
dot1x system-auth-control
!
aaa authentication dot1x default radius none
radius-server host 192.168.1.10 encrypted key da90833f59be
!
interface gigabitethernet 1/0/17
switchport access vlan 100
exit
!
interface gigabitethernet 1/0/7
switchport access vlan 100
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x mac-authentication mac-only 
dot1x port-control auto
spanning-tree portfast
exit
!
interface gigabitethernet 1/0/8
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x mac-authentication mac-only
dot1x radius-attributes vlan
dot1x port-control auto
spanning-tree portfast
dot1x host-mode multi-sessions
exit
!
interface gigabitethernet 1/0/18
switchport access vlan 100
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300 
dot1x port-control auto
spanning-tree disable
spanning-tree bpdu filtering
exit
!
interface vlan 100
ip address 192.168.1.20 255.255.255.0
exit
!
interface vlan 200
dot1x guest-vlan
exit

Пример конфигурации для коммутаторов серии MES2300, MES3300

gi 0/7 - mac авторизация
gi 0/8 - 802.1x авторизация

no spa
vlan database
vlan 100,200
exit
dot1x system-auth-control
!
aaa authentication dot1x default radius none
radius-server host 192.168.1.10 encrypted key da90833f59be
!
interface gigabitethernet1/0/7
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x authentication mac
dot1x port-control auto
switchport access vlan 100
exit
!
interface gigabitethernet1/0/8
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x port-control auto
switchport access vlan 100
exit
!
interface vlan 100
ip address 192.168.1.20 255.255.255.0
exit

Протокол Multiple STP (MSTP) является наиболее современной реализацией STP, поддерживающей использование VLAN. MSTP предполагает конфигурацию необходимого количества экземпляров связующего дерева (spanning tree) вне зависимости от числа групп VLAN на коммутаторе. Каждый экземпляр (instance) может содержать несколько групп VLAN. Недостатком протокола MSTP является то, что на всех коммутаторах, взаимодействующих по MSTP, должны быть одинаково сконфигурированы группы VLAN.

Примечание: Всего можно сконфигурировать 64 экземпляра MSTP.

йн
Пример настройки MSTP:

spanning-tree mode mst
!
spanning-tree mst configuration
instance 1 vlan 201,301
instance 2 vlan 99
instance 3 vlan 203,303
name test
exit

Примечание: По умолчанию все vlan'ы находятся в 0 instance.

Да, такая возможность есть. Пример для порта GigabitEthernet 1/0/1:

console# test cable-diagnostics tdr interface GigabitEthernet 1/0/1

Обрыв на расстоянии 4м по каждой паре.

Длина кабеля для FastEthernet портов измеряется только с помощью tdr, и только если кабель не вставлен в абонентское устройство (есть разрыв на линии).

MES1124MB#test cable-diagnostics tdr int fa0/2
....
 Port     Pair Result              Length [m] Date
--------- ---- ------------------- ---------- --------------------------
fa1/0/2   1-2         Open             1      11-Feb-2017 11:44:49 
          3-6         Open             1      
MES1124MB#

Да. Для этого необходимо воспользоваться командой:

show fiber-ports optical-transceiver

Для этого используется команда вида:
copy tftp://<ip address>/File Name unit://*/image ,
где
<ip address> – IP-адрес TFTP сервера, с которого будет производиться загрузка файла системного ПО;
File Name – имя файла системного ПО

Да, возможно.
Для этого необходимо воспользоваться командой:
show fiber-ports optical-transceiver interface {fastethernet fa_port| gigabitethernet gi_port | tengigabitethernet te_port} detailed
Пример
console#show fiber-ports optical-transceiver interface GigabitEthernet0/2 detailed
   Port      Temp  Voltage Current  Output        Input        LOS  Transceiver 
             [C]   [V]     [mA]     Power         Power             Type        
                                    [mW / dBm]    [mW / dBm]                   
----------- ------ ------- ------- ------------- ------------- --- -------------
  gi1/0/2     39    3.31    6.10   0.24 / -6.09  0.38 / -4.16  N/S     Fiber    
Temp              - Internally measured transceiver temperature
Voltage           - Internally measured supply voltage
Current           - Measured TX bias current
Output Power  - Measured TX output power in milliWatts
Input Power     - Measured RX received power in milliWatts
LOS               - Loss of signal
N/A - Not Available, N/S - Not Supported, W - Warning, E - Error
Transceiver information:
Vendor name: OEM            
Serial number: BL2A3859       
Connector type: LC
Type: SFP/SFP+
Compliance code: 1000BASE-LX
Laser wavelength: 1310 nm
Transfer distance: 20000 m
Diagnostic: supported
Примечание: на коммутаторах 23хх, 33хх и т.д. с версией 4.0.х команда имеет вид
show fiber-ports optical-transceiver interface {gigabitethernet gi_port | tengigabitethernet te_port}

Коммутаторы MES поддерживают SFP-трансиверы, которые соответствуют стандартам INF-8074_2000 и SFF-8472-2010 (для модулей поддерживающих DDM).
Для SFP+ стандарт SFF-8431.
К конкретным производителям привязки нет.

Системные журналы позволяют вести историю событий, произошедших на устройстве, а также контролировать произошедшие события в реальном времени. В журнал заносятся события семи типов: чрезвычайные, сигналы тревоги, критические и не критические ошибки, предупреждения, уведомления, информационные и отладочные.
console(config)#logging host {ip_address |host} [port port] [severity level] [facility facility] [description text]
 
Пример: logging host 192.168.1.1 severity debugging
Команда включает передачу аварийных и отладочных сообщений на
удаленный SYSLOG сервер 192.168.1.1.
- ip_address– IPv4 или IPv6-адрес SYSLOG-сервера;
- host – сетевое имя SYSLOG-сервера;
- port – номер порта для передачи сообщений по протоколу
SYSLOG;
- level – уровень важности сообщений, передаваемых на
SYSLOG-сервер;
- facility – услуга, передаваемая в сообщениях;
- text – описание SYSLOG-сервера.
Примечание: можно настроить несколько Syslog-серверов.

Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству, при этом поддерживая совместимость с RADIUS и другими процессами проверки подлинности.
Конфигурацию будем выполнять на базе коммутатора MES2324.

1.    Для начала необходимо указать ip-адрес tacacs-сервера и указать key:
MES2324B(config)#tacacs-server host 192.168.10.5 key secret

2.    Далее установить способ аутентификации для входа в систему по протоколу tacacs+:
MES2324B(config)#aaa authentication login authorization default tacacs local

Примечение: На коммутаторах серии 23xx, 33xx, 53xx используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 4.0.6 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке. На коммутаторах серии 1000, 2000, 3000 уже имеется этот функционал.

3.    Установить способ аутентификации при повышении уровня привилегий:
MES2324B(config)#aaa authentication enable authorization default tacacs enable

Чтобы не потерять доступ до коммутатора (в случае  недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.

4.    Создать учетную запись:
MES2324B(config)#username tester password eltex privilege 15

5.    Задать пароль на доступ в привилегированный режим:
MES2324B(config)#enable password eltex

6.  Разрешить ведение учета (аккаунта) для сессий управления.
MES2324B(config)#aaa accounting login start-stop group tacacs+

7.  Включить ведение учета введенных в CLI команд по протоколу tacacs+.
MES2324B(config)#aaa accounting commands stop-only group tacacs+
Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).

Устройство поддерживает два режима работы группы портов (port-channel) – статическая группа и группа, управляемая по протоколу LACP.
Рассмотрим настройку статических групп.
Необходимо выполнить следующее:

1) Перейти в режим конфигурирования порта:

MES2324B(config)#interface GigabitEthernet0/2

2) Настроить статическую группу:

MES2324B(config-if)#channel-group 1 mode on , где

1- Номер группы
On – добавить порт в статическую группу

Примечание: В port-channel можно добавлять порты только одного типа.

Рассмотрим настройку LACP-групп.

Необходимо выполнить следующее:
1) Перейти в режим конфигурирования порта:

MES2324B(config)#interface GigabitEthernet0/2

2) Настроить LACP-группу:

MES2324B(config-if)#channel-group 1 mode auto , где

1- Номер группы
auto – добавить порт в LACP группу в режиме active.

Примечание: В зависимости от типа портов в группе (fastethernet/gigabitethernet/tengigabitethernet) рекомендуется предварительно настроить на соответствующем port-channel скорость. Т.е если в port-channel 1 будут порты tengigabitethernet, следовательно выполнить такую настройку на port-channel 1:
MES2324B(config-if)#interface Port-Channel 1
MES2324B(config-if)#speed 10000

Коммутаторы MES23хх/33хх/5324 можно объединять в стек до 8 устройств. В режиме стекирования MES5324 использует XLG порты для синхронизации, остальные коммутаторы семейства, кроме MES2308(P), XG порты. MES2308 и MES2308P используют
оптические 1G-порты.  При этом для стекирования устройств должны использоваться для MES5324 - QSFP(40G), для MES23хх и MES33хх SFP+(10G), для MES2308(P) - SFP(1G).
При этом указанные порты не участвуют в передаче данных. Возможны две топологии синхронизирующихся устройств – кольцевая и линейная. Рекомендуется использовать кольцевую топологию для повышения отказоустойчивости стека.
Коммутаторы по умолчанию уже работают в режиме стека с UNIT ID 1
Настройка
console(config)#stack configuration links {fo1-4| te1-4 | gi9-12}
console(config)#stack configuration unit-id {1-8}
Конфигурация применится после сохранения настроек и перезагрузки

Для настройки максимального количества MACадресов, которое может изучить порт, необходимо перейти в режим конфигурирования интерфейса и выполнить следующие настройки:
Установить режим ограничения изучения максимального количества MACадресов:
console(config-if)# port security mode max-addresses
Задать максимальное количество адресов, которое может изучить порт, например, 1:
console(config-if)# port security max 1
Включить функцию защиты на интерфейсе:
console(config-if)# port security

Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Таким образом, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.
Поскольку функция контроля защиты IP-адреса использует таблицы соответствий DHCP snooping, имеет смысл использовать данную функцию, предварительно настроив и включив DHCP snooping.
Пример настройки
Включить функцию защиты IP-адреса для фильтрации трафика на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Интерфейс в 1-й группе VLAN:
console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan 1
console(config)# ip source-guard
Создать статическую запись в таблице соответствия для интерфейса, например, для gigabitethernet /0/1: IP-адрес клиента – 192.168.1.210, его MAC-адрес – 00:60:70:4A:AB:AF:
console(config)# ip source-guard binding 00:60:70:4A:AB:AF 1 192.168.1.210 gigabitethernet 1/0/1
Включить функцию защиты IP-адреса для интерфейса gigabitethernet /0/1:
console(config-if)# ip source-guard

Да, возможно. Для этого необходимо воспользоваться функцией multicast snooping profile.
Например, на порту gigabitethernet 1/0/1 разрешено просматривать только MC группу с адресом 233.99.61.1:
создать MC профиль:
multicast snooping profile IPTV
match ip 233.99.61.1
exit
привязать MC профиль к порту:
interface gigabitethernet 1/0/1
multicast snooping profile add IPTV
exit

Да, возможно. Пример настройки ограничения на порту gigabitethernet1/0/1 количества подписок до 2:
interface gigabitethernet 1/0/1
multicast snooping max-groups 2
exit

Для режима trunk:
console(config-if)#switchport trunk allowed vlan remove all
Для режима general:
console(config-if)#switchport general allowed vlan remove all
Настройка multicast-tv VLAN
Функция «Multicast-TV VLAN» дает возможность использовать для передачи многоадресного трафика одну VLAN в сети оператора и доставлять этот трафик пользователям даже в том случае, если они не являются членами этой VLAN. За счет функции «Multicast-TV VLAN» может  быть сокращена нагрузка на сеть оператора за счет отсутствия дублирования многоадресных данных, например, при предоставлении услуги IPTV.
Схема применения функции предполагает, что порты пользователей работают в режиме «access»или «customer» и принадлежат к любой VLAN за исключением multicast-tv VLAN. Пользователи имеют возможность только получать многоадресный трафик из multicast-tv VLAN и не могут передавать данные в этой VLAN. Кроме того, в коммутаторе должен быть настроен порт-источник multicast-трафика, который должен быть участником multicast-tv VLAN.
Пример конфигурирования
Включить фильтрацию многоадресных данных
console(config)# bridge multicast filtering
Настроить VLAN пользователей (VID100-124), multicast-tvVLAN(VID1000), VLAN управления (VID1200)
console(config)# vlan database
console(config-vlan)# vlan 100-124,1000,1200
console(config-vlan)# exit
Настроить порты пользователей
console(config)# interface range fa1/0/1-24
console(config-if)# switchport mode access
console(config-if)# switchport access vlan 100
console(config-if)# switchport access multicast-tv vlan 1000
console(config-if)# bridge multicast unregistered filtering
console(config-if)#exit
Настроить uplink-порт, разрешив передачу многоадресного трафика, трафика пользователей и управление
console(config)# interface gi1/0/1
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan add 100-124,1000,1200
console(config-if)#exit
Настроить igmpsnooping глобально и на интерфейсах, добавить привязку групп
console(config)# ip igmp snooping
console(config)# ip igmp snooping vlan 1000
console(config)# ip igmp snooping vlan 100
console(config)# ip igmp snooping vlan 101
console(config)# ip igmp snooping vlan 102
…
console(config)# ip igmp snooping vlan 124
Настроить интерфейс управления
console(config)# interface vlan 1200
console(config-if)# ip address 192.168.33.100 255.255.255.0
console(config-if)# exit
 

Да, возможно. Для этого необходимо в режиме глобального конфигурирования воспользоваться командой rate-limit
rate-limit vlan_id rate burst,
где
vlan_id – номерVLAN;
rate – средняя скорость трафика (CIR), кбит/с;
burst – размер сдерживающего порога (ограничение скорости) в байтах.

Необходимо в режиме настройки Ethernet интерфейса выполнить команду:
switchport default-vlan tagged

Необходимо в режиме настройки Ethernet интерфейса выполнить команду:
switchport forbidden default-vlan
DHCP-relay внутри одного vlan 
При наличие необходимости отправить DHCP-request на сервер юникастом, используя только один vlan, необходимо выполнить настройки
IP адрес сервера 192.168.1.10, ip адрес коммутатора 10.1.1.238

ip dhcp relay address 192.168.1.10
ip dhcp relay enable
ip dhcp relay information option suboption-type custom
ip dhcp relay information policy replace
!
interface vlan 1
ip address 10.1.1.238 255.255.255.0
no ip address dhcp
ip dhcp relay enable
exit
!
ip default-gateway 10.1.1.

