Не удалось инициализировать корректный модуль межсетевого экрана

Обновлено: 06.07.2024

Россия

Данная статья будет полезна всем, кто в соответствии с требованиями ФСТЭК закупил новый межсетевой экран ESR-200 FSTEC. Впрочем, она применима и к ESR-100 FSTEC и ESR-1000 FSTEC.

Развитие информационных технологий в нашей стране ставит перед государством всё новые вызовы. Информационные технологии — это не только Интернет, с развлекательными и информационными сайтами, включая Госуслуги. Это и локальные вычислительные сети, и целый перечень оборудования от коммутаторов и межсетевых экранов, заканчивая оборудованием магистрального уровня. Любое телекоммуникационное оборудование может содержать уязвимости или просто закладки, позволяющие спецслужбам страны производителя получать доступ к оборудованию. Для того, чтобы избежать подобных угроз, такое оборудование нужно производить самому!

До объявления импортозамещения в России активно использовались коммутаторы и межсетевые экраны фирмы Cisco и прочих производителей из США. Введение против нашей страны санкций со стороны США и присоединившегося Евросоюза наглядно показали, что в любой момент по любому надуманному поводу, они могут лишить нашу страну доступа к любым технологиям, в том числе, к телекоммуникационному оборудованию.

Несмотря на яростное сопротивление отдельных слоев общества, была запущена программа импортозамещения, в том числе в сфере телекоммуникационного оборудования. В рамках её исполнения был создан Реестр телекоммуникационного оборудования российского происхождения (ТОРП). Впрочем, история создания, плюсы, минусы и состояние дел - это тема для отдельной статьи.

Одним из Российских производителей, которые сертифицируют свое оборудование согласно требованиям ФСТЭК, а также, на соответствие статусу ТОРП является компания ELTEX.

Подключение ESR-200 к ПК

Маршрутизатор поставляется в минимальной комплектации. В общем в коробке вы найдете кабель питания, формуляры и сам маршрутизатор. Но для первоначальной настройки нам потребуется специальный кабель Rs232 DB9 (com–rg45). Я пользуюсь таким:

Он достался в наследство от старой Cisco ASA.

Если, для настройки, вы используете стоечный сервер, то с высокой долей вероятности в нем уже есть как минимум один com-порт. В современных ПК такие порты, как правило, отсутствуют. В этом случае вам потребуется переходник com-usb, я пользуюсь вот таким USB-SERIAL CH340:

Для начала проверяем стоит проверить, доступен ли COM порт. У меня это COM3, у вас номер порта может быть другим. Например, на одном usb-порту у меня он COM3, а на соседнем уже COM4! Это важно для дальнейшей настройки. Если вы подключаетесь к серверу, то порты могут быть COM1 или COM2.

После подключения будет нелишним проверить видит ли Windows наше устройство.

Заходим в диспетчер устройств и открываем вкладку Порты (COM и LPT), если все в порядке вы увидите следующее:

Название адаптера будет различаться, но вы точно можете узнать номер COM-порта, запомните его, он нам еще пригодится.

Если этого раздела нет, то скорее всего вам нужно найти и установить драйвера для адаптера com-usb. Как вариант, адаптер мог выйти из строя. Иногда эти устройства в принципе не работают с более новой или наоборот - старой версией Windows!

Настройка PuTTY

Для подключения к устройству через COM-порт нам необходима консоль. Я рекомендую использовать хорошо себя зарекомендовавшую программу PuTTY.

Идем на официальный сайт и скачиваем свежую версию PuTTY, на момент написания это версия 0.73

После установки запускаем её.

В окне выбираем категорию Serial

Заполняем как показано на рисунке

Соединяем кабели и подключаем конец с разъемом RJ45 к порту "Console" на маршрутизаторе.

Подключаем кабель к роутеру в порт «Console» и к переходнику com-usb

В PuTTY нажимаем Open, если все настроено правильно у вас откроется такое окно

Если откроется окно с ошибкой:

Значит вы либо неверно указали номер порта, либо не соединили кабели, либо у вас проблемы с com-портом.

Обратите внимание, что некоторые кабели, идущие в комплекте с серверными UPS, работают только в режиме чтения и не могу использоваться для настройки оборудования!

Если же у вас успешно открылось пустое окно консоли, то теперь можно присоединить кабель питания к ESR-200.

начнется загрузка маршрутизатора, прогресс загрузки отображается в консоли.

Полный лог загрузки вы можете найти под спойлером:

[TODO: добавить лог]

Загрузка занимает несколько минут.

После загрузки на экране появится приветствие:

На экране появится Initial CLI:

Имя пользователя по-умолчанию: administrator

Первичная инициализация

Так как это наше первое включение устройства, его требуется инициализировать:

Так как это наше первое включение устройства, его требуется инициализировать:

Экран очиститься и появятся две строки:

Вы должны нажимать предложенные клавиши, учтите что важен и регистр букв!

Постепенно шкала будет заполняться:

Если вы нажимаете неверную клавишу прогресс откатывается, так что будьте внимательны!

Successfully initialized RNG.

