Как настроить маршрутизатор NSG?

Сегодня, для разнообразия, поговорим не о маршрутизаторах вообще, а о конкретных изделиях. Три буквы, на которые мы сегодня пойдём, коллегам из нашей области деятельности знакомы в достаточной степени: это NSG. Сразу оговорюсь, что речь в данном посте пойдёт о маршрутизаторах NSG третьего поколения, работающих под управлением софта NSG Linux 2.x, с веб-намордником.  Вообще на сегодняшний день это ещё не самое массовые из продуктов NSG. Устройств второго поколения под управлением NSG Linux 1.0 (с циско-подобным командным языком) было выпущено больше, одних только NSG-700 - свыше 28 тыс. (хотя в заключительные годы выпуска они также поставлялись с софтом 2.0). Плюс другие модели. Плюс - ещё работающие устройства первого поколения, с собственным командным языком. В общем, исходя из общего числа банкоматов в наше время в РФ 120-140 тыс., шансы столкнуться с маршрутизаторами NSG, в особенности для организации подключений по сотовым сетям, достаточно велики. Но устройства 1-2 поколений, как бы то ни было, уже давно поставлены, настроены и работают. И работать они могут годами, если их не чинить. Поэтому дальше мы будем говорить именно об устройствах с NSG Linux 2.x - если вам придётся настраивать что-то новое и свежекупленное, то это будут именно они.

 

Итак, с чего начать, если перед вами устройство NSG и вам предстоит первый секс первый опыт работы с ним? В отличие от изделий 1 и 2 поколений, в NSG Linux 2.x основным естественным отверстием для вхождения в него является порт Ethernet, а именно - тот, который подписан eth0. Если под этой надписью находятся сразу несколько дырок, пронумерованных, скажем, e1 … e4- можете вставлять свой конец кабеля в любую, это встроенный коммутатор Ethernet. По умолчанию, он ничего особого не делает: тупо перебрасывает пакеты из своих внешних портов в порт процессора. Кабель можете  использовать любой - прямой или кроссовый; в современных моделях этот порт(-ы) сами разберутся, где вход, где выход.

Приступаем к предварительным ласкам. В заводской конфигурации именно этому порту назначен IP-адрес 192.168.1.1/24. Проще всего подключить железку напрямую к вашему компьютеру и настроить на нём адрес из этой же подсети. Если вы не очень хорошо понимаете, что означают эти цифры через дробь и что такое "из этой же подсети", то, так и быть, скажу один раз: любой адрес от 192.168.1.2 до 192.168.1.254, и маску 255.255.255.0. Но дайте честное пионерское слово, что вы сегодня же пойдёте и прочитаете в интернете или какой-нибудь умной книжке как устроена структура адресов IPv4. (Не хочу рекламировать наш собственный сайт, но там это всё достаточно подробно и кратко описано в том объёме, который вам минимально нужен. См. раздел "Руководство пользователя онлайн --> Сетевые технологии"). Ну, а где находится эрогенная зона сетевых настроек у той версии Windows, которая стоит на вашем компе - это вы лучше меня должны знать. Настроили? Лампочки на порту Ethernet горят? Хорошо, она уже мокренькая тёпленькая.

Основной формой сношений с NSG Linux 2.x является, как уже сказано выше, Web-интерфейс. Не самый лучший, на мой взгляд, способ, поскольку кликание мышом по иконкам ни в коей мере не дóлжно быть заменой членораздельной человеческой речи - т.е. консольным командам. Но кое в чём он действительно удобен: он позволяет видеть сразу все прелести объекта совокупления одновременно. Поскольку сетевой администратор является, как правило, мужчиной и любит, соответственно, глазами, то для него это важно. Посему запускаем броузер и вбиваем в адресной строке: 192.168.1.1 . Что получаем?

Вводим имя nsg, пароль по умолчанию пустой. Нажимаем кнопку Login один раз. Попадаем в дерево конфигурации, по которому и будем лазить всё оставшееся время.

Чтобы развернуть любую ветвь дерева, нужно 2 раза щёлкнуть мышью по ней самой или 1 раз по значку  +  слева от неё. Чтобы изменить значение параметра, нужно 2 раза щёлкнуть мышью в окне ввода или 1 раз по значку справа от него.

Чтобы применить сделанные изменения, т.е. ввести их в действие, нужно 1 раз щёлкнуть мышью по значку справа от изменённого параметра или в любом вышестоящем узле дерева. Чтобы сохранить полученную конфигурацию, нужно 1 раз щёлкнуть мышью по значку в корне дерева.

Жирным шрифтом выделены узлы и параметры, в которых что-то настроено иначе, чем по умолчанию. Зелёные - это не параметры, а разовые команды, которые выполняются один раз (той же кнопкой ) и не сохраняются в конфигурации.

