...
Рассмотрим настройку на примере с определенной адресацией. Предполагается, что необходимые настройки маршрутизатора для работы по обычной схеме включения уже выполнены в соответствии c разделом НАСТРОЙКА МАРШРУТИЗАТОРА В РЕЖИМЕ WIRELESS-CONTROLLER С РЕЗЕРВИРОВАНИЕМ инструкцией L2/L3 WiFi - руководство по настройке и быстрому запуску.OLD. Схема включения с адресацией приведена на рис. 3.
...
Предполагается, что настройка ESR в дефолтном VRF уже выполнена в соответствии с инструкцией НАСТРОЙКА МАРШРУТИЗАТОРА В РЕЖИМЕ WIRELESS-CONTROLLER С РЕЗЕРВИРОВАНИЕМ инструкцией L2/L3 WiFi - руководство по настройке и быстрому запуску.OLD. Все настроенные адреса находятся в белом фоне таблицы 1.
...
Drawio | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Рис. 4.
В общем настройка файрвол в VRF выполняется способом подобным дефолтному VRF, с учетом наличия логического туннеля между VRF. Логический туннель lt в дефолтном VRF помещаем в зону trusted, как правило в настройках ESR уже есть правило, разрешающее обмен любым трафиком меду зонами trusted, поэтому в части настройки файврола для дефолтного VRF ничего более выполнять не надо.
- Разрешаем весь трафик из зоны user_ISP2 в untrsted_ISP2;
- Из зоны user_ISP2 в зону trusted_ISP2 разрешаем DHCP пакеты (и при необходимости DNS);
- В направлении user_ISP2 sidelink_ISP2 разрешаем трафик DNS и любой трафик, который не направлен к приватным подсетям (для того, что бы обеспечить доступ к сети интернет через перемычку и не пустить пользователей к адресам внутренних подсетей);
- Из зоны untrusted_ISP2 в зону self разрешаем ICMP трафик для удобства диагностики;
- Так же разрешаем трафик ICMP для связки зон untrusted_ISP2 user_ISP2;
- Для направления sidelink_ISP2 self разрешаем работу протокола BGP;
- В направлении sidelink_ISP2 untrusted_ISP2 разрешаем весь трафик
...