Для настройки порта в режиме access/trunk перейдите в режим конфигурирования интересующего интерфейса и введите комманды:

В режиме Access:
 console(config)# interface fastethernet 0/1
console(config)# switchport mode access
console(config)# switchport access vlan 10

В режиме Trunk:

console(config)# switchport mode trunk
console(config)# switchport trunk allowed vlan add all для пропуска всех VLAN’ов либо
console(config)# switchport trunk allowed vlan add 10,20,30 для определенного диапазона

При наличие необходимости отправить DHCP-request на сервер юникастом, используя только один vlan, необходимо выполнить настройки
IP адрес сервера 192.168.1.10, ip адрес коммутатора 10.1.1.238

ip dhcp relay address 192.168.1.10
ip dhcp relay enable
ip dhcp relay information option suboption-type custom
ip dhcp relay information policy replace
!
interface vlan 1
ip address 10.1.1.238 255.255.255.0
no ip address dhcp
ip dhcp relay enable
exit
!
ip default-gateway 10.1.1.1

Коммутаторы поддерживают функции DHCP Relay агента. Задачей DHCP Relay агента является передача DHCP-пакетов от клиента к серверу и обратно в случае, если DHCP-сервер находится в одной сети, а клиент в другой. Другой функцией является добавление дополнительных опций в DHCP-запросы клиента (например, опции 82).
Принцип работы DHCP Relay агента на коммутаторе: коммутатор принимает от клиента DHCP- запросы, передает эти запросы серверу от имени клиента (оставляя в запросе опции с требуемыми клиентом параметрами и, в зависимости от конфигурации, добавляя свои опции). Получив ответ от сервера, коммутатор передает его клиенту.
Пример настройки:
1) Включить глобально dhcp relay:
     ip dhcp relay enable
2) Задать ip-адрес доступного dhcp-сервера (192.168.10.5):
    ip dhcp relay address 192.168.10.5 
3) Включить dhcp-опции:
    ip dhcp relay information option suboption-type custom
либо
    ip dhcp relay information option suboption-type tr101
4) Включить dhcp relay в клиентском vlan:
    interface vlan 1
    ip dhcp relay enable
 5) В vlan'е где находится dhcp-сервера настроить ip-адрес:
    interface vlan 10
    ip address 192.168.10.90

Пример настройки для VLAN 101
Включить DHCPсервер и настроить пул выдаваемых адресов:
ip dhcp server 
ip dhcp pool network Test 
address low 192.168.101.10 high 192.168.101.254 255.255.255.0 
default-router 192.168.101.2 
dns-server 10.10.10.10 
exit
Задать для интерфейса VLAN101 IPадрес и сетевую маску (это будет адрес DHCPсервера) :
interface vlan 101 
ip address 192.168.101.1 255.255.255.0 
exit 
Назначить VLAN101 на Ethernet порт, к которому подключен пользователь (например, gi1/0/1):
interface gigabitethernet 1/0/1 
switchport access vlan 101 
exit

Необходимо подключить коммутатор к компьютеру при помощи кабеля RS-232 (через порт «Console»).
Используя терминальную программу (например, HyperTerminal) создайте подключение, произведя  следующие настройки:
выберете соответствующий последовательный порт.
установите скорость передачи данных – 115200 бит/с.
задайте формат данных: 8 бит данных, 1 стоповый бит, без контроля четности.
отключите аппаратное и программное управление потоком данных.
Перезагрузите коммутатор и войдите в меню Startup, прервав загрузку нажатием клавиши <Esc> или <Enter> в течение первых двух секунд после появления сообщения автозагрузки:
Autoboot in 2 seconds - press RETURN or Esc. to abort and enter prom.
В появившемся меню выберете пункт«Password Recovery Procedure», нажав клавишу<3>.
Далее необходимо вернуться в меню Startup, нажав клавишу <Enter>,  и продолжить загрузку коммутатора, нажав клавишу <Esc>.
При подключении имя пользователя и пароль будут проигнорированы.
Просмотр информации в выводе команд show
При просмотре информации командой show можно использовать несколько способов:
Для вывода информации полностью используем клавишу «а»
Для вывода информации постранично используем «space»
Для вывода информации построчно «enter»
 
При использовании команды
console# terminal datadump
вывод информации командой show будет происходить полностью, не постранично

Да, такая возможность есть.
Для этого необходимо воспользоваться командой
console#show system defaults

Коммутаторы MES позволяют резервировать конфигурацию на TFTP-сервере по таймеру или при сохранении текущей конфигурации.
Настройка:
1) Включаем автоматическое резервирование конфигурации на сервере
console(config)#backup auto
2) Указываем сервер, на который будет производиться резервирование конфигурации.
console(config)#backup server tftp://10.10.10.1
3) Указываем путь расположения файла на сервере
console(config)#backup path backup.conf
Примечание: При сохранении к префиксу будет добавляться текущая дата и время в формате ггггммддччммсс.
4) Включаем сохранение истории резервных копий
console(config)#backup history enable
5) Указываем промежуток  времени, по истечении которого будет осуществляться автоматическое резервирование конфигурации, в минутах.
console(config)#backup time-period 500
6) Включаем резервирование конфигурации при сохранении пользователем конфигурации
console(config)#backup write-memory
Команды show backup и show backup history позволяют посмотреть информацию о настройках резервирования конфигурации и об удачных попытках резервирования на сервере.

Сброс конфигурации к заводским настройкам возможно осуществить через CLI, выполнив команду
delete startup-config
и перезагрузив коммутатор, 
а также при помощи кнопки "F" на лицевой панели.
Для этого необходимо нажать и удерживать кнопку "F" не менее 15 секунд.
Коммутатор автоматически перезагрузится и начнет работу с заводскими настройками.

Для загрузки файла системного ПО необходимо в командной строке CLI ввести следующую команду:
boot system tftp:// <ip address>/File Name,
где
<ip address> – IP-адрес TFTP сервера, с которого будет производиться загрузка файла системного ПО;
File Name – имя файла системного ПО;
и нажать Enter. В окне терминальной программы должно появиться следующее:
COPY-I-FILECPY: Files Copy - source URL tftp:// <ip address>
Если загрузка файла прошла успешно, то появятся сообщения вида:
29-Feb-2016 12:50:14 %COPY-N-TRAP: The copy operation was completed successfully
По умолчанию файл системного ПО загружается в неактивную область памяти и будет активным после перезагрузки коммутатора.
После выбора необходимо произвести перезагрузку коммутатора командой reload.
Загрузка/выгрузка конфигурации
Для того, чтобы произвести загрузку/выгрузку файла конфигурации с использованием CLI необходимо подключиться к коммутатору при помощи терминальной программы (например HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.
Для загрузки файла первоначальной конфигурации с TFTP сервера необходимо в командной строке CLI ввести команду:
copy tftp:// xxx.xxx.xxx.xxx/File Name startup-config,
где
xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, с которого будет производиться загрузка конфигурационного файла;
File Name – имя конфигурационного файла;
и нажать Enter. В окне терминальной программы должно появиться следующее сообщение:
Overwrite file [startup-config] ?[Yes/press any key for no]....
Для записи конфигурационного файла необходимо нажать клавишу y. Если загрузка файла прошла успешно, то появится сообщение вида:
COPY-N-TRAP: The copy operation was completed successfully
Для выгрузки файла первоначальной конфигурации на TFTP сервер необходимо в командной строке CLI ввести следующую команду: 
copy startup-config tftp:// xxx.xxx.xxx.xxx/File Name,
где
xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, на который будет производиться выгрузка конфигурационного файла;
File Name – имя конфигурационного файла;
и нажать Enter. Если выгрузка файла прошла успешно, то появится сообщение вида:
COPY-N-TRAP: The copy operation was completed successfully

Сброс настроек интерфейса на значения по умолчанию выполняется следующей командой:
console(config)#default interface {fastethernet fa_port | gigabitethernet gi_port | port-channel group | vlan vlan_id | tunnel tunnel_id | range {…}}

ACS - Auto Configuration Server - сервер автоматического конфигурирования абонентских устройств по протоколу TR-069.
Внутренний ACS сервер встроен в оборудование LTP-4X/LTP-8X и служит для конфигурирования абонентских устройств, подключенных к данным OLT.
Внешний ACS сервер устанавливается на отдельный сервер и служит для конфигурирования абонентских устройств, поддерживающих протокол TR-069.

Необходимо подключиться к WEB-интерфейсу ONT по IP-адресу 192.168.1.1, логин/пароль  - user/user.

Перейти во вкладку «Device Info/DHCP».  Из таблицы Вы сможете узнать IP-адреса, которые получили клиенты локальной сети и срок аренды.

В данном разделе производится конфигурирование расписания работы компьютеров с использованием дней недели и часов, по которым определенному компьютеру в локальной сети будет запрещен доступ в Интернет. Запрет можно осуществить двумя способами:

• ограничение доступа к определенным сайтам.
• ограничение доступа в интернет по дням недели и времени.

Существует два способа сброса абонентских терминалов NTP-X / NTU-X к заводским настройкам. 

1. Подключиться к WEB конфигуратору абонентского терминала. IP-адрес устройства 192.168.1.1,  логин/пароль  - user/user.

Во вкладке «Management/Settings/Restore Default» нажать кнопку «Restore Default Settings» и подтвердить нажав «OK». Последует перезагрузка устройства и сброс конфигурации к заводским параметрам.

2. Удерживать системную клавишу "F" в течение 7-10 секунд. При этом индикатор «Power» загорится красным цветом, индикатор «PON» погаснет. Последует перезагрузка устройства и сброс конфигурации к заводским параметрам.

Доступ к услуге осуществляется через меню настроек абонентского порта на странице «VoIP/SIPAdvanced Setting» путем установки флага «Call barring» и задания необходимых параметров в полях «Call barring mode» и «Call barring digit map».

Возможно 3 варианта ограничения вызовов в зависимости от параметра, указанного в поле «Call barring mode»:

• Call barring mode = Allow all, все исходящие звонки разрешены.
• Call barring mode = Deny all, все исходящие звонки запрещены.
• Call barring mode = Deny by digit map, исходящие звонки запрещены только на номер, указанный в поле «Call barring digit map».

Использование услуги:

Значение «Call barring digit map» - 1150. Для ограничения всех исходящих вызовов в поле «Call barring mode» необходимо выбрать значение "Deny all".

Для того чтобы разрешить все исходящие вызовы, требуется выбрать "Allow all". Для запрета исходящих звонков на номер 1150 необходимо задать "Deny by digit map" в поле «Call barring mode».

Для того, чтобы в открытой сети (без пароля) ограничить доступ чужих лиц в вашу сеть, можно использовать функцию "Mac Filter". Фильтрация на основе MAC-адресов позволяет блокировать или разрешать доступ к сети Wi-Fi с учетом MAC-адреса Wi-Fi адаптера пользователя.

Для текущего SSID можно выбрать три режима работы фильтрации:

•     Disabled – фильтрация по MAC-адресу отключена.
•     Allow – при добавлении фильтра в данном режиме доступ к сети Wi-Fi получат только адреса, указанные в фильтре.
•     Deny – при добавлении фильтра в данном режиме доступ к сети Wi-Fi будет запрещен адресам, указанным в фильтре.

Изменение режима работы фильтра доступно только при включенном Wi-Fi. Для настройки необходимо:

1. Необходимо подключиться к WEB - интерфейсу NTP по IP-адресу 192.168.1.1 логин/пароль  - user/user.
2. Перейти во вкладку "Wireless - MAC Filter".
3. Выбрать нужную SSID в графе "Select SSID".
4. Выставить "MAC Restrict Mode" - "Allow".
5. Нажав кнопку ADD добавить MAC адреса устройств, которым Вы хотите разрешить доступ в Вашу сеть.

Терминалы NTP-RG1402G-W/NTP-RG1402G-W:rev B/NTP-RG1402G-W:rev C поддерживают одну основную и 3 гостевых Wi-fi сети. Для того чтобы активировать гостевую сеть необходимо:

1. Подключиться к WEB - интерфейсу NTP по IP-адресу 192.168.1.1 логин/пароль  - user/user.
2. Перейти во вкладку "Wireless - Basic".
3. В таблице "Wireless -Guest/Virtual Access Points" выставить значение "Enabled" напротив нужной сети.

Дополнительно можно настроить:

• Hidden – скрытый режим работы точки доступа (в данном режиме SSID беспроводной сети не будет широковещательно распространяться маршрутизатором);
• Clients Isolation – при установленном флаге беспроводные клиенты не смогут взаимодействовать друг с другом;
• Disable WMM Advertise – отключить WMM (Wi-Fi Multimedia – QoS для беспроводных сетей);
• Enable Wireless Multicast Forwarding (WMF) – включить WMF;
• SSID – Service Set Identifier – назначить имя беспроводной сети(ввод с учетом регистра клавиатуры);
• Max Clients - установить максимальное количество клиентов для данной сети

Если Ваш провайдер предоставляет просмотр IPTV на PC через LAN порт терминала ONT, то для просмотра на устройствах подключаемых через Wi-Fi необходимо включить опцию "Enable Wireless Multicast Forwarding (WMF)" в настройках Wi-Fi. 
Необходимо:

• подключиться к WEB - интерфейсу NTP по IP-адресу 192.168.1.1 логин/пароль  - user/user.
• перейти во вкладку "Wireless - Basic".
• выставить галочку напротив опции "Enable Wireless Multicast Forwarding (WMF)".
• нажать кнопку "Apply/Save".

Настройку необходимо производить через WEB браузер (например Internet Explorer, Opera или Mozilla Firefox).

• Необходимо подключиться к WEB - интерфейсу NTP по IP-адресу 192.168.1.1 логин/пароль  - user/user.
• Перейти во вкладку Wireless - Basic.
• Выставить флаг напротив "Hide Access Point" и нажать кнопку "Apply/Save".

После этого Ваша сеть станет скрытой.

Максимальное количество Wi-Fi клиентов, которые могут подключиться к Вашему терминалу - 16.

Для того, чтобы ограничить количество клиентов необходимо подключиться к терминалу через Web браузер (IP-адрес 192.168.1.1 логин/пароль  - user/user), перейти в меню "Wireless - Basic" и выставить значение опции "Max Client" от 1 до 16.

Необходимо подключиться к WEB-интерфейсу NTP-RG по IP-адресу 192.168.1.1, логин/пароль  - user/user. Перейти во вкладку «Wireless/Basic», установить флаг в поле «Enable Wireless» и указать название сети в поле «SSID».  Нажать кнопку «Apply».

Во вкладке «Security» в поле «Network Authentication» из перечня в выпадающем списке требуется выбрать режим аутентификации для беспроводной сети. Нажать кнопку «Apply».

open – открытый – защита беспроводной сети отсутствует (в этом режиме может использоваться только WEP-ключ);

Shared – общий (режим позволяет пользователям получать аутентификацию по их SSID или WEP-ключу);

802.1x– включает стандарт 802.1x(позволяет пользователям аутентифицироваться с использованием сервера аутентификации RADIUS, для шифрования данных используется WEP-ключ);

WPA – включает стандарт WPA (режим использует протокол WPA и требует использования сервера аутентификации RADIUS).

WPA-PSK – включает стандарт WPA-PSK (режим использует протокол WPA, но не требует использования сервера аутентификации RADIUS).

WPA2 – включает WPA2 (режим использует протокол WPA2 и требует использования сервера аутентификации RADIUS).

WPA2-PSK – включает WPA2-PSK (режим использует протокол WPA2, но не требует использования сервера аутентификации RADIUS).

Mixed WPA2/WPA – включает комбинацию WPA2/WPA (данный режим шифрования использует протоколы WPA2 и WPA, требует использования сервера аутентификации RADIUS).

Mixed WPA2/WPA-PSK – включает комбинацию WPA2/WPA PSK (этот режим шифрования использует протоколы WPA2-PSK и WPA-PSK, не требует использования сервера аутентификации RADIUS).

Например, если выбираем шифрование WPA2-PSK, то в поле «WPA/WAPI passphrase» необходимо указать ключ доступа по к Wi-Fi. При изменении ключа безопастности необходимо учитывать, что он должен содержать не менее 10 символов, латинские буквы в нижнем и верхнем регистрах, не менее одной цифры.

Посмотреть введенный пароль можно нажав на кнопку «Click here to display».

Настройку необходимо производить через WEB браузер (например Internet Explorer, Opera или Mozilla Firefox). Необходимо подключиться к WEB - интерфейсу NTP по IP-адресу 192.168.1.1 логин/пароль  - user/user.

Перейдите во вкладку Advanced Setup / NAT / Virtual Servers и нажмите кнопку ADD для добавления правила.

Select a Service - возможно выбрать из предлагаемого списка нужный сервис.

В случае, если в списке Select a Service нет требуемой программы, необходимо установить флаг Custom Service и прописать произвольное имя правила.

Server IP Address  - укажите IP-адрес локальной машины (телефон, компьютер, камера), на которую необходимо пробросить порты.

External Port Start, External Port End - укажите порт или диапазон портов, по которым будет приходить запросы из внешней сети.

Internal Port Start, Internal Port End - укажите порт или диапазон портов, по который роутеру следует пробрасывать трафик во внутреннюю подсеть

Protocol - укажите протокол, по которому роутер будет пробрасывать трафик во внутренню подсеть (TCP, UDP, TCP/UDP).

Для сохранения/применения конфигурации нажмите кнопку "Apply/Save".

Настройка завершена.

Перед тем как проверить проброшены ли порты, убедитесь, что брандмауэры и антивирусы не блокируют проверяемые программы.

Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль  - admin/password. Перейти во вкладку «Voice / Sip Advanced Setting», для своего аккаунта в поле Call waiting установить флаг.  Нажать кнопку «Apply/Save».

Услуга «Анти-АОН» позволяет абоненту запретить или разрешить определение своего телефонного номера при исходящих звонках на любые телефонные номера.

Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль  - admin/password.

Перейти во вкладку «Voice / Sip Advanced Setting», для своего аккаунта поставить галочку напротив Anonymous calling. Нажать кнопку «Apply/Save» 

Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль  - admin/password. Перейти во вкладку «Voice / Sip Advanced Setting», для своего аккаунта указать вид переадресации и задать номер для перенаправления вызова.  Нажать кнопку «Apply/Save».

