Новые возможности и изменения в версии 7.3.b Содержание 1. Введена возможность редактирования командной строки в Manager. 2. Введен новый тип аутентификации TACACS. 3. Введена фильтрация вызовов для X.25. 4. Реализован протокол NAT(Network Address Translation). 5. Добавлен новый параметр IP для порта типа ASYNC. 6. Введена фильтрация для IP. 7. DNS и traceroute. 8. Несколько ET-станций типа IP. 9. TN-станции: тип ASYNC, login для входа и TCP-порт для подключения. 10. Изменения для настраиваемых физических интерфейсов E1. 1. Введена возможность редактирования командной строки в Manager. Ниже приведены значения функциональных клавиш: , перевести курсор на начало строки , <стрелка влево> перевести курсор на один символ влево , удалить символ на котором стоит курсор , перевести курсор на конец строки , <стрелка вправо> перевести курсор на один символ вправо , удалить символ перед курсором , , выполнить набранную команду(newline) удалить символы от курсора до конца строки обновить экран , <стрелка вниз> получить следующую строку из предыстории , <стрелка вверх> получить предыдущую строку из предыстории удалить символы от начала строки до курсора удалить символы слева от курсора до пробела вставить ранее удаленные символы отменить предыдущий ввод (undo) ПРЕДУПРЕЖДЕНИЕ: В связи с введением посимвольной обработки командной строки могут возникать проблемы при закачке скриптов с портов без управления потоком (в частности консольный порт устройств серии NX-300 не имеет упраления потоком). Для успешной закачки желательно: - устанавливать скорость на линии не более 9600 бит/с; - перед закачкой скрипта выполнить команду 'D P OFF' (желательно вручную) и не забыть в конце выполнить команду 'D P ON' (можно в скрипте), чтобы вернуться в нормальный режим работы; - использовать в скрипте команду Factory settings только с параметром No write - 'F S NW'; - команду 'W F' использовать только в конце скрипта перед 'D P ON'; 2. Введен новый тип аутентификации TACACS. Команда установки способа аутентификации позволяет определить тип аутентификации и ее параметры. Установка параметров аутентификации производиться командой Set Parameters: S P AU:x <параметр>:<значение> где x - номер способа аутентификации(обязательный параметр); <параметр> - название параметра; <значение> - значение параметра. Ссылка на номер способа аутентификации используется в описании параметров порта типа ASYNC. ПАРАМЕТР TY(Type) Параметр TY определяет тип аутентификации и может принимать следующие значения: TY:NO_AUTH - отсутствие аутентификации; TY:LOCAL - локальная аутентификация; TY:RADIUS - аутентификация через RADIUS сервер. TY:TACACS+ - аутентификация через TACACS+ сервер. Ниже приведено описание дополнительных параметров для способа аутентификации TACACS+. СПОСОБ АУТЕНТИФИКАЦИИ TACACS+. Данный способ предполагает исполизование TACACS+ протокола. В маршрутизаторе реализован TACACS+ клиент, который направляет запросы в TACACS+ сервер доступный по IP адресу, где и происходит аутентификация клиента. ПАРАМЕТР IADR (IP Address) Параметр задает сетевой IP адрес TACACS+ клиента. Этот адрес используется как адрес источника(source address) в IP пакетах посылаемых TACACS+ клиентом и должен быть известен и доступен TACACS+ серверу. Адрес задается в дотовой нотации только десятичными цифрами. Если параметр IADR=0.0.0.0, то в качестве адреса источника используется адрес интерфейса через который устанавливается соединение с TACACS+ сервером. ПАРАМЕТР TO (Timeout) Параметр TO определяет время в секундах через которое будет повторяться попытка установки соединения к TACACS+ серверу. ПАРАМЕТР RT (Retries) Параметр RT определяет количество попыток установить соединение к TACACS+ серверу. После этого числа попыток считается, что сервер неработоспособен. ПАРАМЕТР ID (Session Identificator Prefix) Параметр определяет префикс идентификатора сессии. Значение параметра задается в виде строки символов заключенных в кавычки. Параметр используется для создания идентификатора сессии передаваемого серверу в учетной информации. Идентификатор формируется из строки, заданной в параметре ID, к которой добавлен порядковый номер сессии для данного маршрутизатора. Так как идентификатор должен быть уникальным для каждой сессии, параметр ID должен быть разным в разных маршрутизаторах, работающих с одним TACACS+ сервером. ПАРАМЕТР SN (Servers Number) Параметр задает число TACACS+ серверов к которым может посылать запросы TACACS+ клиент. ПАРАМЕТР SADR (Server IP Address) Параметр SADR задает сетевой IP адрес TACACS+ сервера. Адрес задается в дотовой нотации только десятичными цифрами. ПАРАМЕТР KEY (Key) Параметр задает значение ключа, который используется для шифрования данных. Ключ должен совпадать с соответствующим параметром в базе данных сервера. Значение параметра задается в виде строки символов заключенных в кавычки. ПАРАМЕТРЫ SADR1, SADR2, ... , KEY1, KEY2, ... Эти параметры задают адреса и ключи для запасных TACACS+ серверов. Число пар параметров SADR[n] и KEY[n] определяется параметром SN. Когда проводится аутентификация пользователя запрос посылается на TACACS+ сервер с адрасом SADR. Если этот сервер неработоспособен, то посылается запрос на TACACS+ сервер с адрасом SADR1 и т.д. Неработоспособность сервера определяется исходя из параметров TO и RT (см. выше) 3. Введена фильтрация вызовов для X.25. Фильтрация пакетов "Вызов"(Call packet) задается командами описания фильтров отдельно для входящих и исходящих вызовов и для каждого порта. Таким образом создаются две таблицы фильтров - таблица фильтров для входящих вызовов и таблица фильтров для исходящих вызовов. Cинтасис команды описания фильтров: S R PR:{IN|OUT} [PO: SRC: DST: ACCS:{YES|NO}] Параметр PR (обязательный) определяет к какому типу вызовов относится данная команда: PR=IN команда относится к входящим вызовам; PR=OUT команда относится к исходящим вызовам; Параметр PO определяет к какому порту или виртуальному объекту относится данная команда: PO=n - физический порт, n - номер порта; PO=En - Ethernet станция, n - номер станции; PO=Sn - Frame Relay станция, n - номер станции; PO=Tn - Telnet станция, n - номер станции ; PO=EH - эхо порт; PO=IP - IP маршрутизатор; PO=MN - Manager; PO=PP - PPP интерфейс; PO=TG - Trafic Generator; PO=XX - любой порт; Если PO=XX, то данная команда задает фильтр для любого порта или виртуального объекта для которых не задан фильтр. Если в команде параметр PO отсутствует, то по умолчанию принимается PO=XX. Параметры SRC и DST задают маски для вызывающего(calling) и вызываемого(called) адреса соответственно. Маска адреса состоит из десятичных цифр и знаков 'X','$','*'. 'X' означает, что в данной позиции может быть одна любая цифра; '$' означает, что в данной позиции может быть одна любая или никакой цифры; '*' означает, что в данной позиции может быть любое количество или никакой цифры; Знаки '$' и '*' могут быть только последними знаками в маске. Если параметр SRC или DST не задан, то по умолчанию принимается SRC=* и DST=*. Параметр ACCS определяет запрет или разрешение вызова. ACCS=YES разрешает доступ для вызовов; ACCS=NO запрещает доступ для вызовов; Если параметр ACCS не задан то по умолчанию принимается ACCS=YES. Процедура фильтрации работает следующим образом: Пришедший пакет вызова(Incoming call) проверяется на возможность доступа по таблице фильтров для входящих вызовов (записи с параметром PR=IN). Если доступ запрещен, то вызов отвергается пакетом CLEAR c параметрами cause=11, diag=70. Далее по таблице маршрутизации определяется порт, куда направляется вызов. Исходящий пакет вызова(Outgoing call) проверяется на возможность доступа по таблице фильтров для исходящих вызовов (записи с параметром PR=OUT). Если доступ запрещен, то вызов отвергается пакетом CLEAR c параметрами cause=11, diag=70. Проверка на возможность доступа по таблице фильтров для входящих вызовов или по таблице фильтров для исходящих вызовов осуществляется следующим образом: Если для данного порта нет записей в таблице, то проверка проводиться по фильтрам заданным для любого порта(PO=XX). Если нет записей для порта PO=XX, то для данного порта разрешены любые вызовы. В таблице фильтров для конкретного порта может существовать несколько записей. Если пакет вызова соответствует какой-либо записи с параметром ACCS=NO, то данный вызов отвергается. Если пакет вызова соответствует какой-либо записи с параметром ACCS=YES, то данный вызов разрешается. Если пакет вызова не соответствует ни одной записи , то данный вызов отвергается.