Для тех, кто работал в Cisco ISR, cisco ASA, Juniper SRX, интерфейс Eltex ESR покажется очень знакомым.
Eltex ESR - семейство маршрутизаторов с функциями межсетевого экрана (МСЭ) российского производства.
Автору довелось достаточно плотно поработать с этим оборудованием.
После настройки нескольких десятков устройств разных моделей, и сложности задач, могу сказать, что оборудование и ПО очень достойное.
Управление и логика работы предсказуема и надежна.
Оборудование поддерживает всё то, к чему мы привыкли в cisco: помимо статической и динамической маршрутизации имеется удобный в настройке policy routing, IP SLA, SNMP, Netflow, ntp, vrf, GRE, EoGRE и т.д.
IPSec поддерживается Policy Based и Route Based. IPSec не "залипает", прекрасно работает с Cisco IOS, Juniper SRX, Fortigate.
Доводилось настраивать OSPF и BGP, - нареканий не было.
МСЭ в настройке не так гибок и удобен как например в Mikrotik или SRX; он откровенно слаб по сравнению с Checkpoint или Fortigate, но он точно удобнее IOS ZBF.
МСЭ Eltex можно расположить и для фильтрации сотен протоколов внутри сети, и это работает адекватно, предсказуемо и поддаётся дебагу.
При этом нужно понимать, что Eltex ESR - не NGFW, - у него нет своих анализаторов трафика, каких-то полных решений по безопасности и тд. На Eltex ESR можно возложить функции туннелеобразующего оборудования, функции маршрутизатора филиалов любого размера, межсетевого экранирования.
С учетом сегодняшних реалий, в ЦО необходимо производить также и фильтрацию на NGFW с помощью других решений.
Пока Eltex ESR я бы не закладывал в проекты любой сложности, см. минусы. Но подключение небольших площадок вполне приемлемо.
Этого нельзя сказать например про mikrotik, который, из-за отсутствия поддержки, оброс в интернете как легендами, так и тоннами костылей, ложными вариантами решений.

Минусы Eltex

• Существенным минусом Eltex является практически полное отсутствие в интернете материалов по Eltex: вы не найдёте ничего, кроме официальных админ гайдов.
• К сожалению, Eltex не умеет распределять нагрузку между своими ядрами. Это означает, что в даже в старшей модели при шифровании L3 канала, вы получите не более 150мбит/с.
  То, к чему мы привыкли в Cisco, Juniper, Fortigate, - этого нет: в eltex один туннель не разгонится на все ядра устройства, а будет насиловать только одно ядро из десятка доступных.
  В характеристиках это сказано, но максимально завуалированно.
  Например в характеристиках ESR-1700 сказано:
  - Производительность IPsec (IMIX) - 7,2 Гбит/с; 1345,1k пакетов/c
  - Производительность одного IPsec-туннеля (IMIX) - 204,3 Мбит/c; 38,2k пакетов/с
  Это означает, что для того, чтобы получить IMIX 7,2Гбит, вам нужно собрать 36 штук L3 туннелей. И даже если вы соберете балансировку между ними, между двумя конкретными хостами вы всё равно получите 204,3 Мбит/c, поскольку балансировка возможна только на основе IP-IP.
• У МСЭ также есть несколько существенных минусов: в одно правило нельзя поместить несколько протоколов. Ограниченный инструментарий отладки МСЭ.
• Пока ещё множество багов и детских болячек. Справедливости ради, Eltex активно их исправляет. Не без помощи клиентов.

Содержание цикла Eltex ESR

Настройка Eltex ESR: 01. первое включение, начальная установка

• Полезные команды
• Первое включение
• Создание Aдмина
• Длительность бездействующей ssh-сессии
• Назначение имени устройства
• Настройка параметров сети
• Настройка удаленного доступа к маршрутизатору
• Работа с конфигурацией

Настройка Eltex ESR: 02. Углубленные настройки

• Настройка NTP
• Обновление ПО
• Настройка DHCP Server
• Настройка логирования (logging, syslog)
• Настройка SNMP
• Установка SNMP MIB на PRTG
• Полезные OID
• Настройка Netflow
• Настройка Eltex Firewall
• Настройка VPN Site-to-Site между Eltex и Juniper (ESR-100 и SRX-650)
• Проверка IPSec Eltex ESR Juniper
• Оценка скорости и производительности
• MTU и MSS
• Настройка VPN Site-to-Site Route Based между Eltex и Cisco (ESR-100 и C891F-K9)
• Проверка IPSec Eltex ESR Cisco
• Настройка VPN GRE между Eltex и Cisco (ESR-100 и C891F-K9)
• Бэкап конфигурации и восстановление
• Source NAT
• VLAN и sub-interfaces
• Настройка MultiWAN
• Настройка IPSLA
• Настройка IPSLA + Track
• Eltex и BGP
• Eltex и OSPF
• Настройка архивирования
• Eltex ESR 1511 и Trunk, Access
• Делегирование полномочий
• Eltex + USB LTE modem (свисток)
• Eltex и авторизация TACACS