Чтобы разблокировать сетевой трафик, нам нужно выполнить команду run csconf_mgr activate

Почти все настройки выполняются в режиме конфигурации, для этого вводим:

Имя пользователя : admin

Если вы ввели всё правильно, появится приглашение:

Вот мы и вошли в режим управления!

Проверка информации о маршрутизаторе

Проверим, что всё работает:

Например, можно вывести информацию о системе:

Проверим текущую конфигурацию устройства:

Как мы видим по умолчанию все порты отключены. Именно поэтому нам и нужна консоль, иначе мы просто не сможем подключится к esr-200.

Почти все настройки производятся в режиме конфигурирования:

Обратите внимание, что в приглашении командной строки появилось слово (config)

это означает, что устройство перешло в режим конфигурирования.

Теперь мы можем настроить имя хоста для нашего устройства:

Всё дело в том, что в режиме конфигурирования, некоторые команды напрямую не работают, поэтому нам нужно добавить команду ‘do'

Из вывода команды вы увидите, что конфигурация устройства не изменилась.

Коммит и подтверждение конфигурации

Происходит это потому, что для фактического применения конфигурации нужно пройти два шага:

После внесения изменения в конфигурацию устройства, вы делаете commit или do commit , если запускаете эту команду из режима конфигурирования.

Эта команда на 10 минут применяет ваши изменения к устройству. Если всё в порядке и ничего не нигде не «отвалилось» и всё работает нормально, то можно приступать к следующему этапу.

Если же, например, вы меняли IP адрес у интерфейса и ошиблись, то возможна такая ситуация, при которой зайти на устройство не получится, так как просто пропадет связь до него, тогда вам достаточно подождать 10 минут, по истечении которых ваша новая конфигурация будет автоматически сброшена, и вы снова получите доступ к устройству.

Иногда возникает необходимость просто откатить внесенные изменения, сделать это можно командой restore или do restore

Если после проверки новой конфигурации всё работает как планировалась, можно окончательно записать новую конфигурацию, делается это командой confirm или do confirm , при этом все изменения будут записаны на устройство и откатить их уже не получится!

Проверим что у нас получилось:

Еще раз проверяем конфигурацию:

Как мы видим, конфигурация применилась, у нас появилась строчка

Настройка сетевого интерфейса

Теперь, когда мы разобрались с тем, как работает система сохранения и подтверждения конфигурации, можно приступить к настройке сети.

Но прежде сделаем небольшое отступление. У всех устройств линейки ESR есть так называемые ‘Combo ports’. По сути комбо-порт – это два порта, объединенных в один. К примеру, если вы вставите модуль SFP+ в комбо-порт №3 и подключите к нему оптику, то не сможете пользоваться Ethernet портом №3. Отсюда вытекает и следующее ограничение все комбо-порты имеют максимальную скорость 1Гб/с. Вы можете использовать либо витую пару, включенную в комбо-порт, либо оптику!

У ESR есть только gigabitethernet порты. Это значит, что максимально возможная скорость – 1Гб/с.

Итак, начинаем настраивать сеть. В устройствах ESR приняты следующие соглашения об именовании интерфейсов:

По сути меняется только последняя цифра, например,

означает 4 порт устройства или 4 порт SFP+ если это комбо-порт.

Настройка сети производится из режима конфигурации (config)

interface gigabitethernet 1/0/2

после её ввода приглашение командной строки меняется на:

это означает что мы находимся в режиме конфигурирования сетевого интерфейса.

Прежде всего нужно включить порт, для этого воспользуемся командой

Данная команда включает порт, установленный по умолчанию командой ‘shutdown’. Вообще команда ‘no’ очень часто используется для удаления настроек и параметров. После её применения установленное значение shutdown данного порта удаляется из конфигурации.

Теперь пришло время прописать IP адрес для нашего порта.

Обратите внимание, обязательно нужно прописывать маску подсети в формате /24 или /27

Можно добавить описание порта

Теперь просто выходим из режима настройки порта

И делаем commit конфига:

Проверяем наличие сети, подразумевается, что в сети у вас есть устройство с адресом 192.168.0.1 :

Сеть работает, делаем confirm

Вот мы и настроили локальную сеть на устройстве.

Заключение

Подведем итоги, что же мы узнали о первоначальной настройке ESR-200:

1. Мы научились подключаться к консоли управления с помощью программы PuTTY;

2. Узнали пароли по умолчанию для входа на устройство;

3. Разобрались как войти в режим управления и конфигурирования устройства;

4. Узнали команды вывода информации об устройстве и его текущей конфигурации;

5. Разобрались в том, как можно сменить hostname устройства;

6. Разобрали механизм commit/confirm для сохранения конфигурации устройства;

7. Настроили сетевой адаптер на устройстве.

В будущих статьях будет рассмотрена настройка межсетевого экрана, а так же настройка NAT, в том числе и маскарадинг.

Читайте также:

  
• Я за компьютерами нет нельзя
  
• Любая информация в памяти компьютера состоит из и вместо многоточия вставить
  
• Как отфотошопить фотографию самому на компьютере
  
• Чем открыть файл zem
  
• Процесс updater завершился с ошибкой 64 ошибка при установке zip файла