(Записи с параметром ACCS=NO приоритетнее.) Пример: PR:IN PO:1 SRC:* DST:77 ACCS:NO PR:IN PO:1 SRC:* DST:77* ACCS:YES PR:IN PO:1 SRC:123* DST:* ACCS:YES PR:OUT PO:1 SRC:* DST:123* ACCS:YES PR:OUT PO:MN SRC:123XXX DST:77 ACCS:YES PR:OUT PO:XX SRC:* DST:* ACCS:NO В данном примере для порта 1 разрешены входящие вызовы с адресом назначения начинающимся с 77 ИЛИ с адресом источника начинающимся с 123 но запрещен вызов с адресом назначения 77, так же запрещены все остальные входящие вызовы. Для порта 1 разрешены исходящие вызовы только для пакетов с адресом назначения начинающимся с 123. Для порта MN разрешены исходящие вызовы только для пакетов с адресом назначения 77 И с адресом источника начинающимся с 123 и длиной 6.(ограничение доступа к Manager). Для всех остальных портов разрешены любые входящие вызовы и запрещены любые исходящие вызовы. Для удаления записи из таблицы фильтров используется команда: C R PR:{IN|OUT} [PO: SRC: DST: ACCS:{YES|NO}] По этой команде удаляются те строки, у которых совпадают заданные в команде параметры. Например команда C R PR:IN PO:1 удалит все записи для порта 1 из таблицы фильтров для входящих вызовов. Команда C R PR:OUT удалит всю таблицу фильтров для исходящих вызовов. Команда C R PR:OUT PO:MN SRC:123XXX DST:77 ACCS:YES удалит конкретную строку. 4. Реализован протокол NAT(Network Address Translation). Данная реализация сетевой трансляции адресов заключается в преобразовании IP адресов внутренней сети, например, локальной сети на один действительный адрес внешней сети. Трансляция выполняется на протоколах ICMP, UDP и TCP. Одновременная работа множества станций через один IP адрес достигается за счет динамического выделения отдельных идентификаторов пакетов(ICMP) и номеров портов (UDP/TCP) для каждого отправляемого во внешнюю сеть пакета или при установлении TCP соединения. Чтобы установить протокол NAT на интерфейсе необходимо установить параметр NAT=YES. Значение NAT=NO означает работу интерфейса в обычном режиме(без NAT). 5. Добавлен новый параметр IP для порта типа ASYNC. Параметр IP определяет номер IP интерфейса к которому будет привязан порт после успешной аутентификации. Если IP=0, то порт будет привязан к любому свободному интерфейсу типа TY=PPP с параметром PO=AUTO. Параметр имеет смысл только если при аутентификации для пользователя определен сервис PPP. 6. Введена фильтрация для IP. Фильтрация IP-пакетов задается командами описания фильтров. Таким образом создается приоритетная таблица фильтров. Cинтасис команды описания IP-фильтров: S I FILTER PR: TY: [IN:] [SA:] [DA:] [PT:{ICMP IT:,UDP [SP:] [DP:],TCP [SP:] [DP:]}] [OUT:] Параметр PR (обязательный и обязательно ПЕРВЫЙ) определяет позицию (приоритет) в таблице фильтров; Параметр TY (обязательный и обязательно ВТОРОЙ) определяет тип фильтра. TY=A - допустить(accept) пакет с данными параметрами; TY=D - уничтожить(drop) пакет с данными параметрами; TY=R - отвергнуть(reject-drop) пакет с данными параметрами, и выдать ICMP-сообщение посылателю; TY=S - переслать(switch) пакет с данными параметрами на заданный интерфейс; Параметры IN и OUT(по умолчанию ALL) задают номера интерфейсов, с которых приходят(параметр IN) и на которые могут или не могут уходить,(параметр OUT) пакеты с данными параметрами соответственно. Номера интерфейсов могут задаваться: ALL - любой интерфейс; [[n,]m-l,]k ... - номера интерфейсов; Например: если надо задать 1,3,7,8,9,10,18, то пишем - IN:1,3,7-10,18; Если параметры IN и/или OUT не заданы, то по умолчанию принимается IN=ALL и/или OUT=ALL. !!!Примечание. Если TY=S, то параметр OUT ОБЯЗАТЕЛЬНО задается, при этом его формат: OUT:[/] - номер интерфейса, на который ДОЛЖЕН пересылаться пакет, и МОЖЕТ быть задан: - IP-адрес, на который должен пересылаться пакет. Имеет смысл только для интерфейса типа Ethernet. Параметры SA,DA определяют исходящие и удаленные IP-адреса в пакетах. Адреса могут задаваться: ALL - любой адрес, либо в формате адрес/маска в дотовой нотации. Причем если маска не задана, то по умолчанию будет задаваться маска в соответствии с классом адреса. Если параметры SA и/или DA не заданы, то по умолчанию принимается SA=ALL и/или DA=ALL. Параметр PT определяет тип протокола IP-пакетов и может задаваться следующими значениями: ALL - любой протокол; ICMP - протокол ICMP; UDP - протокол UDP; TCP - протокол TCP; По умолчанию PT=ALL. Если PT=ICMP, то может задаваться параметр IT, который задает тип ICMP пакета: IT=ALL - любой ICMP пакет(по умолчанию) IT=<число> - тип