История страницы

...

Для начала создадим на ESR VRF c именем kids:

esr-12v#

...

config
esr-12v(config)#

...

ip vrf kids
esr-12v(config-vrf)# exit

При необходимости настройки файрвола создадим зоны безопасности. Для внешних интерфейсов untrusted, для внутренних trusted:

esr-12v(config)# security zone trusted
esr-12v(config-zone)# exit
esr-12v(config)# security zone untrusted
esr-12v(config-zone)# exit

Также стоит учесть, что для интерфейсов включенных в VRF потребуются свои зоны безопасности. Создадим их и включим в vrf kids.

esr-12v(config)# security zone trust-kids
esr-12v(config-zone)# ip vrf forwarding kids
esr-12v(config-zone)# exit
esr-12v(config)# security zone untrust-kids
esr-12v(config-zone)# ip vrf forwarding kids
esr-12v(config-zone)# exit

Приступим к настройки интерфейсов для подключения к сети Интернет:

esr-12v(config)# interface gigabitethernet 1/0/1
esr-12v(config-if-gi)# ip address 185.16.15.2/30
esr-12v(config-if-gi)# security-zone untrusted
esr-12v(config-if-gi)# exit

Указываем маршрут в интернет:

esr-12v(config)# ip route 0.0.0.0/0 185.16.15.1

Приступим к интерфейсу с фильтрованным интернетом. Первым делом включаем необходимый интерфейс в vrf kids:

esr-12v(config)# interface gigabitethernet 1/0/2
esr-12v(config-if-gi)# ip vrf forwarding kids
esr-12v(config-if-gi)# ip address 185.16.20.2/30
esr-12v(config-if-gi)# security-zone untrust-kids
esr-12v(config-if-gi)# exit

Точно также указываем маршрут, но с учетом vrf kids:

esr-12v(config)# ip route vrf kids 0.0.0.0/0 185.16.20.1

Создаем интерфейсы под локальные подсети. Подсеть которая будет ходить в фильтрованный интернет необходимо включить в тот же vrf, что и uplink.

esr-12v(config)# interface gigabitethernet 1/0/3
esr-12v(config-if-gi)# ip address 192.168.1.1/24
esr-12v(config-if-gi)# security-zone trusted
esr-12v(config-if-gi)# exit
esr-12v(config)# interface gigabitethernet 1/0/4
esr-12v(config-if-gi)# ip vrf forwarding kids
esr-12v(config-if-gi)# ip address 192.168.2.1/24
esr-12v(config-if-gi)# security-zone trust-kids
esr-12v(config-if-gi)# exit

...

Далее для каждой подсети настроим nat source:

esr-12v(config)# nat source

esr-12v(config-snat)# ruleset factory

esr-12v(config-snat-ruleset)# to zone untrusted

esr-12v(config-snat-ruleset)# rule 10

esr-12v(config-snat-rule)# action source-nat interface

esr-12v(config-snat-rule)# enable

esr-12v(config-snat-rule)# exit

esr-12v(config-snat-ruleset)# exit

Для фильтрованного интернета ruleset необходимо таже добавить в vrf kids:

esr-12v(config-snat)# ruleset kids
esr-12v(config-snat-ruleset)# ip vrf forwarding kids
esr-12v(config-snat-ruleset)# to zone untrust-kids
esr-12v(config-snat-ruleset)# rule 10
esr-12v(config-snat-rule)# action source-nat interface
esr-12v(config-snat-rule)# enable
esr-12v(config-snat-rule)# exit
esr-12v(config-snat-ruleset)# exit
esr-12v(config-snat)# exit