Виды переадресации:

• Forward unconditionally – при установленном флаге разрешена безусловная переадресация;
• Forward on"busy" – при установленном флаге разрешена переадресация вызова по занятости;
• Forward on"no answer" – при установленном флаге разрешена переадресация вызова по неответу абонента.

Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль  - user/user. Перейти во вкладку «Advanced Setup/Parental control/URL Filter».  Нажать кнопку «Add» для добавления новой записи.

В открывшемся окне необходимо указать порт и сайт, к которому будет закрыт доступ.

Если возникает необходимость выдачи опеределенного IP-адреса конкретному устройству (например, для проброса портов или настройки учетной записи на Smart TV), то в настройка NTP-RG1402G-W / NTP-RG1402G-WrevB / NTP-RG1402G-WrevC / NTP-2 / NTU-RG1402G-W / NTU-2W необходимо сделать следующее:

• подключиться к WEB-интерфейсу ONT по IP-адресу 192.168.1.1 (логин/пароль - user/user).
• перейти в раздел "Advanced Setup / LAN / General Settings".
• нажать кнопку "Add".
• в поле "MAC Address" указать адрес определенного устройства, в поле "IP Address" указать адрес, который должен будет выдаваться устройству.
• нажмите "Apply".

Необходимо подключиться к WEB-интерфейсу NTP по IP-адресу 192.168.1.1, логин/пароль  - user/user. Перейти во вкладку «Advanced Setup/Parental control/Time Restriction».  Нажать кнопку «Add» для добавления новой записи.

В открывшемся окне необходимо задать MAC-адрес сетевой карты компьютера, к которому будут применены ограничения, указать дни недели и время, когда будет ограничен доступ в интернет.

Всего можно добавить не более 16 записей.

Внимание!

Чтобы данные настройки работали корректно, необходимо перейти во вкладку «Management/Internet Time» и установить автоматическую синхронизацию по времени с сервером, указать часовой пояс вашего региона. Нажать кнопку «Apply/Save».

Необходимо подключиться к WEB-интерфейсу NTP-RG по IP-адресу 192.168.1.1, логин/пароль  - admin/password. 
Туннель поднимается на интерфейсе epon0.1/ppp0.1, поэтому перед началом настройки следует поднять этот интерфейс (получить адрес/поднять pppoe сессию). Затем необходимо перейти в меню «VPN/L2TP Client» и нажать кнопку «Add».

В открывшемся окне указать имя L2TP тоннеля и адрес L2TP сервера, нажать кнопку «Next».

Затем необходимо указать логин/пароль для соединения и включить NAT, нажать кнопку «Next».

Для завершения настройки необходимо нажать кнопку «Apply/Save». 
В меню «Routing/Default Gateway» необходимо выставить интерфейс ppp1 (интерфейс L2TP соединения) в качестве маршрута по умолчанию.

           Для наилучшего покрытия беспроводной сетью помещения рекомендуется располагать терминал в равном удалении от всех концов помещения. Очень важно не располагать терминал на близком расстоянии от источников отражения (не менее 5-10 см). Не рекомендуется располагать терминал в углах, в шкафах или других закрытых точках, которые представляют для распространения радиосигнала препятствия и помехи. Очень важно не располагать терминал за зеркальными поверхностями, так как зеркальная дверь в шкафу или зеркало расположенное на стене перед терминалом - существенно ухудшает распространение сигнала и нарушает стабильность работы беспроводной сети.
          Не рекомендуется располагать терминал вблизи бытовых приборов, таких как микроволновые печи, телефоны, работающие в диапазоне 2,4–5 ГГц, передатчики видеосигнала, беспроводные динамики, работающие на частоте 2,4 или 5 ГГц, любые другие беспроводные устройства, работающие на частоте 2,4 ГГц или 5 ГГц (камеры, видеоняни, соседские беспроводные устройства и прочее).

В оптических абонентских устройствах ONT канал по умолчанию выбирается автоматически, на основе периодического анализа радиоэфира. Но вы можете вручную установить номер канала, в котором будет работать точка доступа. Абонентские устройства работающие на частоте 2.4Ггц имеют поддержку 13 каналов. Обращаем ваше внимание, что но не все клиентские устройства поддерживают работу на 12 и 13 каналах, поэтому если на точке доступа выбран для работы 12 или 13 беспроводной канал, то такие устройства не увидят точку доступа.

Пример:

LTP-X# acs
(acs)ont
(acs-ont)show list all

И вот тут непонятно, почему две ont?

Далее, при попытке сделать сброс к дефолту или реконфигруацию выводит сообщение:

LTP-4X(acs-ont-sn='ELTX1A2B3C4D')# reconfigure
ERROR: Cann't send command: ONT url not defined!

Дело в том, что acs не находит онт с серийным номером ELTX1A2B3C4D, т.к. формат должен быть числовой: 454C54581A2B3C4D, не зависимо от настроек LTP-4(config)# cli ont-sn-format.

Если онт онлайн, то ее не надо добавлять командой (acs-ont)add ont ххххххх, она сама появится в списке со своим серийным номером.

Итак, две онт с одинаковым с/н из-за того, что одна была добавлена пользователем с нечитаемым для acs-сервера форматом с/н, а вторая появилась автоматически, т.к. отсутствовала в списке.

Для перезагрузки ONT со станции необходимо выполнить команду
LTP-4X# send omci reset interface ont x/y

Для сброса к заводским настройкам
LTP-4X# send omci restore interface ont x/y
Где 
x - номер канала 0..3,
y - ont ID 0..127

Примеры
LTP-4X# send omci reset interface ont 0          // Перезагрузить все ONT на канале 0
LTP-4X# send omci reset interface ont 0/1-10     // Перезагрузить все ONT 0-10 на канале 0
LTP-4X# send omci reset interface ont 1,2/4,10   // Перезагрузить все ONT 4 и 10 на каналах 1 и 2

Для загрузки текста профиля в графическом интерфейсе ACS.GUI внешнего ACS сервера необходимо, исключить из текста комнды set property и оставить только параметры конфигурирования, наример:

• “InternetGatewayDevice.X_BROADCOM_COM_LoginCfg.AdminPassword” “qwerty”

В дефолтной конфигурации на данном типе ONT установлен gpon password со значением "default", поэтому при добавлении ONT в конфигурацию OLT необходимо указать данный пароль.

LTP-4X(config)# interface ont 0/0
LTP-4X(config)(if-ont-0/0)# password default

Статус CFGFAILED означает что произошел сбой в процессе конфигурирования ONT.  Причина этого сбоя - ошибки в конфигурации ONT на OLT. 
Ниже приведены наиболее частые ошибки, которые приводят к сбою конфигурации ONT:
1) На сервис назначен профиль cross-connect, но не назначен профиль DBA;
2) В конфигурации ONT присутствуют 2 профиля cross-connect с типом management.

Настройку сетевых параметров терминала рекомендуется выполнять при подключении через COM-порт. Такой подход позволит избежать проблем с удаленным доступом к настраиваемому терминалу. При удаленной настройке будьте предельно внимательны.

Сначала необходимо прописать VLAN в конфигурации switch (коммутатора) LTP-8X. Для этого перейти из корневого меню в меню коммутатора командой <switch>

• LTP-8X(switch)

Перейти к конфигурированию коммутатора командой <configure>

• LTP-8X(switch)(config)#

Перейти к конфигурированию VLAN по его идентификатору <vlan [1..4094]>

• LTP-8X(switch)(config)# vlan 2

Добавить во VLAN front-port, через который осуществляется управление:

• LTP-8X(switch)(config-vlan)# tagged front-port 0

Ввести команду для применения изменений в конфигурации коммутатора, предварительно поднявшись выше уровнем командой <exit>:

• LTP-8X(switch)(config-vlan)# exit
• LTP-8X(switch)(config)# commit

Далее необходимо перейти из корневого меню в раздел конфигурирования терминала и задать необходимые параметры:

• LTP-8X# configure terminal
• LTP-8X(config)# management vid 2 //задайте VLAN управления терминала
• LTP-8X(config)# management ip xxx.xxx.xxx.xxx //задайте IP-адрес терминала
• LTP-8X(config)# management mask xxx.xxx.xxx.xxx //задайте маску подсети
• LTP-8X(config)# management gateway xxx.xxx.xxx.xxx //задайте шлюз по умолчанию

По завершению конфигурирования обязательно ввести команды для применения и сохранения конфигурации устройства:

• LTP-8X(config)# do commit
• LTP-8X(config)# do save

Изменения вступят в силу после применения конфигурации (команда commit).
LTP-8X(config)# do show management //просмотр сетевых параметров

Заводской IP-адрес устройства 192.168.1.2/24.
Для просмотра текущего IP-адрес введите:

• LTP-8X# show management

Изменение IP-адреса и других сетевых параметров:

• LTP-8X# configure terminal
• LTP-8X(config)# management ip ххх.ххх.ххх.ххх //где ххх.ххх.ххх.ххх - IP-адрес устройства;
• LTP-8X(config)# management mask yyy.yyy.yyy //где yyy.yyy.yyy.yyy - маска подсети;
• LTP-8X(config)# management gateway zzz.zzz.zzz //где zzz.zzz.zzz.zzz - IP-адрес шлюза;
• LTP-8X(config)# management vid A //где А - номер управляющего VLAN.

Ввести команды для применения и сохранения изменений в конфигурации устройства:

• LTP-8X(config)# do commit
• LTP-8X(config)# do save

Изменения вступят в силу после применения конфигурации (команда commit).

Загрузка/выгрузка файлов конфигурации на/с устройства производится по протоколу TFTP.
Загрузка конфигурации
Для того чтобы загрузить файл конфигурации в терминал, необходимо запустить TFTP‑сервер. В директорию сервера (.../tftpboot) положить новый файл конфигурации LTP‑8X, и ввести команду:

• LTP-8X# copy tftp://192.168.18.1/file.config fs://config

где file.config — загружаемый файл конфигурации.

192.168.18.1 - host TFTP-сервера.

Выгрузка конфигурации
Необходимо запустить TFTP-сервер. Ввести команду:

• LTP-8X# copy fs://config tftp://192.168.18.1/backup.config

где
backup.config — выгружаемый файл конфигурации, имя файла может быть любым.

192.168.18.1 - host TFTP-сервера.

Так же поддерживается автоматизация процесса создания резервных копий конфигурации:

• LTP-8X# configure terminal

задание адрес tftp-сервера, куда будет сохраняться файл конфигурации:

• LTP-8X(config)# backup uri tftp://192.168.18.1/backup.config

выгрузка конфигурации после каждого сохранения конфигурации:

• LTP-8X(config)# backup on save //включение опции

выгрузка конфигурации по таймеру:

• LTP-8X(config)# backup on timer //включение опции
• LTP-8X(config)# backup timer period 3600 //задание длительности таймера в секундах

просмотр конфигурации автосохранения:

• LTP-8X(config)# do show backup

Ввести команды для применения и сохранения изменений в конфигурации устройства:

• LTP-8X(config)# do commit
• LTP-8X(config)# do save

На LTP-8X конструкцией не предусмотрено наличие батарейки, поэтому при перезагрузке устройства (прерывании питания) происходит сброс времени.

Чтобы не настраивать время на устройстве вручную можно произвести настройку протокола синхронизации времени с сервером. Для этого необходимо произвести следующие настройки:

• LTP-8X# configure terminal
• LTP-8X(config)# ip ntp enable
• LTP-8X(config)# ip ntp ip <ip-адрес сервера>
• LTP-8X(config)# ip ntp interval <период обращения в сек>
• LTP-8X(config)# ip ntp timezone <смещение относительно всемирного координационного времени>
• LTP-8X(config)# ip ntp daylightsaving
• LTP-8X(config)# do commit

При возникновении проблем с сервисом IP-TV (артефакты, замирания, черный экран и прочее) нужно проверить будут ли наблюдаться подобные искажения с front-port'a OLT (таким образом будет исключены PON-чип и ONT из схемы).

Пример настройки для MA4000

1. Зайти в linux на Ма4000.
Далее выполнить telnet 10.255.255.x, где X это номер платы PLC-8+2, например если нужно подключиться к плате в слоту 11: telnet 10.255.255.13

Заходим в режим конфигурирования switch платы PLC-8.

    PLC8-Slot11@ma4000> switch
    PLC8-Slot11@ma4000(switch)# configure
    PLC8-Slot11@ma4000(switch)(config)#

Настраиваем мультикаст VLAN, как показано в примере (например VLAN 30).

    PLC8-Slot11@ma4000(switch)(config)# vlan 30
    PLC8-Slot11@ma4000(switch)(config-vlan)# untagged front-port 0
    PLC8-Slot11@ma4000(switch)(config-vlan)# ip igmp snooping mrouter del front-port 0
    Operation successfull
    PLC8-Slot11@ma4000(switch)(config-vlan)# exit

Настраиваем bridging между front-port и slot-channel, дополнительно устанавливаем PVID 30 на front-port, чтобы из нетегированного трафика делать тегированный.

    PLC8-Slot11@ma4000(switch)(config)# interface front-port 0
    PLC8-Slot11@ma4000(switch)(config-if)# pvid 30
    PLC8-Slot11@ma4000(switch)(config-if)# bridging to slot-channel 0
    PLC8-Slot11@ma4000(switch)(config-if)# exit
    PLC8-Slot11@ma4000(switch)(config)# interface slot-channel 0
    PLC8-Slot11@ma4000(switch)(config-if)# bridging to front-port 0
    PLC8-Slot11@ma4000(switch)(config-if)# exit
    PLC8-Slot11@ma4000(switch)(config)# config commit

Подключаем ПК к front-port платы PLC-8, на плате он обозначен как MGMT. Запрашиваем мультикаст группу. Если проблем с изображением не будет, то вероятней всего проблема на ONT (возможно некорректная конфигурация и прочее). Если проблема с фронт-порта также будет фиксироваться, то стоит проверить будут ли наблюдаться артефакты и прочее с фронт-порта платы PP4X.

 Пример настройки для LTP

Заходим в режим конфигурирования switch 

    LTP> switch
    LTP(switch)# configure
    LTP(switch)(config)#

Настраиваем мультикаст VLAN, как показано в примере (например VLAN 30, запрашивать будем с front-port 0).

    LTP(switch)(config)# vlan 30
    LTP(switch)(config-vlan)# untagged front-port 0
    LTP(switch)(config-vlan)# ip igmp snooping mrouter del front-port 0
    Operation successfull
    LTP(switch)(config-vlan)# exit

Настраиваем bridging между front-port и slot-channel, дополнительно устанавливаем PVID 30 на front-port, чтобы из нетегированного трафика делать тегированный.

    PLC8-Slot11@ma4000(switch)(config)# interface front-port 0
    PLC8-Slot11@ma4000(switch)(config-if)# pvid 30
    PLC8-Slot11@ma4000(switch)(config-if)# bridging to slot-channel 0
    PLC8-Slot11@ma4000(switch)(config-if)# exit
    PLC8-Slot11@ma4000(switch)(config)# interface slot-channel 0
    PLC8-Slot11@ma4000(switch)(config-if)# bridging to front-port 0
    PLC8-Slot11@ma4000(switch)(config-if)# exit
    PLC8-Slot11@ma4000(switch)(config)# config commit

По умолчанию на OLT разрешена работа только ONT производства ООО «Предприятие «ЭЛТЕКС». Для обеспечения работы ONT сторонних вендоров необходимо наличие на OLT лицензии. Для получения лицензии обратитесь в коммерческий отдел компании «ЭЛТЕКС».

Существует 2 способа загрузки лицензии на LTP:
1) Через команду copy с помощью TFTP сервера:
LTP-8X# copy tftp://<IP>/<PATH> fs://license
Download file from TFTP-server..
License successfully installed. Please reboot device for changes to make effect
Где:
IP – IP-адрес TFTP-сервера;
PATH – путь к файлу лицензии на TFTP-сервере.

2) Через CLI:
LTP-8X# license set """<license>"""
License successfully installed. Please reboot device for changes to make effect

Где:
license – полное содержимое файла лицензии, включая фигурные скобки.
После загрузки лицензии любым из способов необходима перезагрузка LTP:
LTP-8X# reboot
Загрузка лицензии на MA4000 осуществляется аналогично двумя способами. После загрузки лицензии на МА4000 лицензия активируется сразу, перезагружать MA4000 не требуется.
Файл лицензии сохраняется при перезагрузке, обновлении ПО, загрузке конфигурации. При сбросе OLT к заводским настройкам лицензия также удалится.