ICMP пакета. Если PT=TCP или PT=UDP, то могут задаваться параметры SP и/или DP, которые задают исходящие и удаленные TCP/UDP-порты соответственно. ALL - любой TCP/UDP порт, n[-m] или [n]-m, где n и m - числа от 0 до 65535, задающие диапазон TCP/UDP-портов. Процедура фильтрации работает следующим образом: Пришедший IP-пакет проверяется на предмет соответствия записям в таблице фильтрации. Сначала проверяется номер интерфейса, с которого пришел пакет. Далее проверяются адреса, тип протокола и параметры протокола. Если параметры пакета совпали с параметрами записи таблицы фильтрации, то если тип записи: TY=S - пакет пересылается на интерфейс, номер которого задан параметром OUT; TY=A - в соответствии с таблицей маршрутизации, определяется номер интерфейса, на который должен пересылаться данный пакет, и если данный номер интерфейса допускается параметром OUT, пакет пересылается, иначе пакет продолжает проверяться на предмет соответствия записям в таблице фильтрации; TY=D - в соответствии с таблицей маршрутизации, определяется номер интерфейса, на который должен пересылаться данный пакет, и если данный номер интерфейса допускается параметром OUT, пакет уничтожается, иначе пакет продолжает проверяться на предмет соответствия записям в таблице фильтрации; TY=R - те же действия, что и в случаев TY=D, только при уничтожении пакета посылателю идет ICMP-сообщение хост не доступен или порт не доступен для пакетов типа ICMP или TCP/UDP соответственно. !!! Примечание. Если пакет не "сработал" ни по одной записи таблицы фильтрации, то он маршрутизируется обычным образом. Пример: PR:00 TY:S IN:1,2,4-7,10 SA:ALL DA:ALL PT:ALL OUT:3/10.0.0.10 PR:01 TY:A IN:ALL SA:192.92.92.1/255.255.255.255 DA:ALL PT:ALL OUT:ALL PR:02 TY:D IN:ALL SA:192.92.92.0/255.255.255.0 DA:ALL PT:ALL OUT:ALL PR:03 TY:D IN:ALL SA:ALL DA:ALL PT:TCP SP:0-65535 DP:2000-65535 OUT:8 В данном примере все пакеты приходящие с интерфейсов 1,2,4,5,6,7,10 отправляются на третий интерфейс на адрес 10.0.0.10 Далее, все пакеты приходящие из сети 192.92.92.0, кроме тех, которые идут от 192.92.92.1(PR:1), уничтожаются(PR:2). Кроме того, запрещены любые пересылки на интерфейс 8 TCP-пакетов с портами назначения выше 1999. Для просмотра таблицы фильтров используется команда: D I FILTER Для удаления записи из таблицы фильтров используется команда: С I FILTER PR: По этой команде удаляются та строка, которая на данный момент имеет приоритет, заданный параметром PR. 7. DNS и traceroute. Можно задать адреса двух DNS-server'ов и использовать имена в командах ping и traceroute. S P IP:0 [DNS:{YES|NO}] [DNS1:] [DNS2:] Параметр DNS включает(YES) или выключает(NO) возможность использования имен в командах ping и traceroute. DNS1 задает адрес первичного DNS-сервера, а DNS2 - вторичного DNS-сервера. !!!Примечание Все эти параметры вступают в действие после команды W S DNS В командах пинга P P IADR:{<имя>|<адрес>} ... и трассировки P R IADR:{<имя>|<адрес>} ... теперь можно использовать как имя, так и IP-адрес в дотовой нотации. 8. Несколько ET-станций типа IP. Можно на одном Ethernet'овском порту создавать несколько ET-станций типа IP, привязать к ним IP-интерфейсы и получить несколько IP-сетей. При этом Ethernet'овские адреса каждой следующей ET-станции будет отличаться на 1 в младшем байте адреса от предыдущей, а первая будет иметь адрес порта, к которому привязана. 9. TN-станции: тип ASYNC, login для входа и TCP-порт для подключения. TN-станции могут иметь тип ASYNC и, таким образом, использовать login для входа с аутентификацией по RADIUS,TACACS+ или локальной. См. описание порта типа ASYNC. Можно задавать TCP-порт для подключения к конкретной TN-станции. Параметр TCPPORT:<номер порта>. Если несколько TN-станций имеют одинаковый TCP-порт(по умолчанию 23), то подключаться будет первая свободная из них. 10. Изменения для настраиваемых физических интерфейсов E1 10.1. Добавлен просмотр и сброс статуса/статистики. 10.2. Предусмотрена поддержка многопортовых интерфейсов. 10.3. Добавлены режимы тестирования. 10.4. Добавлен режим unframed. 10.5. Реализован SNMP DS1/E1 MIB в соответствии с RFC 1406. 10.6. Изменен командный язык по сравнению с версией 7.1 и меньше. Описание и примеры - см. файлы IFACEMAN.TXT, IFCNVMAN.TXT. Старый командный язык и рекомендации по переходу на новый - см. файл OLD520UG.TXT.