Сравнение версий

Старая версия 1

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  1. Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены.

    В данную зону безопасности входят интерфейсы:

    • для ESR-10/12V3200: GigabitEthernet Twentyfivegigabitethernet 1/0/1-2;
    • для ESR-12VF3300: GigabitEthernet TwentyfivegigabitEthernet 1/0/1; GigabitEthernet -2, HundredgigabitEthernet 1/0/9;
    • для ESR-15(R): GigabitEthernet1/0/1; GigabitEthernet1/0/6; 
    • для ESR-15VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/10;

    • для ESR-20: GigabitEthernet 1/0/1;

    • для ESR-21: GigabitEthernet 1/0/1;

    • для ESR-30/31: GigabitEthernet 1/0/1; TengigabitEthernet 1/0/1-2;

    • для ESR-100/200: GigabitEthernet 1/0/1;

    • для ESR-1000/1500/3100: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;

    • для ESR-1200/1700: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2;

    • для ESR-1511: GigabitEthernet 1/0/1, FortygigabitEthernet 1/0/1-2;
    • для ESR-3200: Twentyfivegigabitethernet 1/0/1-2;
    • для ESR-3200L: TengigabitEthernet 1/0/1-2, TwentyfivegigabitEthernet 1/0/1-2;
      • для ESR-3300: TwentyfivegigabitEthernet 1/0/1-2, HundredgigabitEthernet 1/0/1-2.
      Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 2.
    Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов Telnet и SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.

    В данную зону безопасности входят интерфейсы:

  2. для ESR-10: GigabitEthernet 1/0/2-6;

  3. для ESR-12V(F): GigabitEthernet 1/0/2-8;

  4. для ESR-15(R): GigabitEthernet 1/0/2-5;
  5. для ESR-15VF: GigabitEthernet 1/0/2-9;

  6. для ESR-20: GigabitEthernet 1/0/2-4;

  7. для ESR-21: GigabitEthernet 1/0/2-12;

  8. для ESR-30/31: GigabitEthernet 1/0/3-4;

  9. для ESR-100: GigabitEthernet 1/0/2-4;

  10. для ESR-200: GigabitEthernet 1/0/2-8;

  11. для ESR-1000: GigabitEthernet 1/0/2-24;

  12. для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;

  13. для ESR-1500: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;

  14. для ESR-1511: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/1-4;

  15. для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12;

    16. для ESR-3100: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-8;
    • 1-2.

      Интерфейсы зоны объединены в один L2-сегмент через сетевой мост       Bridge 2.
  16. Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов Telnet и SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.

    В данную зону безопасности входят интерфейсы:

    • для ESR-3200: Twentyfivegigabitethernet 1/0/3-12;

    • для ESR

      -3200L: TengigabitEthernet 1/0/3

      -

      8, TwentyfivegigabitEthernet 1/0/3-4;

      для ESR-3300: TwentyfivegigabitEthernet 1/0/3-4, HundredgigabitEthernet 1/0/3-4.

      Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.

На интерфейсе Bridge 2 включен DHCP-клиент для получения динамического IP-адреса от провайдера. На интерфейсе Bridge 1 сконфигурирован статический IP-адрес 192.168.1.1/24. Созданный IP-интерфейс выступает в качестве шлюза для клиентов локальной сети. Для клиентов локальной сети настроен DHCP-пул адресов 192.168.1.2-192.168.1.254 с маской 255.255.255.0. Для получения клиентами локальной сети доступа к Internet на маршрутизаторе включен сервис Source NAT.

Scroll Pagebreak
Политики зон безопасности настроены следующим образом:

Таблица 70 18 – Описание политик зон безопасности

...

Примечание

При первоначальном старте маршрутизатор загружается с заводской конфигурацией. Описание заводской конфигурации приведено в разделе Начальная настройка маршрутизатора#Заводская Заводская конфигурация маршрутизатора ESR данного руководства.

...

Блок кода
esr# configure
esr(config)# object-group network clients
esr(config-addr-set)# ip address-range 132.16.0.5-132.16.0.10
esr(config-addr-set)# exit
esr(config)# object-group network gateway
esr(config-addr-set)# ip address-range 40.13.1.22
esr(config-addr-set)# exit
esr(config)# object-group service ssh
esr(config-port-set)# port-range 22
esr(config-port-set)# exit
esr(config)# security zone-pair untrusted self
esr(config-zone-pair)# rule 10
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address clients
esr(config-zone-rule)# match destination-address gateway
esr(config-zone-rule)# match destination-port ssh
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Scroll Pagebreak