Устройство NTU-1 это OMCI бридж, настроить его можно только по OMCI (у данного терминала нет TR клиента). 

Ниже в примере показано как в CLI конфигурируется Bridging для двух портов - FrontPort 0 и FrontPort 7.

• LTP-8X# switch
• LTP-8X(switch)# configure
• LTP-8X(switch)(config)# interface front-port 0
• LTP-8X(switch)(config-if)# bridging to front-port 7
• LTP-8X(switch)(config-if)# exit
• LTP-8X(switch)(config)# interface front-port 7
• LTP-8X(switch)(config-if)# bridging to front-port 0
• LTP-8X(switch)(config-if)# exit
• LTP-8X(switch)(config)# commit
• LTP-8X(switch)(config)# exit
• LTP-8X(switch)# exit
• LTP-8X# save

Внимание!  bridging между front портами может работать только при использовании model 2 или 3 в конфигурации OLT.

Пример:

LTP-X# acs
(acs)ont
(acs-ont)show list all

И вот тут непонятно, почему две ont?
Далее, при попытке сделать сброс к дефолту или реконфигурацию выводит сообщение:

LTP-4X(acs-ont-sn='ELTX1A2B3C4D')# reconfigure
ERROR: Cann't send command: ONT url not defined!

Дело в том, что acs не находит онт с серийным номером ELTX1A2B3C4D, т.к. формат должен быть числовой: 454C54581A2B3C4D, не зависимо от настроек LTP-4(config)# cli ont-sn-format.
Если онт онлайн, то ее не надо добавлять командой (acs-ont)add ont ххххххх, она сама появится в списке со своим серийным номером.
Итак, две онт с одинаковым с/н из-за того, что одна была добавлена пользователем с нечитаемым для acs-сервера форматом с/н, а вторая появилась автоматически, т.к. отсутствовала в списке.

Модель взаимодействия абонентской приставки и провайдера, включает в себя собственный магазин приложений, который содержит отобранные приложений, за которые, провайдер будет нести ответственность. Работа других приложений, установленных пользователем самостоятельно, не гарантирована.

• Убедится, что приставка находится в одной подсети с другими устройствами. Для этого зайдите в меню Настройка раздел Сеть.
• Убедится, что на ПК сетевые ресурсы открыты (на разных версиях Windows механизм предоставления сетевых ресурсов может отличаться).

Необходимо выполнить:

• процедуру по восстановлению заводской прошики (см. “Руководство по эксплуатации”, приложение Б)
• перезагрузить приставку
• скачать ПО с сайта провайдера или производителя и далее следовать инструкции по локальному обновлению ПО (см. “Руководство по эксплуатации”, приложение Б)

Если у Вас имеется заводская версия прошивки fw31x-rev(A или B)-eltex-x.y.z-b№.fwe, и обновление через Android заканчивается ошибкой: “Внимание, данная версия прошивки не поддерживается вашим устройством”, то нужно выполнить следующее:

• Скопировать образ прошивки в корень usb-накопителя;
• Подключить usb-накопитель к приставке. Нажать и удерживать кнопку F, на задней стороне панели.
• Подать питание. Удерживать кнопку “F”~5 сек. Начнётся процесс обновления прошивки на заводскую.

NV-10x поддерживает работу плейлистов формата xspf и m3u. Предпочтительнее использовать формат xspf. Для данного фомата реализована поддержка дополнительных тегов, подробное описание в руководстве: http://eltex.nsk.ru/upload/iblock/556/rukovodstvo-po-sozdaniyu-pley_lista-iptv-nv_100_-nv_102.pdf

Также приставка поддерживает ТВ-программы в формате jtv.

Возможно, ваш телевизор не поддерживает некоторые режимы работы порта HDMI.

В данном случае рекомендуется в меню Настройки раздела Видео/Аудио:

• в поле параметрах медиаплеера Установить Разрешение установить значение, при котором данная проблема будет наименее выражена.
• в поле частота кадров задать меньшее значение относительно текущего либо указать i50(черезстрочная развертка).

Вероятнее всего, вы выставили режим работы HDMI, который не поддерживается вашим телевизором. Зажмите кнопку F на пульте от приставки и удерживайте до тех пор, пока на экране не появится список доступных режимов. Попробуйте выставить один из предложенных режимов, если изображение опять исчезло, повторите процедуру с кнопкой F, но в этот раз выберите следующий режим.

Для того чтобы определить, поддерживается ли wi-fiадаптер приставкой, необходимо знать его VID(Vendor ID) и PID(Product ID). Посмотреть эту информацию можно несколькими способами:

1. При наличии адаптера и ПК с ОС Windows:

• подключите адаптер к ПК с ОС Windows;
• зайдите в Пуск - Панель управления - Система - Вкладка “оборудование” - Диспетчер устройств;
• найдите в списке ваш адаптер и нажмите правой кнопкой мыши – Свойства;
• в появившемся окне откройте вкладку Сведения;

·         вы увидите примерно такую надпись USB\VID_0CF3\&PID_9271\12345. , в которой:

• 0CF3 – VID
• 9271 – PID

2. При отсутствии возможности посмотреть данную информацию на ПК:

Попробуйте найти VID/PIDпо модели адаптера на следующих сайтах:

• http://linuxwireless.org/en/users/Devices/USB
• http://linux-wless.passys.nl

После этого необходимо найти соответствующую пару значений в текстовом документе по ссылке http://download.eltex-media.ru/nv/nv100/archive/wifi_new.txt. Если соответствие найдено, то ваш адаптер поддерживается, если нет, то, к сожалению, данное устройство работать не будет. P.S. Необходимо искать информацию по полной маркировке адаптера, вплоть до ревизии. Если вы не нашли модель адаптера на указанных выше сайтах, то, скорее всего, ваш адаптер не поддерживается. Для более точной информации нужно воспользоваться способом 1.

Наиболее вероятная причина проблемы это то, что на данной модели Router(а) между медными портами и WiFi настроен Bridge. Таким образом многоадресная рассылка (multicast), при просмотре с приставки через медь, разлетается по всем портам, в частности и в беспроводной интерфейс - в связи с этим возникают проблемы, т.к. WiFi оказывается загружен посторонним трафиком.

В качестве решения данной проблемы предлагается включение функции udpxy на приставке. Функция будет работать при условии поддержки данного функционала на встречной стороне (Router).

Следуйте инструкции по восстановлению заводской прошивки, см Руководство по эксплуатации в Центре Загрузки (http://eltex.nsk.ru/support/downloads/).

Подключите WiFi-адаптер к порту USB приставки. Откройте Настройки раздел Сеть. В поле Типвыберите Беспроводной. Нажмите кнопку «Поиск WiFi сетей». Из списка выберите нужную точку доступа (Access Point). При необходимости введите ключ для подключения к Wi-Fi.

В случае если медиацентр NV-102 не загружается и восстановление до заводской прошивки по кнопке F не помогает, остается последний вариант самостоятельного восстановления - смена образа ПО.

1. Скачайте архив образа ПО
2. Распакуйте содержимое архива в корень USB-флешки - должно получиться 2 файла
3. Подключите флешку к выключенному от питания медиацентру
4. Зажмите кнопку F на задней панели медиацентра и подключите кабель питания
5. Отпустите кнопку F когда светодиод статуса устройства станет зеленым (примерно через 5-7 секунд)
6. Дождитесь окончания восстановления (7-9 минут)

По окончанию восстановления медицентр будет перезагружен. На нем будет установлена новая заводская прошивка. После этого можете обновиться на прошивку Вашего провайдера или любую другую из Центра Загрузки

Если у Вас при загрузке приставки после экранов "загрузка" и "Проверика обновлений" не появлется главное меню приставки, но при этом светодиод статуса устройтсва мигает зеленым и красным светом, то возможно в программном обеспечении медиацентра есть плагины от старых версий ПО, которые не совместимы с новыми.

В этом случае выполните действия:

1. Отключите кабель питания и сетевой кабель Ethernet.
2. Выполните процедуру восстановления ПО используя кнопку F на задней панели медиацентра.
3. По окончанию восстановления выполните обновление с локального носителя на требуемую прошивку.
4. После обновления в меню "Настройки - Система" выберите способ обновления "Файл" или "Нет"
5. Подключите сетевой кабель Ethernet

В результате медиацентр не будет подгружать архив кастомизации провайдера config.tar.gz, в котором, чаще всего, и содержатся устарые плагины. Если у Вас вновь пропало изображение после пункта 3 - устаревший плагин уже вшит в прошивку. Обратитесь к провайдеру по этой проблеме.

В сервисе Youtube регулярно появляются правки и нововведения, вследствии которых мы можем гарантировать его стабильную работу только на актуальных версиях прошивок.

Если у Вас Youtube не работает, выполните следующие действия:

• Проверьте актуальную ли версию ПО Вы используете. Свежие прошивки можете скачать из Центра Загрузки
• Устанволен доступ к Интернет
• В главном меню отображается текущее время

На примере оператора “Новотелеком” 

Для установки плагина p2p вам необходимо:

1.     Установить новую прошивку (на сайте в соответствующем разделе) и скачать плагин p2p (по ссылке в changelog’е одной из последних прошивок).

2.     Подключиться к приставке по telnet, логин:root, пароль: мак адрес приставки (a8f94b…).

3.     Ввести команду для перемонитрования раздела sdk на запись. mount -o remount,rw /sdkВнимание!!! В случае ошибочных действий вы можете испортить системную часть приставки, что может повлечь за собой порчу прошивки. В случае порчи восстановите прошивку до заводской и установите заново текущую согласно руководству по локальному обновлению программного обеспечения.

4.     Вставить USB flash накопитель c плагином и файлами конфигурации (см. ниже) в USB порт приставки.

5.     Скопировать все три файла в папку /sdk/qt/STBGUI_PLUGIN/p2ptv с помощью команд:

cp /mnt/stb/local/”your_flash_name”/libp2ptv.so /sdk/qt/STBGUI_PLUGIN/p2ptv/ 

cp /mnt/stb/local/”your_flash_name”/p2ptv_desc.txt /sdk/qt/STBGUI_PLUGIN/p2ptv/ 

cp /mnt/stb/local/”your_flash_name”/p2ptv.config /sdk/qt/STBGUI_PLUGIN/p2ptv/

Чтобы узнать “your_flash_name”, наберите команду mount, например:

eltex-nv102[~]# mount 
      

     /dev/sda1 on /mnt/stb/local/JetFlash-Transcend 4GB-part1 type vfat (rw,relatime,fmask=0022,dmask=0022,codepage=cp437,iocharset=utf8,shortname=mixed,errors=remount-ro)

В данном случае путь до USB flash накопителя будет таким: /mnt/stb/local/JetFlash-Transcend\ 4GB-part1/

Введите команду sync и перезагрузите приставку.

Содержимое p2ptv_desc.txt (для Новотелеком):

hub=peers.cn.ru:411

Содержимое p2ptv.config (для Новотелеком):

?device=eltex-nv101-mkv&api-version=2

http://www.cn.ru/films/xml/tags/ 

http://www.cn.ru/films/xml/list/ 

http://www.cn.ru/films/xml/search/ 

Если у вас другой оператор, тогда вам необходимо знать адрес хаба и адреса афиши, и прописать их в файлах p2ptv_desc.txt и p2ptv.config

1. Необходимо скачать make архив (разобранная прошивка) последнего релиза. Для этого нужно определить номер последнего релиза для модели на странице http://eltex.nsk.ru/support/downloads/ и в соответствии с версией составить ссылку для скачивания сборочного архива. Например:

NV100/101

http://download.eltex-media.ru/nv/nv100/archive/nv101img_160927_0.416.179.zip - ссылка на последний релиз

http://download.eltex-media.ru/nv/nv100/archive/make_fw_160927_0.416.179.tar.bz2 - ссылка на соответствующий make архив

NV102

http://download.eltex-media.ru/nv/nv102/archive/nv102ssk_161222_0.1.12.zip - ссылка на последний релиз

http://download.eltex-media.ru/nv/nv102/archive/make_fw_161222_0.1.12.tar.bz2 - ссылка на соответствующий make архив

То есть, вам нужно в ссылке на make архив из данной статьи вставить дату и номер версии последней релизной версии.

Так сделано, потому что make архив предыдущего релиза всегда удаляется с сервера, а хранится только актуальный. 

2. Скачать плагин-браузер для запуска "Смотрешки", конфиг и иконки.

• Плагин-браузер http://download.eltex-media.ru/nv/libstbbrowser.so
• Конфиг http://download.eltex-media.ru/nv/smotreshka/PluginManifest.xml
• Иконка большая http://download.eltex-media.ru/nv/smotreshka/smotreska_logo.png
• Иконка маленькая http://download.eltex-media.ru/nv/smotreshka/smotreska_logo_small.png

3. Положить 4 файла в папку с любым названием, например smotreshka и скопировать в директорию "/sdk/qt-install-4.7.0/STBGUI_PLUGIN/" (в распакованном make архиве).

4. Для того, чтобы логин/пароль сохранялся при выходе из приложения, нужно:

1. Скачать архив со скриптами по ссылке.
2. Скопируйте папку custom_scripts в корень директории sdk в make архиве.
3. Добавьте в файл do_list_sdk.sh строку рядом с другими аналогичными:

DIR_SCRIPTS=custom_scripts

       4. Добавьте директорию и файлы скриптов в sdk_files_and_dirs.txt

У вас получится примерно так:

    ${DIR_ELTEX}/lib \

    ${DIR_SCRIPTS}" 

FILES=" 

И внизу:

sch_fq_codel.ko \

loadStorage.sh \

saveStorage.sh" 

5. Воспользоваться руководством по сборке прошивки (стр.3, пример про приложение "Радио").

Если у вас на сети организован сервер обновлений, то необходимо в корень положить архив config.tar.gz (создать самостоятельно).

С содержимым:

• libstbbrowser.so
• PluginManifest.xml
• smotreska_logo.png
• smotreska_logo_small.png
• loadStorage.sh
• saveStorage.sh
• file_list.txt

В файл file_list.txt нужно перечислить пути, куда копировать данные файлы:

/sdk/qt/STBGUI_PLUGIN/smotreshka/libstbbrowser.so

/sdk/qt/STBGUI_PLUGIN/smotreshka/PluginManifest.xml

/sdk/qt/STBGUI_PLUGIN/smotreshka/smotreska_logo.png

/sdk/qt/STBGUI_PLUGIN/smotreshka/smotreska_logo_small.png

/sdk/custom_scripts/loadStorage.sh

/sdk/custom_scripts/saveStorage.sh

В конце последней строки обязательно нужно поставить Enter (перевод строки)!

При каждом запуске приставка проверяет наличие данного архива, скачивает его и копирует файлы в соответствии с file_list.txt

Подробнее про кастомизацию с помощью архива можно почитать в рукуводстве на сайте по ссылке.

1. Необходимо скачать make архив (разобранная прошивка) последнего релиза. Для этого нужно определить номер последнего релиза для модели на странице http://eltex.nsk.ru/support/downloads/ и в соответствии с версией составить ссылку для скачивания сборочного архива. Например:

NV100/101

http://download.eltex-media.ru/nv/nv100/archive/nv101img_160927_0.416.179.zip - ссылка на последний релиз

http://download.eltex-media.ru/nv/nv100/archive/make_fw_160927_0.416.179.tar.bz2 - ссылка на соответствующий make архив

NV102

http://download.eltex-media.ru/nv/nv102/archive/nv102ssk_161222_0.1.12.zip - ссылка на последний релиз

http://download.eltex-media.ru/nv/nv102/archive/make_fw_161222_0.1.12.tar.bz2 - ссылка на соответствующий make архив

То есть, вам нужно в ссылке на make архив из данной статьи вставить дату и номер версии последней релизной версии.

Так сделано, потому что make архив предыдущего релиза всегда удаляется с сервера, а хранится только актуальный. 

2. Скачать плагин-браузер для запуска "Смотрешки", конфиг и иконки.

• Плагин-браузер http://download.eltex-media.ru/nv/libstbbrowser.so
• Конфиг http://download.eltex-media.ru/nv/smotreshka/PluginManifest.xml
• Иконка большая http://download.eltex-media.ru/nv/smotreshka/smotreska_logo.png
• Иконка маленькая http://download.eltex-media.ru/nv/smotreshka/smotreska_logo_small.png

3. Положить 4 файла в папку с любым названием, например smotreshka и скопировать в директорию "/sdk/qt-install-4.7.0/STBGUI_PLUGIN/" (в распакованном make архиве).

