...
- Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены.
В данную зону безопасности входят интерфейсы:
- для WLC-30: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;
для ESR-10/12V: GigabitEthernet 1/0/1;
для ESR-12VF/ESR-14VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9;
- для ESR-15: GigabitEthernet1/0/1; GigabitEthernet1/0/6;
для ESR-20: GigabitEthernet 1/0/1;
для ESR-21: GigabitEthernet 1/0/1;
- для ESR-30: GigabitEthernet 1/0/1; TengigabitEthernet 1/0/1-2
для ESR-100/200: GigabitEthernet 1/0/1;
для ESR-1000/1500/3100: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;
для ESR-1200/1700: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2;
- для ESR-1511: GigabitEthernet 1/0/1, FortygigabitEthernet 1/0/1-2;
- для ESR-3200: Twentyfivegigabitethernet 1/0/1-2.
Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 2.
- Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов Telnet и SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.
В данную зону безопасности входят интерфейсы:
- для WLC-30: GigabitEthernet 1/0/2-4;
- для ESR-10: GigabitEthernet 1/0/2-6;
для ESR-12V(F)/ESR-14VF: GigabitEthernet 1/0/2-8;
- для ESR-15: GigabitEthernet 1/0/2-5;
для ESR-20: GigabitEthernet 1/0/2-4;
для ESR-21: GigabitEthernet 1/0/2-12;
- для ESR-30: GigabitEthernet 1/0/3-4;
для ESR-100: GigabitEthernet 1/0/2-4;
для ESR-200: GigabitEthernet 1/0/2-8;
для ESR-1000: GigabitEthernet 1/0/2-24;
для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;
для ESR-1500: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;
- для ESR-1511: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/1-4;
для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12;
для ESR-3100: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-8;
для ESR-3200: Twentyfivegigabitethernet 1/0/3-12.
Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.
...
Политики зон безопасности настроены следующим образом:
Таблица 44 59 – Описание политик зон безопасности
...
Примечание |
---|
Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства. |
Scroll Pagebreak |
---|
Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:
...
Блок кода |
---|
esr# configure esr(config)# interface gigabitethernet 1/0/10 esr(config-if)# ip address dhcp esr(config-if)# exit |
Для того чтобы убедиться, что адрес был назначен интерфейсу, введите следующую команду после применения конфигурации: Scroll Pagebreak
...
Блок кода |
---|
esr# configure esr(config)# security zone-pair <source-zone> self esr(config-zone-pair)# rule <number> esr(config-zone-rule)# action permit esr(config-zone-rule)# match protocol tcp esr(config-zone-rule)# match source-address <network object-group> esr(config-zone-rule)# match destination-address <network object-group> esr(config-zone-rule)# match destination-port <service object-group> esr(config-zone-rule)# enable esr(config-zone-rule)# exit esr(config-zone-pair)# exit |
Scroll Pagebreak |
---|
Пример команд для разрешения пользователям из зоны «untrusted» с IP-адресами 132.16.0.5-132.16.0.10 подключаться к маршрутизатору или контроллеру с IP-адресом 40.13.1.22 по протоколу SSH:
...