Чтобы получить справку в Web-интерфейсе, используйте кнопки .

Чтобы корректно завершить работу в Web-интерфейсе, необходимо нажать кнопку "Выход" (). Иначе в следующий раз будут проблемы.

Чтобы вывести полную конфигурацию изделия в том виде, в каком она написана в примерах и в каком её нужно отсылать в техподдержку - нажмите кнопку в корне дерева. Дерево переключится в текстовый режим. Отсюда/сюда его можно копипастить, а можно править прямо в этом текстовом окне. Обратите внимание, что в этом окне показываются только настройки, отличные от заводских. Чтобы вернуться на своё дерево, нажмите кнопку на том же месте.
Для первого раза, наверное, этого хватит. Пожалуй, и так слишком много информации? Всё остальное можно прочитать в справке. Надеюсь, пользоваться кнопкой вы уже научились.

А поговорить?.. Ну, тогда ещё несколько слов на тот случай, если логика построения дерева вам не понятна.

• В узле ethernet находятся не настройки портов Ethernet. Они находятся в другом месте, а здесь - настройки обработки пакетов Ethernet на втором уровне между портами, т.е. в рамках устройства в целом. Здесь можно управлять встроенным коммутатором Ethernet (если он есть в вашем изделии), создавать программные коммутаторы (bridge groups) и объединять порты в один канал с увеличенной скоростью (bond groups, но в банкоматах это вам вряд ли понадобится).
• В узле ip настраивается обработка пакетов на 3 уровне - на уровне протокола IP, также для устройства в целом. Это маршрутизация пакетов всеми возможными способами, NAT разными способами, фильтры по всем возможным критериям и кое-что ещё.
• Узел ipv6 - то же самое, но для протокола IPv6. У меня лично есть большое подозрение, что это мёртворождённый протокол и едва ли он когда-либо дойдёт до повсеместного практического применения. Если дойдёт когда-нибудь - тогда и будем говорить. Пока туда можно не лазить.
• Узел netns - это виртуальные маршрутизаторы; в терминах Linux - network namespaces. Вам в банкомате они тоже едва ли понадобятся.
• В узле port настраиваются как раз порты устройства по отдельности. При этом каждый порт в архитектуре NSG Linux 2.0 включает в себя компоненты физического (например, скорость), канального (MAC-адрес) и сетевого уровней. В современных продуктах, как я уже говорил, большинство из них настраивается автоматически или работает с настройками по умолчанию, но в общем случае вам могут потребоваться все три группы настроек. В частности, именно здесь настраиваются IP-адреса портов (или правила их автоматического получения). Если вы решили очистить конфигурацию полностью и начать снова с чистого листа, то немедленно верните адрес порту eth0! Иначе, как только вы примените очищенную конфигурацию, вы потеряете доступ к железке. Чтобы восстановить его, придётся немного поработать ручками - вам это надо?
• Псевдо-интерфейсы - это виртуальные объекты, типа локального интерфейса. Для некоторых специальных задач могут пригодиться, но в простых конфигурациях там тоже делать нечего.
• Сервисы - это прикладные службы, работающие на вашем устройстве. Собственно к пересылке пакетов большинство из них не относится, но они делают разные полезные вещи: раздают другим машинам в вашей сети IP-адреса, служат для них DNS-сервером, устанавливают точное время по сети и многое другое. В частности, серверы HTTP, HTTPS, Telnet, SSH, агент SNMP - это всё прикладные сервисы, которые можно включать, выключать и настраивать в этом дереве.
• Система - это все средства настройки мониторинга системы Linux в целом. В частности, на этой ветке висят такие жирные груши, как системные журналы, ручная настройка даты-времени и часового пояса, управление пользователями и их правами, экспорт-импорт конфигурации и обновление софта.
• Ветка tools - это инструменты для мониторинга и отладки сети. Например, можете поморгать лампочками, если они имеются на данной железке, или отправить почту. Также есть ping и traceroute. Есть клиенты Telnet и SSH, чтобы с этой железки ходить на какие-нибудь другие.
• Что висит на ветке tunnel - я думаю, вы уже догадались. PPTP, PPPoE, IPsec, OpenVPN, фирменная VPN под названием uiTCP, клиенты, серверы...

Вот теперь уже точно хватит, наверное. Теперь зубами к стенке и - спать. Завтра, когда проспитесь, полазайте ещё немного по дереву, оглядитесь, где что висит. Дальше по веткам сами разберётесь? Если у вас ещё нет в руках железки для этой цели, то в качестве резиновой женщины виртуального тренажёра можете использовать Дерево Конфигурации на справочном сайте.