4. Для того, чтобы логин/пароль сохранялся при выходе из приложения, нужно:

1. Скачать архив со скриптами по ссылке.
2. Скопируйте папку custom_scripts в корень директории sdk в make архиве.
3. Добавьте в файл do_list_sdk.sh строку рядом с другими аналогичными:

DIR_SCRIPTS=custom_scripts

       4. Добавьте директорию и файлы скриптов в sdk_files_and_dirs.txt

У вас получится примерно так:

    ${DIR_ELTEX}/lib \

    ${DIR_SCRIPTS}" 

FILES=" 

И внизу:

sch_fq_codel.ko \

loadStorage.sh \

saveStorage.sh" 

5. Воспользоваться руководством по сборке прошивки (стр.3, пример про приложение "Радио").

В случае когда не удается загрузить медиацентр ни с рабочей, ни с резервной прошивки, можно прибегнуть к процедуре восстановления со сменой заводского ПО при помощи образа.

1. Отключите от медиацентра кабели питания и Ethernet
2. Скачайте и распакуйте в корень USB-флешки образ ПО __nv101.img. Ссылка: https://yadi.sk/d/OPIy0b1XnrFKe
3. Подключите флешку к приставке
4. Зажмите кнопку F на задней панели и подключите кабель питания
5. Отпустите кнопку F когда светодиод статуса станет зеленым (примерно 5-7 секунд)
6. Дождитесь окончания восстановления.

В процессе на экране будет отображаться надпись "Загрузка". Весь процесс занимает 10-15 минут. По окончанию восстановления будет загружена резервная завдосткая прошивка, с котрой можно обновиться на актуальную версию. Прошивки дсотупны в Центре загрузки: http://eltex.nsk.ru/support/downloads/ 

Актуальные make архивы последних релизов можно скачать с ftp:
ftp://ftp.eltex.org/nv10x/
Пользователь: stbguest
Пароль: GuestSTB15@

В случае, когда не удается обновить ПО через web-интерфейс или консоль (Тelnet, SSH), существует возможность резервного обновления ПО через RS-232.
Для того чтобы обновить встроенное ПО устройства, необходимы следующие программы:
Программа терминалов (например, TERATERM, SecureCRT, Putty);
Программа TFTP сервера.
Последовательность действий при обновлении устройства:
Подключиться к порту Ethernet устройства.
Подключить скрещенным кабелем Com-порт компьютера к Console-порту устройства.
Запустить терминальную программу.
Настроить скорость передачи 115200, формат данных 8 бит, без паритета, 1 бит стоповый, без управления потоком.
Запустить на компьютере программу TFTP-сервера (компьютер, на котором запущен TFTP-сервер и устройство должны находиться в одной сети) и указать путь к папке smg_files. В ней создать папку smg или smg1016m или smg2016, в зависимости от модели оборудования. Далее положить в них файлы прошивок, чтобы конечный путь стал таким:
для SMG1016M -/smg_files/smg1016m/smg1016M_kernel, /smg_files/smg1016m/smg1016M_initrd;
для SMG1016 -/smg_files/smg/smg1016_kernel, /smg_files/smg/smg1016_initrd;
для SMG2016 -/smg_files/smg2016/smg2016_kernel, /smg_files/smg2016/smg2016_initrd.
Включить устройство. Остановить загрузку путем ввода команды stop в момент появления следующей надписи:
U-Boot 2009.06 (Feb 09 2010 - 20:57:21)
CPU: AMCC PowerPC 460GT Rev. A at 800 MHz (PLB=200, OPB=100, EBC=100 MHz) 
Security/Kasumi support 
Bootstrap Option B - Boot ROM Location EBC (16 bits) 
32 kB I-Cache 32 kB D-Cache
Board: SMG-1016Mv2 board, AMCC PPC460GT Glacier based, 2*PCIe, Rev. FF
I2C: ready
DRAM: 512 MB
SDRAM test phase 1:
SDRAM test phase 2:
SDRAM test passed. Ok!
FLASH: 64 MB
NAND: 128 MiB
DTT: 1 FAILED INIT
Net: ppc\_4xx\_eth0, ppc\_4xx\_eth1
Type run flash\_nfs to mount root filesystem over NFS
Autobooting in 3 seconds, press 'stop' for stop
=> 
Задать IP-адрес устройства:
set ipaddr <ipaddr>
где <ipaddr> - новый IP-адрес SMG.
Например: set ipaddr 192.168.2.2
Задать сетевую маску:
set netmask <netmask>
где <netmask> - сетевая маска.
Например: set netmask 255.255.255.0
Задать IP-адрес TFTP-сервера:
set serverip <tftp-ip>
где <tftp-ip> - IP-адрес компьютера, на котором запущен TFTP-сервер.
Например: set serverip 192.168.2.5
Активировать сетевой интерфейс командой mii si
Обновить ядро Linux:
для SMG1016m или SMG2016 командой run flash_kern;
для SMG1016 командой run updatekern.
Обновить файловую систему:
для SMG1016m или SMG2016 командой run flash_initrd;
для SMG1016 командой run updateinit.

Запустить устройство командой run bootcmd.

В настоящий момент на устройстве существуют следующие ограничения:
Общее количество префиксов - 2048
Общее количество масок в каждом префиксе - 4096
Максимальная длина каждой маски - 1000 символов
Общее количество модификаторов - 8192
Общее количество SIP интерфейсов - 255
Общее количество транковых групп - 255
Максимальное количество планов нумерации - 16
Максимальное количество связок для абонентского типа регистрации на интерфейсах SIP - 3000
Максимальное число транковых направлений - 32
Максимальное число транковых групп в транковых направлениях - 32
Максимальное количество PBX профилей - 32
Максимальное количество сетевых интерфейсов - 10 с возможностью увеличения до 40 при установке лицензии SMG-VNI
На версиях ПО с RC12 до 3.2.1 количество транковых групп и SIP-интерфейсов было меньше - 64.
На версиях ПО RC11 и ниже были следующие ограничения:
Общее количество префиксов - 255
Общее количество масок в префиксе - 512
Максимальная длина каждой маски - 1000 символов
Общее количество модификаторов - 8192
Максимальное количество планов нумерации – 1

На SMG1016m/2016 есть 3 списка адресов:
Белый список IP адресов
Черный список IP адресов
Список заблокированных IP адресов
Сами списки находятся по следующему пути /tmp/disk/fail2ban
Соответственно, чтобы выгрузить списки с помощью tftp (на данный момент выгрузка доступна и из под web) достаточно ввести команду
cd /tmp/disk/fail2ban
tftp -pl <имя файла> <адрес сервера>
Чтобы загрузить списки с удаленного TFTP сервера можно использовать следующую команду:
cd /tmp/disk/fail2ban
tftp -gl <имя файла> <адрес сервера>
После загрузки файла в вебе нужно выключить/включить fail2ban, чтобы списки применились.

Балансировка нагрузки позволяет обеспечить распределение нагрузки между соседними ТД. Для того, чтобы избежать перегрузки полосы пропускания, точка доступа отклоняет подключение новых пользователей при достижении определенного уровня утилизации канала, что вынуждает новых пользователей подключаться к менее загруженным точкам.

   Настроить балансировку нагрузки можно в меню "Manage" в подменю "Load Balancing". 

   Для конфигурирования доступны следующие поля:

- Enabled – балансировка нагрузки включена;

- Disabled – балансировка нагрузки выключена.

- Utilization for No New Associations – уровень утилизации полосы пропускания точки доступа, при превышении которой происходит запрет на подключение новых клиентов, задается в %. По умолчанию – 0.

   Нажмите кнопку «Update» для сохранения внесенных изменений.

Точки доступа поддерживают следующие EAP методы аутентификации:

    для Ноtspot - EAP-MD5

    для Enterprise - EAP-PEAP, EAP-TLS, EAP-TTLS, EAP-MD5

Нужно понимать, что если клиент хорошо видит ТД, то это совсем не значит, что  ТД также хорошо видит клиента. Обычно мощность передатчика клиентского оборудования ниже.

Нужно понять с какой причиной отключается клиент от ТД. Вопрос определения MAC адреса клиентского устройства можно решить, например, попросив его авторизироваться под уникальным тестовым аккаунтом созданным на Radius (после подключения посмотреть мак адрес клиента в таблице аккаунтинга (Radius- Таблица подключения пользователей)). После выяснения мак адреса  необходимо в  журнале событий в СУ (События - Журнал событий) по мак адресу просмотреть причины отключения его от ТД  в указанный промежуток времени.

Основные причины:

-  RSSI -89, 'Disconnected by minimal signal level'

Уровень сигнала воспринимаемый ТД может сильно зависит от  расположения клиента (меняется его диаграмма направленности сигнала)

Такая причина стандартно появляется при роуминге клиента между точками – когда клиент сам не инициирует отключение, но уровень от него ниже критического(заданного в настройках), его отключает точка – после чего клиент должен авторизироваться на ТД с лучшим уровнем.

При неправильном радиопланировании может выйти так что клиент находясь в своем кабинете будет попадать в пограничную зону – и ТД будет видеть его с плохим уровнем сигнала – что приведет к частым отключением по данной причине.

- RSSI -67, 'Restart hostapd'

Сообщение такого плана говорит, что о том что на ТД был перезапущен радиомодуль – соответственно все клиенты подключенные к данной сети при этом отключаются от ТД. Перезапуск может происходить из-за:

    периодически из-за смены канала (если включен планировщик каналов, закладка Конфигурация-Cluster.Main-ChannelPlanner-Status). Нужно проверить какой период перепланирования выставлен. При необходимости увеличить его, либо отключить планировщик

    в СУ происходит синхронизация SSID через заданные промежутки времени – если в процессе синхронизации изменяются настройки то Radio-модуль также будет перезапущен. Необходимо проверить период синхронизаций в разделе Администрирование - Задачи по расписанию, графа “Проверка и исправление SSID привязок"

- 'Sending station inactivity'

Данная причина говорит о том, что точка доступа удалила запись о клиенте из своей памяти тк связь с ним была потеряна и при этом от клиента не было пакета на логическое завершение сессии. Это может быть связано с резким ухудшением сигнала что в свою очередь приводит к потере пакета отключения клиента. Возможно в помещении есть мертвые зоны.

- 'Sending station is leaving (or has left) BSS'

Чтобы настроить роуминг 802.11r через EMS выполните следующее:

1.      На всех точках доступа, участвующих в роуминге необходимо настроить режим работы кластера. Выделите в дереве устройств точку доступа. Зайдите на вкладку "Конфигурация", "Cluster.Main". Нажмите кнопку "Редактировать" и установите "Cluster mode" в режим "SoftWLC". Нажмите кнопку "Сохранить".  Повторите действия на остальных ТД.

2.      Далее необходимо на всех точках настроить одинаковые SSID. Для этого откройте пункт меню "Wireless", "Менеджер SSID" и создайте SSID. Задайте имя, домен, выберите все радио-интерфейсы для назначения SSID, задайте режим безопасности WPA Enterprise и оставьте включенным только режим шифрования WPA 2 (Enable pre-authentication = off, MFP = not required), сделайте настройки RADIUS, задайте VLAN ID.

Сделайте привязку созданного SSID ко всем точкам  доступа. Для этого выделите созданный SSID в списке и нажмите кнопку "Добавить SSID привязку". В дереве устройств выберите точки доступа, на которых настраиваете роуминг, нажмите кнопку "Добавить привязку" (индикатор в дереве сменится с желтого на зеленый), установите галочку "Запустить проверку SSID после добавления в БД", нажмите кнопку "Принять".

После этого созданный SSID появится на VAP во вкладке "Конфигурация", "Виртуальные точки доступа" на каждом радио-интерфейсе.

3.      Настройка роуминга.

В меню выберите пункт "Wireless", "Менеджер настройки FBT на ТД".  Установите "FT over DS"="on". Задайте R0 Key Holder, в качестве R1 Key Holder используйте MAC адрес одной из виртуальных точек в роуминговой сети.

Укажите:

Mobility Domain = 0,
Reassociation Deadline=1000 ms,
RRB key = <шестнадцатизначный ключ>.

Нажмите кнопку "Добавить" и выберите сначала точку доступа, а затем на ней настроенные VAP и нажмите кнопку "Добавить", затем "Принять".

4.      Результат настройки можно увидеть на вкладке "Конфигурация", "Key holder data"

1. Во вкладке VAP.
На устройствах настройте виртуальные точки доступа с одинаковым SSID, использующих один VLAN ID.
Настройте шифрование, как показано на скриншотах .
Нажмите Update.
1.1. Для авторизации WPA Enterprise

1.2. Для WPA Personal

2. Перейдите на вкладку Fast BSS Transition
2.1. Укажите настроенную Вами виртуальную точку и установите параметры, указанные на скриншоте. В качеcтве R1 Key Holder используйте MAC адрес одной из виртуальных точек в роуминговой сети. Нажмите Update.
Эти параметры должны быть одинаковыми на всех точках доступа, участвующих в роуминге.

2.2. В графе MAC Address необходимо указать адрес VAP интерфейса соседней точки доступа. Эти адреса можно получить, подключившись к точке доступа по telnet, командой ifconfig.

Пример:

wlan0     Link encap:Ethernet  HWaddr A8:F9:4B:B0:33:80      # mac соответствует  VAP0 на первом радиоинтерфейсе

          UP BROADCAST RUNNING  MTU:1500  Metric:1

          RX packets:0 errors:0 dropped:0 overruns:0 frame:1808174

          TX packets:537831 errors:14 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:0 (0.0 B)  TX bytes:69653835 (66.4 MiB)

          Interrupt:163

wlan0vap1 Link encap:Ethernet  HWaddr A8:F9:4B:B0:33:81     # mac соответствует VAP1 на первом радиоинтерфейсе

          UP BROADCAST RUNNING  MTU:1500  Metric:1

          RX packets:3291 errors:0 dropped:0 overruns:0 frame:1808174

          TX packets:539183 errors:5 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:352099 (343.8 KiB)  TX bytes:65897272 (62.8 MiB).

В графе NAS ID укажите ранее введенный R0 Key Holder.
В графе RRB Key введите любую последовательность цифр, например 1234567890123456 (должна быть одинакова для всех точек доступа).
Нажмите кнопку Add.
Аналогичным образом в эту таблицу нужно добавить адреса всех встречных интерфейсов, участвующих в роуминге, кроме локального.
После чего нажмите Update.

2.3. В графе MAC Address необходимо указать адрес VAP интерфейса соседней точки доступа. Эти адреса можно получить, подключившись к точке доступа по telnet, командой ifconfig.
В графе R1 Key Holder укажите ранее значение, введенное в пункте 1.
В графе RRB Key введите любую последовательность цифр, например 1234567890123456 (должна быть одинакова для всех точек доступа).
Нажмите кнопку Add.
Аналогичным образом в эту таблицу нужно добавить адреса всех встречных интерфейсов, участвующих в роуминге, кроме локального.
После чего нажмите Update.

Настроить ограничение скорости можно тремя способами:

     1. Через  вкладку «Виртуальные точки доступа». Настройка таким способом позволяет организовать ограничение скорости для всех клиентов, которые подключатся к этой wi-fi сети. Для настройки ограничения скорости перейдите на вкладку "Виртуальные ТД", перейдите в режим редактирования VAP, на которой хотите настроить ограничение по скорости. В поле "Bandwidth Limit Down" укажите значение ограничения скорости от ТД к клиентскому устройству, в поле "Bandwidth Limit Down"  -  от клиентского устройства до ТД. 

     2. Через настройку тарифного плана. Настройка ограничения скорости с помощью тарифного плана позволит организовать ограничение скорости  для всех клиентов, которые будут проходить авторизацию с этим тарифным планом. Для настройки ограничения по скорости через тарифный план перейдите в меню "Radius"  на вкладку "Управление тарифными планами". Ограничение по скорости настраивается путем настройки параметров "Максимальная скорость входящего трафика" и "Максимальная скорость исходящего трафика".

     3.  С помощью Radius. Настройка ограничения скорости  c помощью Radius позволяет ограничить скорости передачи трафика для конкретного аккаунта клиента. Для настройки ограничения по скорости для конкретного radius пользователя перейдите в меню "Radius"  на вкладку "Управление пользователями". Ограничение по скорости настраивается путем настройки параметров "Максимальная скорость входящего трафика" и "Максимальная скорость исходящего трафика".