Далее разрешим трафик между зонами безопасности:

esr-12v(config)# security zone-pair trusted untrusted
esr-12v(config-zone-pair)# rule 1
esr-12v(config-zone-pair-rule)# action permit
esr-12v(config-zone-pair-rule)# enable
esr-12v(config-zone-pair-rule)# exit
esr-12v(config-zone-pair)# exit
esr-12v(config)# security zone-pair trusted trusted
esr-12v(config-zone-pair)# rule 1
esr-12v(config-zone-pair-rule)# action permit
esr-12v(config-zone-pair-rule)# enable
esr-12v(config-zone-pair-rule)# exit
esr-12v(config-zone-pair)# exit
sr-12v(config)# security zone-pair trusted self
esr-12v(config-zone-pair)# rule 1
esr-12v(config-zone-pair-rule)# action permit
esr-12v(config-zone-pair-rule)# enable
esr-12v(config-zone-pair-rule)# exit
esr-12v(config-zone-pair)# exit

Для интерфейсов в vrf kids:

esr-12v(config)# security zone-pair trust-kids untrust-kids
esr-12v(config-zone-pair)# rule 1
esr-12v(config-zone-pair-rule)# action permit
esr-12v(config-zone-pair-rule)# enable
esr-12v(config-zone-pair-rule)# exit
esr-12v(config-zone-pair)# exit
esr-12v(config)# security zone-pair trust-kids trust-kids
esr-12v(config-zone-pair)# rule 1
esr-12v(config-zone-pair-rule)# action permit
esr-12v(config-zone-pair-rule)# enable
esr-12v(config-zone-pair-rule)# exit
esr-12v(config-zone-pair)# exit
esr-12v(config)# security zone-pair trust-kids self
esr-12v(config-zone-pair)# rule 1
esr-12v(config-zone-pair-rule)# action permit
esr-12v(config-zone-pair-rule)# enable
esr-12v(config-zone-pair-rule)# exit
esr-12v(config-zone-pair)# exit
esr-12v(config)# exit
esr-12v# commit
esr-12v# confirm

В итоге получаем конфигурацию следующего вида:

Блок кода
esr-12v# show running-config ip vrf kids

...


exit

...



security zone trusted

...


exit

...


security zone untrusted

...


exit

...


security zone trust-kids

...


  ip vrf forwarding kids

...


exit

...


security zone untrust-kids

...


  ip vrf forwarding kids

...


exit

...




interface gigabitethernet 1/0/1

...


  security-zone untrusted

...


  ip address 185.16.15.2/30

...


exit

...


interface gigabitethernet 1/0/2

...


  ip vrf forwarding kids

...


  security-zone untrust-kids

...


  ip address 185.16.20.2/30

...


exit

...


interface gigabitethernet 1/0/3

...


  security-zone trusted

...


  ip address 192.168.1.1/24

...


exit

...


interface gigabitethernet 1/0/4

...


  ip vrf forwarding kids

...


  security-zone trust-kids

...


  ip address 192.168.2.1/24

...


exit

...


security zone-pair trusted untrusted

...


  rule

...

 1
    action permit
    enable
  exit
exit
security zone-pair trusted trusted

...


  rule

...

 1
    action permit
    enable
  exit
exit
security zone-pair trust-kids untrust-kids

...


  rule

...

 1
    action permit
    enable
  exit
exit
security zone-pair trust-kids trust-kids

...


  rule

...

 1
    action permit
    enable
  exit
exit
security zone-pair trusted self

...


  rule

...

 1
    action permit
    enable
  exit
exit
security zone-pair trust-kids self

...


  rule

...

nat source
    ruleset factory
        to zone untrusted
        rule 10
            action source-nat interface
            enable
        exit
    exit
    ruleset kids
        ip vrf forwarding kids
      to zone untrust-kids
      rule 10
      action source-nat interface
          enable
exit
    exit
exit

...

 1
    action permit
    enable
  exit
exit

nat source
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip'by outgoing interface ip address"
      action source-nat interface
      enable
    exit
  exit
  ruleset kids
    ip vrf forwarding kids
    to zone untrust-kids
    rule 10
      action source-nat interface
      enable
    exit
  exit
exit

ip route 0.0.0.0/0 185.16.15.1

...


ip route vrf kids 0.0.0.0/0 185.16.20.1

Дерево страниц

Сравнение версий

Старая версия 1

Новая версия Текущий

Ключ