При возникновении ошибки "Auth failed, ems-server is unavailable" необходимо выполнить следующие действия:

1. Проверьте запущен ли EMS. Для этого выполните команду sudo service eltex-ems status. Если EMS не запущен, то запустите его командой sudo service eltex-ems start

2. Если EMS запущен, а при подключении к  GUI EMS все равно возникает ошибка, то выполните очистку cache браузера и java.

3. Если после очистки cache доступ не появился, проверьте открыты ли порты 8080 и 9310 на оборудовании между SoftWLC и ПК, на котором запускается GUI EMS.

Есть два способа применить шаблон на точку доступа:

1.      Применение шаблона при  инициализации точки.

2.       Применение шаблона на точку доступа, которая уже добавлена в дерево.

   Для применения шаблона при инициализации точки доступа выберите узел «EMS», во вкладке «Инициализация ТД WIFI» нажмите кнопку «Параметры». В появившемся окне выберите тип устройства и нажмите кнопку «Ок». В открывшемся окне перейдите на вкладку «Конфигурация» и выберите нужный шаблон. Нажмите кнопку «Принять». Выбранный шаблон будет применяться при инициализации всех появившихся ТД в дальнейшем.

   Для применения шаблона на точку доступа, которая уже добавлена в дерево, выберите узел «EMS» и перейдите на вкладку «Список устройств». В открывшейся вкладке выберите точку доступа, на которую необходимо применить конфигурацию, или группу точек и в поле «Групповые операции» выберите «Конфигурация ТД». Нажмите кнопку «Выполнить». В открывшемся окне выберите файл шаблона и нажмите кнопку «Принять».

Примечание! Конфигурация виртуальных точек доступа и настройка captive portal не включены в шаблон конфигурации и выполняются через Менеджер SSID.

В SoftWLC существует возможность централизованного назначения SSID на несколько точек доступа. Для этого используется “Менеджер SSID”, который находится в меню “Wireless”.

Создание SSID в базе

Чтобы создать SSID, нажмите кнопку “Добавить SSID”. Заполните необходимые параметры, два из которых являются обязательными: имя SSID и домен. Домен выбирается из списка существующих по нажатию кнопки в конце строки. Статус SSID показывает текущее состояние: Locked - услуга временно заблокирована для пользователей, Operational - услуга доступна. Далее настаиваются стандартные параметры для виртуальных точек доступа, на которые будет назначаться SSID: статус VAP, режим безопасности, радио-интерфейсы, к которым применится SSID, параметры использования RADIUS и т.д. Здесь же, при необходимости использования, настраиваются параметры Minimal Signal и Captive Portal. После нажатия кнопки “Принять” созданный SSID отобразится на вкладке “База SSID”.

Добавление привязки SSID

Далее необходимо назначить SSID на точки доступа, для этого выделите созданный SSID и нажмите кнопку “Добавить SSID привязку “. В появившемся окне выберите ключ для привязки. Привязка может осуществляться по MAC-адресу точки доступа, по IP-адресу точки доступа или по домену узла. Затем выделите объекты для привязки (точки доступа или узлы) и нажмите кнопку “Создать привязку”, индикатор в дереве сменится с желтого на зеленый (для исключения точки доступа из перечня выбранных – выделите ее и нажмите кнопку «Нет привязки», индикатор в дереве сменится с зеленого на желтый), после чего нажмите кнопку “Принять”.

Назначение привязки SSID

Назначение привязки SSID на точки доступа можно сделать двумя способами:

    запустить проверку SSID сразу после добавления в БД путем установки соответствующего флага при добавлении привязки;

    на вкладке “Привязки SSID”, путем выделения нужной привязки и нажатия кнопки “Исправить”. Будет производится проверка, установлен ли SSID в соответствии с правилом привязки на определенную точку доступа, и в случае отрицательного результата производится переустановка SSID на нее. Аналогичные проверки выполняются специальным монитором “Проверка и исправление SSID привязок”, период срабатывания которого можно настроить в меню “Администрирование” -> “Настройка сервера” -> “Задачи по расписанию (мониторы)”.

Процесс назначения SSID можно контролировать на вкладке “Задачи”. SSID будет назначен на первую выключенную VAP на точке доступа. Результат можно увидеть на вкладке “Конфигурация”, “Виртуальные точки доступа”.

Как известно, в беспроводных сетях в качестве среды распространения сигнала используются радиоволны (радиоэфир), и работа устройств и передача данных в сети происходит без использования кабельных соединений. В связи с этим на работу беспроводных сетей воздействует большее количество различного рода помех.

Условно источники помех можно разделить на пять категорий:

    Другие Wi-Fi сети, которые находятся в зоне действия данной беспроводной сети, или данная беспроводная сеть попадает в зону действия других беспроводных сетей. Вышесказанное утверждение имеет смысл, только если наводящие беспроводные сети работают в том же, или близком частотном диапазоне.У Wi-Fi, используется два частотных диапазона – 2.4 и 5 ГГц, которые не могут оказывать друг на друга никакого влияния. У беспроводных сетей Wi-Fi есть несколько стандартов: 802.11b/g работают в дипазоне 2.4 ГГц, 802.11a - 5 ГГц, 802.11n могут работать в обоих частотных диапазонах. В частотном диапазоне Wi-Fi 2.4 ГГц доступны 13 каналов, с шириной в 20 МГц (стандарты 802.11b/g) и 40 МГц (стандарт 802.11n) с интервалом в 5 МГц между несущими каналов. Устройство, работающие в радиусе действия на близком канале оказывает помехи, сила которых зависит от приближенности канала и как вытекающее от силы излучателя. Для избегания взаимных помех, устройства должны работать на каналах, несущие которых удалены на 25 МГц друг от друга – это 5 несущих. Из вышесказанного становится ясно, что, для избегания помех, устройства должны работать на удалении как минимум в 5 каналов, например на 1-ом и 6-ом.

    Bluetooth-устройства, работающие в зоне покрытия вашего Wi-Fi-устройства. Bluetooth и Wi-Fi работают в диапазоне 2,4 ГГц зачастую не могут работать одновременно, поскольку RF-сигналы обоих устройств мешают друг другу, особенно если антенны находятся в непосредственной близости друг от друга.

    Большие расстояния между Wi-Fi-устройствами. Необходимо помнить, что беспроводные устройства Wi-Fi имеют ограниченный радиус действия. Например, домашний интернет-центр с точкой доступа Wi-Fi стандарта 802.11b/g имеет радиус действия до 60 м в помещении и до 400 м вне помещения. В помещении дальность действия беспроводной точки доступа может быть ограничена несколькими десятками метров - в зависимости от конфигурации комнат, наличия капитальных стен и их количества, а также других препятствий.

    Препятствия.

• Наличие препятствий на пути распространения сигнала

Объекты, мешающие распространению радиосигналов вне помещения, могут быть любыми, наиболее распространены здания, линии электропередач, деревья и т.д. Очень часто недооценивают влияние деревьев. Следует учитывать, что один метр кроны ослабляет сигнал до 6 дБ! Для устранения препятствий можно изменить место установки антенн, поднять антенны выше препятствий (с учетом зоны Френеля, о чем будет написано ниже), либо организовать передачу видео от беспроводных камер с использованием промежуточных ретрансляторов или мостов. Внутри помещения причиной помех радиосигнала также могут являться зеркала и тонированные окна. Ниже показана таблица потери эффективности сигнала Wi-Fi при прохождении через различные среды.

Препятствие Дополнительные потери (dB)        Эффективное расстояние*

Открытое пространство      0          100%

Окно без тонировки (отсутствует металлизированное покрытие)      3          70%

Окно с тонировкой (металлизированное покрытие)      5-8       50%

Деревянная стена     10        30%

Межкомнатная стена (15,2 см)       15-20   15%

Несущая стена (30,5 см)      20-25   10%

Бетонный пол/потолок        15-25   10-15%

Монолитное железобетонное перекрытие           20-25   10%

*Эффективное расстояние - означает, насколько уменьшится радиус действия после прохождения соответствующего препятствия по сравнению с открытым пространством. Например, если на открытом пространстве радиус действия Wi-Fi до 400 метров, то после прохождения одной межкомнатной стены он уменьшится до 400 м x 15% = 60 метров. После второй еще раз 60 м x 15% = 9 метров. А после третьей 9 м x 15% = 1,35 метров. Таким образом, через три межкомнатные стены, скорее всего, беспроводное соединение установить не получится.

• Наличие препятствия в зоне Френеля Зона Френеля – это область вокруг линии прямой видимости, в которой распространяются радиоволны. Как правило, перекрывание 20% зоны Френеля не вызывает больших потерь сигнала. Но при перекрывании более 40% потери становятся уже значительными.

5.Различная бытовая техника, работающая в зоне покрытия вашего Wi-Fi-устройства. Бытовые приборы, которые могут оказать влияние на работу беспроводной сети:

    Микроволновые СВЧ-печи. Эти приборы могут ослаблять уровень сигнала Wi-Fi, т.к. обычно также работают в диапазоне 2,4 ГГц.

    Детские радионяни. Эти приборы работают в диапазоне 2,4 ГГц и дают наводки, в результате чего ухудшается качество связи Wi-Fi.

    Мониторы с ЭЛТ, электромоторы, беспроводные телефоны и другие беспроводные устройства.

    Телефоны, работающие в диапазоне 2,4–5 ГГц. Беспроводные телефоны, работающие в этом диапазоне, могут вызывать помехи в работе беспроводных устройств или сетей.

    Передатчики видеосигнала (передатчики или приемники), работающие на частоте 2,4 или 5 ГГц.

    Беспроводные динамики, работающие на частоте 2,4 или 5 ГГц.

    Некоторые внешние мониторы и ЖК-дисплеи. Определенные дисплеи могут создавать заметные гармонические помехи в диапазоне между 11 и 14 каналами на частоте 2,4 ГГц. Наиболее интенсивные помехи могут исходить от портативного компьютера с подключенным к нему внешним дисплеем. Попробуйте изменить рабочую частоту вашей точки доступа, например на 5 ГГц, или использовать один из первых десяти каналов на частоте 2,4 ГГц.

            Функция Band steer – настройка приоритета подключения клиентов к WiFi сетям, работающим в 5 ГГц.

В настоящее время диапазон частот 2,4 ГГц сильно нагружен, из-за чего скорость передачи информации по стандартам 802.11b/g/n, использующим этот диапазон может быть довольно низкой, несмотря на хороший уровень сигнала и качественное оборудование. Для улучшения этой ситуации в эксплуатацию активно вводятся устойства, работающие по стандартам 802.11a/n/ac в диапазоне частот 5 ГГц. Диапазон 5 ГГц пока мало распространен, поэтому клиентские устройства, работающие в этом диапазоне, используют также и диапазон 2,4 ГГц. Из-за этого могут возникать ситуации, кода клиенты, имеющие возможность подключаться к сетям стандарта a/n/ac будут работать в сетяхb/g/n, тем самым не получают максимально возможную скорость доступа. Для решения это проблемы разработана функция Band steer, позволяющая автоматически подключать пользователей к 5 ГГц сетям, если они имеют такую возможность.

Настройка Band steer

    Для работы этой функции необходимо настроить радиоинтерфейсы на точке доступа WEP-12AC или WOP-12AC таким образом, чтобы один из них работал в диапазоне 2,4 ГГц, а другой в 5 ГГц. Это можно выполнить, используя WEB интерфейс точки доступа.Перейдите в раздел «Wireless Settings» и установите значения для Radio1 в поле Mode выберите “IEEE 802.11b/g/n”, для Radio2 в поле Mode выберите “IEEE 802.11a/n/ac”. Затем нажмите кнопку «Update».

    Следующим шагом будет создание виртуальных точек (VAP) на каждом радиоинтерфейсе. Эти виртуальные точки должны иметь одинаковые параметры, включая SSID и пароль, если используется шифрование. Номер VAP значения не имеет.

    Перейдите в раздел «VAP» и настройте виртуальную точку на первом радиоинтерфейсе. Затем нажмите кнопку «Update». После этого выберите второй радиоинтерфес, установив значение «2» в параметре «Radio» и настройте точно такую же виртуальную точку доступа. Нажмите «Update». После этого настройки вступят в силу и функция Band steer начнет работать.

Перед запуском апплета EMS через приложение Java Web Start убедитесь, что на ПК установлен Oracle Java*.

В строке браузера введите следующий адрес:

http://<ip address SoftWLC>:8080/ems/jws/

При этом в браузере появится предложение открыть или скачать файл с расширением jnlp. Откройте этот файл с помощью приложения Java Web Start.

Для создания ярлыка на рабочем столе для запуска апплета EMS в Java Control Panel должно быть включено хранение временных файлов.

*Рекомендуем использовать Oracle Java 8

Настройка белых/черных списков MAC-адресов клиентов, которым разрешено/запрещено подключаться к данной точке доступа, выполняется  в меню "Manage" в подменю "MAC Authentication".

Для создания белого списка в поле "Filter" выберите Allow only stations in list, для создания черного списка - Block all stations in list.

В поле    введите MAC-адрес клиентского устройства и нажмите кнопку "Add". Введенный MAC-адрес  должен отобразится в поле "Stations List". После добавления в список все необходимых MAC-адрес нажмите кнопку "Update".

Для удаления MAC-адрес из списка необходимо выделить нужный MAC-адрес и нажать кнопку "Remove".

После создания списка необходимо перейти в подменю "VAP". В настройках VAP, для которого необходимо применить созданный список, в поле "MAC Auth Type" выберите Local и нажмите кнопку "Update".

Расположение лог-файлов с системе:

Лог-файлы  EMS сервера можно найти в /var/log/eltex-ems/black_box.txt  и /var/log/eltex-ems/ems_error.txt

Лог-файлы  Captive portal можно найти в /var/log/eltex-portal/debug_ep.txt и /var/log/eltex-portal/error_ep.txt

Лог-файл авторизации по смс  можно найти в /var/log/eltex-portal/sms_ep.txt

 2. Выгрузка лог-файлов через GUI EMS

Для копирования логов с EMS сервера в главном меню выберите пункт "Администрирование", "Получить логи работы сервера EMS".

Процесс получения логов отображается во вкладке "Задачи" (Alt+F6).После завершения задачи двойным кликом откройте ее и скачайте по ссылке архив, содержащий следующие логи работы EMS и captive portal:

/var/log/eltex-portal/debug_ep.txt;

/var/log/eltex-portal/error_ep.txt;

/var/log/eltex-portal/sms_ep.txt;

/var/log/eltex-ems/black_box.txt;

/var/log/eltex-ems/ems_error.txt.

Иногда возникает необходимость обновления прошивки через консоль. Причина тому может быть разная: автоматизация обновления или аварийные работы.
Обновление производится в 2 этапа:
Загрузка файла ПО:
tftp -l /tmp/firmware.gz -gr tau2m-1.14.1.527.tar.gz 192.168.0.5
Обновление ПО
upgrade firmware.gz
Далее ждете обновления приблизительно минуту, появится вывод:
UPGRADE SUCCESSFULL
и делаете
reboot

Для снятия трассировки с TAU используется протокол syslog. TAU может отправлять логи на syslog-сервер или записывать их в локальный журнал. Содержимое локального журнала можно просмотреть через WEB-браузер.
Настройка syslog производится в меню Сетевые настройки (Network settings) -> Журнал (Syslog). Для получения полной информации о процессах происходящих в ТАУ и принимаемых/передаваемых сигнальных сообщениях необходимо выставить следующие уровни:
в разделе Настройка журнала (Syslog configuration) указать IP-адрес и порт syslog сервера, на который неоюходимо отправлять логи, или выставить флаг Сохранять журнал в файл (Syslog to file) для записи логов в локальный журнал;
в разделе Тип записи (Application) установить все флаги;
при использовании протокола SIP выставить в параметре Уровень отладки SIP (SIP Log Level) значение 5 signal protocol;
при использовании протокола H323 выставить в параметре Уровень отладки Н.323 значение 4 debug_a;
в разделе VAPI установить флаг Включить (Enabled), установить Уровень отладки библиотеки (Lib Level) равным 1 и Уровень отладки приложения (App Level) равным 4;
подтвердить настройки нажав на кнопку Применить изменения (Submit changes);
для запуска логирования необходимо нажать кнопку Запустить журналирование (Start syslog), для остановки вывода логов - Остановить журналирование (Stop syslog).
В случае если запись логов идет в локальный файл, то для просмотра его содержимого необходимо нажать кнопку Показать журнал (Show syslog). Для очистки файла нужно нажать кнопку Очистить журнал (Clear syslog).
Внимание! При большой нагрузке включенная трассировка может привести к некорректной работе оборудования, задержкам выдачи тоновых сигналов и обмене сигнальными сообщениями. Поэтому рекомендуется снимать трассировку в период наименьшей нагрузки на TAU и после снятия необходимых логов необходимо отключить все уровни отладки (убрать все флаги и выставить все уровни в значение none) и остановить вывод логов.

В случае возникновения ситуации с необходимостью резервного восстановления ПО, необходимо у коммерческого отдела компании запросить переходник для COM-порта (представляет из себя 5-пиновый переходник)
Порядок восстановления ПО включает в себя следующие действия:
Необходимо распаковать архив файла программного обеспечения (актуальный можно скачать на сайте) и положить на tftp сервер файлы
tau4-8-uImage – файл ядра устройства TAU8
tau4-8-root.jffs2-16k – файловая система TAU8
rg-uImage – файл ядра устройства RG14XX
rg-root.jffs2-16k –  файловая система RG14XX
Снять крышку с устройства и подключиться переходником COM-порта к разьемам на плате. Контакт, помеченный треугольником на разъеме переходника, подключается на противоположный земле вывод разьема на плате. Земля обозначена буквой G
Параметры для подключения ком порта:
скорость: 115200,
бит данных: 8,
паритет: нет,
стоповые биты: 1,
управление потоком: нет
Перезагрузить устройство по питанию и зайти в U-Boot. Для этого в момент появления строк
U-Boot 1.1.6 (Sep  2 2011 - 11:35:09) Mindspeed $Name: u-boot\_6\_00\_4 $
DRAM:  256 MB
Comcerto Flash Subsystem Initialization
Flash:  0 kB
NAND:  board\_nand\_init nand->IO\_ADDR\_R =30000000
32 MiB
*** Warning - bad CRC or NAND, using default environment
In:    serial
Out:   serial
Err:   serial
Reserve MSP memory
Net:   comcerto\_gemac0, comcerto\_gemac1
Switch: Realtek RTL8367RB
Enter 'stop' for stop autoboot
набрать команду stop. На экране появиться приглашение
Из под uboot необходимо ввести следующие команды:
для TAU8:
Comcerto-1000 > set serverip <tftp-server IP>   - ip адрес ПК  на котором запущен tftp сервер;
Comcerto-1000 > set ipaddr <IP rg>          - ip-адрес rg на время загрузки файлов;
Comcerto-1000 > set uimage tau4-8-uImage – имя файла ядра устройства; (set uimage rg-uImage для RG14xx)
Comcerto-1000 > set fsfile tau4-8-root.jffs2-16k – имя файла с файловой системой;
для RG14xx:
Comcerto-1000 > set serverip <tftp-server IP>   - ip адрес ПК  на котором запущен tftp сервер;
Comcerto-1000 > set ipaddr <IP rg>          - ip-адрес rg на время загрузки файлов;
Comcerto-1000 > set uimage rg-uImage – имя файла ядра устройства;
Comcerto-1000 > set fsfile rg-root.jffs2-16k – имя файла с файловой системой
Подключить к WAN-порту устройства ПК с запущенным tftp-сервером. Запустить с консоли устройства пинг до ПК. В случае если ПК доступен, то в консоли выведется:
host <IP> is alive
Если пинг не происходит, то остановите его нажатием <Ctrl>+<C> и проверьте правильность сетевых настроек ПК и устройства. Посмотреть текущее сетевые настройки в убуте можно командой printenv
Далее необходимо по очереди ввести команды на обновления ядра и файловой системы устройства:
Comcerto-1000 > run updatekernel   - команда на загрузку ядра
Comcerto-1000 > run updatenandfs   - команда на загрузку файловой системы

После обновления файлов перезапустить шлюз по питанию

Существуют следующие способы автоматического конфигурирования шлюзов TAUXX.IP.
Через протокол конфигурирования tr-069
Описание настройки TAUXX.IP есть в документации в разделе "Настройка протокола мониторинга и управления устройством TR-069 (ACS)"
Это самый правильный способ, но для него понадобится ACS сервер, который сопрягаясь с билинговой системой или чем-то иным будет конфигурировать параметры шлюзов налету (не останавливая их работу) по протоколу tr-069.
Преимуществами tr-069, над тем же SNMP, являются:
большая надежность протокола, т.к. он работает поверх TCP;
большая защищенность протокола, т.к. есть поддержка различных схем авторизации basic, digest;
способность работы через NAT (TAUXX.IP может использовать STUN сервер и сообщать ACS серверу свой внешний адрес).
Описание настройки ACS сервера приведено в соответствующей документации.
Через автообновление (автопровижжинг)
Описание настройки TAUXX.IP есть в документации в разделе "5.1.1.10. Настройка автоматического обновления (Autoupdate)" и Приложении Ж.
Суть этого метода и его принципиальное отличие от tr-069 в том, что инициатором обмена является TAUXX.IP, а не сервер. Помимо этого файл конфигурации будет передаваться целиком, а не определенные параметры. TAUXX.IP по таймеру циклически делает запрос на сервер автоконфигурирования и скачивает нужный файл конфигурации (или ПО). Далее если TAUXX.IP находит отличие этого файла от текущего, то конфигурация на шлюзе обновляется.
Также существует механизм версионности файлов, подробней о котором написано в документации в Приложении Ж.
Ваша задача будет в автоматической генерации файлов конфигурации, в зависимости от системы билинга и выкладывании их на сервер автоконфигурирования.
3) По протоколу SNMP
Суть данного метода мало чем отличается от других примеров использования SNMP.
На SNMP менеджере автоматически запускаются разного рода скрипты, которые считывают и задают параметры в конфигурации TAUXX.IP.
В качестве SNMP менеджера может выступать любой SNMP сервер, также существует готовое решение Eltex.EMS
4) По telnet через CLI.
Описание есть в документации:
http://eltex.nsk.ru/upload/iblock/6cf/tau32m_ip-versiya-2.13.1.pdf
Раздел РЕЖИМ КОМАНДНОЙ СТРОКИ И РАБОТА В ТЕРМИНАЛЬНОМ РЕЖИМЕ
Этот метод можно назвать ручным, т.к. вся нагрузка по конфигурированию падает на автоматизатора.
Суть метода в написании скриптов, которые будут запускаться на сервере в зависимости от нужных факторов или системы билинга.
Скрипты должны автоматически подключаться по telnet/ssh к нужной TAUXX.IP и изменять конфигурацию нужным образом командами CLI или bysybox (linux).

1. Также можно автоматически генерировать файлы конфигурации на сервере, далее подключаться по telnet/ssh к нужной TAUXX.IP и давать команду на скачивание конфигурации.

Многоканальный номер - это номер, позволяющий принимать несколько звонков одновременно.
Рассмотрим порядок создания многоканального номера.
TAU4, TAU8, RG14
В разделе PBX -> SIP -> Профили SIP  откройте настройки первого профиля. Данный профиль будет использоваться для абонентских портов устройства. В настройках профиля задайте следующие настройки:
название профиля;
режим использования прокси-сервера и его адрес;
проверьте, что флаг Регистрация не установлен;
при необходимости задайте SIP домен;
нажмите на строчку Настройка плана нумерации и в появившемся окне пропишите необходимые префиксы. Для организации вызовов по внутренней нумерации добавьте префикс с @{local}, который отправлять вызов на собственный адрес устройства (например, при использовании на портах внутренней нумерации 101-108 префикс будет прописываться как 10[1-8]@{local});
для сохранения изменений нажмите кнопку Сохранить.
В разделе PBX -> SIP -> Профили SIP  откройте настройки второго профиля. Данный профиль будет использоваться для группы вызова. В настройках профиля задайте следующие настройки:
название профиля;
режим использования прокси-сервера и его адрес;
установите флаг Регистрация и пропишите адрес сервера регистрации;
при необходимости задайте SIP домен и установите флаг Применять SIP Domain для регистрации;
для сохранения изменений нажмите кнопку Сохранить.
В меню PBX -> Группы серийного искания (каждый новый вызов занимает первый свободный порт) или PBX -> Группы вызова (поддерживается три вида искания свободного абонента: групповой , задержанный групповой  и поисковый) добавьте новую группу:
установите флаг Включить группу;
задайте имя группы (произвольное);
в параметре Профиль SIP выставите профиль SIP с включенной регистрацией (созданный в пункте 2);
в поле Номер телефона необходимо указать внешний номер, который должен регистрироваться на вышестоящем сервере;
в полях Имя пользователя и Пароль пропишите логин и пароль для регистрации, которые выданы для внешнего номера;
при использовании группы вызова задайте тип группы вызова:
Group – сигнал вызова подается на все порты в группе одновременно;
Serial – количество портов, на которые подается вызывной сигнал, увеличивается на один по истечении таймаута вызова следующего порта;
Cyclic – сигнал вызова циклически через интервал, равный таймауту вызова следующего порта, подается по очереди на каждый порт в группе;
в параметре Размер очереди вызовов указывается максимальное число вызовов, которые может принять группа. Вызов ставится в очередь в случае отсутствия свободных портов;
в поле Таймаут ответа на вызов, сек указывается интервал времени, по истечении которого вызов будет отклонен при неполучении ответа;
для сохранения изменений нажмите кнопку Сохранить.
Произвести настройку абонентских портов в разделе PBX –> FXS:
установите флаг Включен напротив используемых портов;
пропишите внутреннюю нумерация на комплектах;
назначьте SIP-профиль без регистрации (созданный в п.1);
задайте имя пользователя и пароль для регистрации, которые выданы для внешнего номера. Эти параметры должны совпадать с настройкой в п.3;
в параметре Альтернативный номер пропишите внешний номер (он должен совпадать с прописанным в п.3 в параметре Номер телефона);
для сохранения изменений нажмите кнопку Сохранить.
Чтобы все внесенные изменения вступили в силу необходимо нажать кнопку "Применить" в левой части экрана.
TAU1M, TAU2M, RG24
В разделе IP-телефония -> Профили  откройте настройки первого профиля. Данный профиль будет использоваться для абонентских портов устройства. Регистрация в параметрах профиля должна быть выключена. В настройках профиля задайте следующие настройки:
название профиля;
режим использования прокси-сервера и его адрес;
проверьте, что флаг Регистрация не установлен;
при необходимости задайте SIP домен;
в подразделе Настройка плана нумерации пропишите необходимые префиксы. Для организации вызовов по внутренней нумерации добавьте префикс с @{local}, который отправлять вызов на собственный адрес устройства (например, при использовании на портах внутренней нумерации 101-108 префикс будет прописываться как 10[1-8]@{local});
для подтверждения изменений нажмите кнопку Применить.
В разделе IP-телефония -> Профили откройте настройки второго профиля. Данный профиль будет использоваться для группы вызова. В настройках профиля задайте следующие настройки:
название профиля;
режим использования прокси-сервера и его адрес;
установите флаг Регистрация и пропишите адрес сервера регистрации;
при необходимости задайте SIP домен и установите флаг Применять SIP Domain для регистрации;
для подтверждения изменений нажмите кнопку Применить.
В меню IP-телефония -> Группы вызова добавьте новую группу:
установите флаг Включить;
задайте имя группы (произвольное);
в параметре Профиль выставите профиль SIP с включенной регистрацией (созданный в пункте 2);
в поле Номер телефона необходимо указать внешний номер, который должен регистрироваться на вышестоящем сервере;
в полях Имя пользователя для аутентификации и Пароль для аутентификации пропишите логин и пароль для регистрации, которые выданы для внешнего номера;
задайте тип группы вызова:
Group – сигнал вызова подается на все порты в группе одновременно;
Serial – количество портов, на которые подается вызывной сигнал, увеличивается на один по истечении таймаута вызова следующего порта;
Cyclic – сигнал вызова циклически через интервал, равный таймауту вызова следующего порта, подается по очереди на каждый порт в группе;
в параметре Размер очереди вызовов указывается максимальное число вызовов, которые может принять группа. Вызов ставится в очередь в случае отсутствия свободных портов;
для подтверждения изменений нажмите кнопку Применить.
Произвести настройку абонентских портов в разделе IP-телефония –> Настройка линий:
установите флаг Включить;
пропишите внутреннюю нумерация на комплектах в параметре Номер телефона;
назначьте SIP-профиль без регистрации (созданный в п.1);
в подразделе Аутентификация задайте имя пользователя и пароль для регистрации, которые выданы для внешнего номера. Эти параметры должны совпадать с настройкой в п.3;
установите флаг Использовать альтернативный номер и пропишите внешний номер (номер должен совпадать с прописанным в п.3 в параметре Номер телефона);
для подтверждения изменений нажмите кнопку Применить.

Функция Destination NAT (DNAT) состоит в преобразовании IP-адреса назначения у пакетов, проходящих через сетевой шлюз.

DNAT используется для перенаправления трафика, идущего на некоторый «виртуальный» адрес в публичной сети, на «реальный» сервер в локальной сети, находящийся за сетевым шлюзом. Эту функцию можно использовать для организации публичного доступа к серверам, находящимся в частной сети и не имеющим публичного сетевого адреса.

Задача: Организовать доступ из публичной сети, относящейся к зоне «UNTRUST», к серверу локальной сети в зоне «TRUST». Адрес сервера в локальной сети - 10.1.1.100. Сервер должен быть доступным извне по адресу 1.2.3.4, доступный порт 80.

Решение:

Создадим зоны безопасности «UNTRUST» и «TRUST». Установим принадлежность используемых сетевых интерфейсов к зонам. Одновременно назначим IP-адреса интерфейсам.

esr# configure
esr(config)# security zone UNTRUST
esr(config-zone)# exit
esr(config)# security zone TRUST
esr(config-zone)# exit
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# security-zone TRUST
esr(config-if-gi)# ip address 10.1.1.1/25
esr(config-if-gi)# exit
esr(config)# interface tengigabitethernet 1/0/1
esr(config-if-te)# ip address 1.2.3.4/29
esr(config-if-te)# security-zone UNTRUST
esr(config-if-te)# exit

Создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.

NET_UPLINK – профиль адресов публичной сети;

SERVER_IP – профиль адресов локальной сети;

SRV_HTTP – профиль портов.

esr(config)# object-group network NET_UPLINK
esr(config-object-group-network)# ip address 1.2.3.4
esr(config-object-group-network)# exit
esr(config)# object-group service SRV_HTTP
esr(config-object-group-network)# port 80
esr(config-object-group-network)# exit
esr(config)# object-group network SERVER_IP
esr(config-object-group-network)# ip address 10.1.1.100
esr(config-object-group-network)# exit

Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 1.2.3.4 из внешней сети.

esr(config)# nat destination
esr(config-dnat)# pool SERVER_POOL
esr(config-dnat-pool)# ip address 10.1.1.100
esr(config-dnat-pool)# ip port 80
esr(config-dnat-pool)# exit

Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «UNTRUST». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».

esr(config-dnat)# ruleset DNAT
esr(config-dnat-ruleset)# from zone UNTRUST
esr(config-dnat-ruleset)# rule 1
esr(config-dnat-rule)# match destination-address NET_UPLINK
esr(config-dnat-rule)# match protocol tcp
esr(config-dnat-rule)# match destination-port SERV_HTTP
esr(config-dnat-rule)# action destination-nat pool SERVER_POOL
esr(config-dnat-rule)# enable
esr(config-dnat-rule)# exit
esr(config-dnat-ruleset)# exit
esr(config-dnat)# exit

Для пропуска трафика, идущего из зоны «UNTRUST» в «TRUST», создадим соответствующую пару зон. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP», и прошедший преобразование DNAT.

esr(config)# security zone-pair UNTRUST TRUST
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address SERVER_IP
esr(config-zone-rule)# match protocol any
esr(config-zone-rule)# match destination-nat
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
esr(config)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Произведенные настройки можно посмотреть с помощью команд:

esr# show ip nat destination pools
esr# show ip nat destination rulesets
esr# show ip nat proxy-arp
esr# show ip nat translations

Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров, а также решает проблему балансировки трафика между резервными линками.

Задача: Настроить маршрут к серверу (108.16.0.1/28) с возможностью балансировки нагрузки.

Решение:

Предварительно нужно выполнить следующие действия:

настроить зоны для интерфейсов te1/0/1 и te1/0/2;

указать IP-адреса для интерфейсов te1/0/1 и te1/0/2.

Основной этап конфигурирования:

Настроим маршрутизацию:

еsr(config)# ip route 108.16.0.0/28 wan load-balance rule 1

Создадим правило WAN:

еsr(config)# wan load-balance rule 1

Укажем участвующие интерфейсы:

еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/2
еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/1

Включим созданное правило балансировки и выйдем из режима конфигурирования правила:

еsr(config-wan-rule)# enable
еsr(config-wan-rule)# exit

Создадим список для проверки целостности соединения:

еsr(config)# wan load-balance target-list google

Создадим цель проверки целостности:

esr(config-target-list)# target 1

Зададим адрес для проверки, включим проверку указанного адреса и выйдем:

еsr(config-wan-target)# ip address 8.8.8.8
еsr(config-wan-target)# enable
еsr(config-wan-target)# exit

Настроим интерфейсы. В режиме конфигурирования интерфейса te1/0/1 указываем nexthop:

еsr(config)# interface tengigabitethernet 1/0/1
еsr(config-if)# wan load-balance nexthop 203.0.0.1

В режиме конфигурирования интерфейса te1/0/1 указываем список целей для проверки соединения:

еsr(config-if)# wan load-balance target-list google

В режиме конфигурирования интерфейса te1/0/1 включаем WAN-режим и выходим:

еsr(config-if)# wan load-balance enable
еsr(config-if)# exit

В режиме конфигурирования интерфейса te1/0/2 указываем nexthop:

еsr(config)# interface tengigabitethernet 1/0/2
еsr(config-if)# wan load-balance nexthop 65.6.0.1

В режиме конфигурирования интерфейса te1/0/2 указываем список целей для проверки соединения:

еsr(config-if)# wan load-balance target-list google

В режиме конфигурирования интерфейса te1/0/2 включаем WAN-режим и выходим:

еsr(config-if)# wan load-balance enable
еsr(config-if)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Для переключения в режим резервирования настроим следующее:

Заходим в режим настройки правила WAN:

еsr(config)# wan load-balance rule 1

Функция MultiWAN также может работать в режиме резервирования, в котором трафик будет направляться в активный интерфейс c наибольшим весом. Включить данный режим можно следующей командой:

еsr(config-wan-rule)# failover

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — протокол, предназначенный для управления устройствами в IP-сетях на основе архитектур TCP/UDP. SNMP предоставляет данные для управления в виде переменных, описывающих конфигурацию управляемой системы.

Задача: Настроить SNMPv3 сервер с аутентификацией и шифрованием данных для пользователя admin. IP-адрес маршрутизатора esr - 192.168.52.41, ip-адрес сервера - 192.168.52.8

Решение:

Предварительно нужно выполнить следующие действия:

указать зону для интерфейса gi1/0/1;

настроить IP-адрес для интерфейсов gi1/0/1.

Основной этап конфигурирования:

Включаем SNMP-сервер:

esr(config)# snmp-server

Создаем пользователя SNMPv3:

esr(config)# snmp-server user admin

Определим режим безопасности:

esr(snmp-user)# authentication access priv

Определим алгоритм аутентификации для SNMPv3-запросов:

esr(snmp-user)# authentication algorithm md5

Устанавим пароль для аутентификации SNMPv3-запросов:

esr(snmp-user)# authentication key ascii-text 123456789

Определим алгоритм шифрования передаваемых данных:

esr(snmp-user)# privacy algorithm aes128

Устанавим пароль для шифрования передаваемых данных:

esr(snmp-user)# privacy key ascii-text 123456789

Активируем SNMPv3-пользователя :

esr(snmp-user)# enable

Определяем сервер-приемник Trap-PDU сообщений:

esr(config)# snmp-server host 192.168.52.41

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Проблема. Порты XG в down после конфигурирования LACP на ESR-1000

Решение. По умолчанию на port-channel установлен режим: speed 1000M, необходимо выставить: speed 10Gесли в port-channel включаем XG интерфейсы.

esr(config)# interface port-channel 1
esr(config-port-channel)# speed 10G

Изменения конфигурации вступают в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Проблема.

Не удалось получить маршруты по BGP и/или OSPF, сконфигурированных в VRF.  Соседство успешно устанавливается, но в записи маршрутов в RIB отказано:

%ROUTING-W-KERNEL: Can not install route. Reached the maximum number of BGP routes in the RIB

Решение.

Необходимо выделить ресурс RIB для VRF, по умолчанию он равен нулю. Делаем это в режиме конфигурирования VRF:

esr(config)# ip vrf <NAME>
esr(config-vrf)# ip protocols ospf max-routes 12000
esr(config-vrf)# ip protocols bgp max-routes 1200000
esr(config-vrf)# end

Изменения конфигурации вступают в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Настроим аутентификацию сессии OSPF с использованием алгоритма MD5:

Настроим key-chain, содержащий необходимый пароль для аутентификации:

esr(config)# key-chain auth_ospf
esr(config-keychain)# key 1
esr(config-keychain-key)# key-string ascii-text password

Дополняем конфигурацию на необходимом интерфейсе:

esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip ospf authentication algorithm md5 
esr(config-if-gi)# ip ospf authentication key-chain auth_ospf

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

VRF (Virtual Routing and Forwarding) – технология, которая позволяет изолировать маршрутную информацию, принадлежащую различным классам (например, маршруты одного клиента).

Рисунок 1 – Схема сети

Задача: К маршрутизатору серии ESR подключены 2 сети, которые необходимо изолировать от остальных сетей.

Решение:

Создадим VRF:

esr(config)# ip vrf bit
esr(config-vrf)# exit

Создадим зону безопасности:

esr(config)# security zone vrf-sec
esr(config-zone)# ip vrf forwarding bit
esr(config-zone)# exit

Создадим правило для пары зон и разрешим любой TCP/UDP-трафик:

esr(config)# security zone-pair vrf-sec vrf-sec
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address any
esr(config-zone-rule)# match protocol udp
esr(config-zone-rule)# match source-port any
esr(config-zone-rule)# match destination-port any
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# rule 2
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address any
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-port any
esr(config-zone-rule)# match destination-port any
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit

Создадим привязку интерфейсов, назначим IP-адреса, укажем принадлежность к зоне:

esr(config)# interface gigabitethernet 1/0/7
esr(config-if-gi)# ip vrf forwarding bit
esr(config-if-gi)# ip address 10.20.0.1/24
esr(config-if-gi)# security-zone vrf-sec
esr(config-if-gi)# exit
esr(config)# interface gigabitethernet 1/0/14.10
esr(config-subif)# ip vrf forwarding bit
esr(config-subif)# ip address 10.30.0.1/16
esr(config-subif)# security-zone vrf-sec
esr(config-subif)# exit
esr(config)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Информацию об интерфейсах, привязанных к VRF, можно посмотреть командой:

esr# show ip vrf

Таблицу маршрутов VRF можно просмотреть с помощью команды:

esr# show ip route vrf bit

Netflow — сетевой протокол, предназначенный для учета и анализа трафика. Netflow позволяет передавать данные о трафике (адрес отправителя и получателя, порт, количество информации и др.) с сетевого оборудования (сенсора) на коллектор. В качестве коллектора может использоваться обычный сервер.

Задача: Организовать учет трафика с интерфейса gi1/0/1 для передачи на сервер через интерфейс gi1/0/8 для обработки.

Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

На интерфейсах gi1/0/1, gi1/0/8 отключить firewall командой «ip firewall disable». (С версии ПО 1.1.0 необязательно отключать firewall)

Назначить IP-адреса на портах.

Основной этап конфигурирования:

Укажем IP-адрес коллектора:

esr(config)# netflow collector 10.10.0.2

Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1/0/1:

esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip netflow export

Активируем netflow на маршрутизаторе.:

еsr(config)# netflow enable

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Для просмотра статистики Netflow используется команда:

esr# show netflow statistics

QoS (Quality of Service) – технология предоставления различным классам трафика различных приоритетов в обслуживании. Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.

Задача: Классифицировать приходящий трафик по подсетям (10.0.11.0/24, 10.0.12.0/24), произвести маркировку по DSCP (38 и 42) и произвести разграничение по подсетям (40 Мбит/с и 60 Мбит/с), ограничить общую полосу до 250 Мбит/с, остальной трафик обрабатывать через механизм SFQ.

Рисунок 1 – Схема сети

Решение:

Настроим списки доступа для фильтрации по подсетям, выходим в глобальный режим конфигурации:

esr(config)# ip access-list extended fl1
esr(config-acl)# rule 1
esr(config-acl-rule)# action permit
esr(config-acl-rule)# match protocol any
esr(config-acl-rule)# match source-address 10.0.11.0 255.255.255.0
esr(config-acl-rule)# match destination-address any
esr(config-acl-rule)# enable
esr(config-acl-rule)# exit
esr(config-acl)# exit
esr(config)# ip access-list extended fl2
esr(config-acl)# rule 1
esr(config-acl-rule)# action permit
esr(config-acl-rule)# match protocol any
esr(config-acl-rule)# match source-address 10.0.12.0 255.255.255.0
esr(config-acl-rule)# match destination-address any
esr(config-acl-rule)# enable
esr(config-acl-rule)# exit
esr(config-acl)# exit

Создаем классы fl1 и fl2, указываем соответствующие списки доступа, настраиваем маркировку:

esr(config)# class-map fl1
esr(config-class-map)# set dscp 38
esr(config-class-map)# match access-group fl1
esr(config-class-map)# exit
esr(config)# class-map fl2
esr(config-class-map)# set dscp 42
esr(config-class-map)# match access-group fl2
esr(config-class-map)# exit

Создаём политику и определяем ограничение общей полосы пропускания:

esr(config)# policy-map fl
esr(config-policy-map)# shape average 250000

Осуществляем привязку класса к политике, настраиваем ограничение полосы пропускания и выходим:

esr(config-policy-map)# class fl1
esr(config-class-policy-map)# shape average 40000
esr(config-class-policy-map)# exit
esr(config-policy-map)# class fl2
esr(config-class-policy-map)# shape average 60000
esr(config-class-policy-map)# exit

Для другого трафика настраиваем класс с режимом SFQ:

esr(config-policy-map)# class class-default
esr(config-class-policy-map)# mode sfq
esr(config-class-policy-map)# fair-queue 800
esr(config-class-policy-map)# exit
esr(config-policy-map)# exit

Включаем QoS на интерфейсах, политику на входе интерфейса gi 1/0/19 для классификации и на выходе gi1/0/20 для применения ограничений и режима SFQ для класса по умолчанию:

esr(config)# interface gigabitethernet 1/0/19
esr(config-if-gi)# qos enable
esr(config-if-gi)# service-policy input fl
esr(config-if-gi)# exit
esr(config)# interface gigabitethernet 1/0/20
esr(config-if-gi)# qos enable
esr(config-if-gi)# service-policy output fl
esr(config-if-gi)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Для просмотра статистики используется команда:

esr# do show qos policy statistics gigabitethernet 1/0/20

Проблема.

После внесения изменений в правилах обработки трафика, проходящего между зонами безопасности Firewall, новые параметры не отрабатывают для ранее активных сессий.

Решение. Все изменения, внесенные в конфигурацию Firewall,  применимы только для новых сессий. На ранее активные сессии новые параметры не повлияют. 

Рекомендуется очистить активные сессии, после применения изменений параметров Firewall, командой:

esr# clear ip firewall session

Базовый QoS

QoS (Quality of Service) – технология предоставления различным классам трафика различных приоритетов в обслуживании. Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.

Задача: Настроить следующие ограничения на интерфейсе gigabitethernet 1/0/8: передавать трафик с DSCP 22 в восьмую приоритетную очередь, трафик с DSCP 14 в седьмую взвешенную очередь, установить ограничение по скорости в 60 Мбит/с для седьмой очереди.

Рисунок 1 – Схема сети

Решение:

Для того чтобы восьмая очередь стала приоритетной, а с первой по седьмую взвешенной, ограничим количество приоритетных очередей до 1:

esr(config)# priority-queue out num-of-queues 1

Перенаправим трафик с DSCP 22 в восьмую приоритетную очередь:

esr(config)# qos map dscp-queue 22 to 8

Перенаправим трафик с DSCP 14 в седьмую взвешенную очередь:

esr(config)# qos map dscp-queue 14 to 7

Включим QoS на входящем интерфейсе со стороны LAN:

esr(config)# interface gigabitethernet 1/0/5
esr(config-if-gi)# qos enable
esr(config-if-gi)# exit

Включим QoS на интерфейсе со стороны WAN:

esr(config)# interface gigabitethernet 1/0/8
esr(config-if-gi)# qos enable

Установим ограничение по скорости в 60Мбит/с для седьмой очереди:

esr(config-if)# traffic-shape queue 7 60000
esr(config-if)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Просмотреть статистику по QoS можно командой (только для ESR-100/ESR-200):

esr# show qos statistics gigabitethernet 1/0/8

Firewall – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Задача: Разрешить обмен сообщениями по протоколу ICMP между устройствами ПК1, ПК2 и маршрутизатором ESR.

Рисунок 1 - схема сети.

Решение:

Для каждой сети ESR создадим свою зону безопасности:

esr# configure
esr(config)# security zone LAN
esr(config-zone)# exit
esr(config)# security zone WAN
esr(config-zone)# exit

Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:

esr(config)# interface gi1/0/2
esr(config-if-gi)# ip address 192.168.12.2/24
esr(config-if-gi)# security-zone LAN
esr(config-if-gi)# exit
esr(config)# interface gi1/0/3
esr(config-if-gi)# ip address 192.168.23.2/24
esr(config-if-gi)# security-zone WAN
esr(config-if-gi)# exit

Для настройки правил зон безопасности потребуется создать профиль адресов сети «LAN», включающий адреса, которым разрешен выход в сеть «WAN», и профиль адресов сети «WAN».

esr(config)# object-group network WAN
esr(config-object-group-network)# ip address-range 192.168.23.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN
esr(config-object-group-network)# ip address-range 192.168.12.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.12.1
esr(config-object-group-network)# exit
esr(config)# object-group network WAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.23.3
esr(config-object-group-network)# exit

Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК1 к ПК2. Действие правил разрешается командой enable:

esr(config)# security zone-pair LAN WAN
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address WAN
esr(config-zone-rule)# match source-address LAN
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Для пропуска трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК2 к ПК1. Действие правил разрешается командой enable:

esr(config)# security zone-pair WAN LAN
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address LAN
esr(config-zone-rule)# match source-address WAN
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Создадим пару зон для трафика, идущего из зоны «WAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК2 и маршрутизатором ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «WAN»:

esr(config)# security zone-pair WAN self
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address WAN
esr(config-zone-rule)# match source-address WAN_GATEWAY
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Создадим пару зон для трафика, идущего из зоны «LAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:

esr(config)# security zone-pair LAN self
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address LAN
esr(config-zone-rule)# match source-address LAN_GATEWAY
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
esr(config)# exit

Изменения конфигурации вступят в действие по следующим командам:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Посмотреть членство портов в зонах можно с помощью команды:

esr# show security zone

Посмотреть пары зон и их конфигурацию можно с помощью команд:

esr# show security zone-pair
esr# show security zone-pair configuration

Посмотреть активные сессии можно с помощью команд:

esr# show ip firewall sessions

Bridge (мост) — это способ соединения двух сегментов Ethernet на канальном уровне без использования протоколов более высокого уровня, таких как IP. Пакеты передаются на основе Ethernet-адресов, а не IP-адресов. Поскольку передача выполняется на канальном уровне (уровень 2 модели OSI), трафик протоколов более высокого уровня прозрачно проходит через мост.

Задача №1

Объединить в единый L2 домен интерфейсы маршрутизатора, относящиеся к локальной сети, и L2TPv3-туннель, проходящий по публичной сети. Для объединения использовать VLAN 333.

Рисунок 1 - схема сети.

Решение:

Создадим VLAN 333:

esr(config)# vlan 333
esr(config-vlan)# exit

Создадим зону безопасности «trusted»:

esr(config)# security-zone trusted
esr(config-zone)# exit

Добавим интерфейсы gi1/0/11, gi1/0/12 в VLAN 333:

esr(config)# interface gigabitethernet 1/0/11-12
esr(config-if)# switchport general allowed vlan add 333 tagged

Создадим bridge 333, привяжем к нему VLAN 333 и укажем членство в зоне «trusted»:

esr(config)# bridge 333
esr(config-bridge)# vlan 333
esr(config-bridge)# security-zone trusted
esr(config-bridge)# enable