Задача: Есть 2 аплинка и 2 подсети. Первый аплинк в Интернет без фильтрации, второй аплинк в Интернет с фильтрацией. Необходимо чтобы подсеть 192.168.1.0/24 ходила в "чистый" Интернет, а 192.168.2.0/24 только в фильтрованный.
Для решения задачи будем использовать VRF.
Для начала создадим на ESR VRF c именем kids:
esr-12v# configesr-12v(config)# ip vrf kidsesr-12v(config-vrf)# exit
При необходимости настройки файрвола создадим зоны безопасности. Для внешних интерфейсов untrusted, для внутренних trusted:
esr-12v(config)# security zone trustedesr-12v(config-zone)# exitesr-12v(config)# security zone untrustedesr-12v(config-zone)# exit
Также стоит учесть, что для интерфейсов включенных в VRF потребуются свои зоны безопасности. Создадим их и включим в vrf kids.
esr-12v(config)# security zone trust-kidsesr-12v(config-zone)# ip vrf forwarding kids esr-12v(config-zone)# exitesr-12v(config)# security zone untrust-kidsesr-12v(config-zone)# ip vrf forwarding kids esr-12v(config-zone)# exit
Приступим к настройки интерфейсов для подключения к сети Интернет:
esr-12v(config)# interface gigabitethernet 1/0/1 esr-12v(config-if-gi)# ip address 185.16.15.2/30esr-12v(config-if-gi)# security-zone untrusted esr-12v(config-if-gi)# exit
Указываем маршрут в интернет:
esr-12v(config)# ip route 0.0.0.0/0 185.16.15.1
Приступим к интерфейсу с фильтрованным интернетом. Первым делом включаем необходимый интерфейс в vrf kids:
esr-12v(config)# interface gigabitethernet 1/0/2 esr-12v(config-if-gi)# ip vrf forwarding kidsesr-12v(config-if-gi)# ip address 185.16.20.2/30esr-12v(config-if-gi)# security-zone untrust-kids esr-12v(config-if-gi)# exit
Точно также указываем маршрут, но с учетом vrf kids:
esr-12v(config)# ip route vrf kids 0.0.0.0/0 185.16.20.1
Создаем интерфейсы под локальные подсети. Подсеть которая будет ходить в фильтрованный интернет необходимо включить в тот же vrf, что и uplink.
esr-12v(config)# interface gigabitethernet 1/0/3esr-12v(config-if-gi)# ip address 192.168.1.1/24esr-12v(config-if-gi)# security-zone trusted esr-12v(config-if-gi)# exitesr-12v(config)# interface gigabitethernet 1/0/4esr-12v(config-if-gi)# ip vrf forwarding kids esr-12v(config-if-gi)# ip address 192.168.2.1/24esr-12v(config-if-gi)# security-zone trust-kids esr-12v(config-if-gi)# exit
Далее для каждой подсети настроим nat source:
esr-12v(config)# nat source
esr-12v(config-snat)# ruleset factory
esr-12v(config-snat-ruleset)# to zone untrusted
esr-12v(config-snat-ruleset)# rule 10
esr-12v(config-snat-rule)# action source-nat interface
esr-12v(config-snat-rule)# enable
esr-12v(config-snat-rule)# exit
esr-12v(config-snat-ruleset)# exit
Для фильтрованного интернета ruleset необходимо таже добавить в vrf kids:
esr-12v(config-snat)# ruleset kids esr-12v(config-snat-ruleset)# ip vrf forwarding kids esr-12v(config-snat-ruleset)# to zone untrust-kids esr-12v(config-snat-ruleset)# rule 10esr-12v(config-snat-rule)# action source-nat interfaceesr-12v(config-snat-rule)# enableesr-12v(config-snat-rule)# exit esr-12v(config-snat-ruleset)# exitesr-12v(config-snat)# exit
Далее разрешим трафик между зонами безопасности:
esr-12v(config)# security zone-pair trusted untrusted esr-12v(config-zone-pair)# rule 1 esr-12v(config-zone-pair-rule)# action permit esr-12v(config-zone-pair-rule)# enable esr-12v(config-zone-pair-rule)# exitesr-12v(config-zone-pair)# exitesr-12v(config)# security zone-pair trusted trusted esr-12v(config-zone-pair)# rule 1esr-12v(config-zone-pair-rule)# action permit esr-12v(config-zone-pair-rule)# enable esr-12v(config-zone-pair-rule)# exit esr-12v(config-zone-pair)# exitsr-12v(config)# security zone-pair trusted self esr-12v(config-zone-pair)# rule 1esr-12v(config-zone-pair-rule)# action permit esr-12v(config-zone-pair-rule)# enable esr-12v(config-zone-pair-rule)# exit esr-12v(config-zone-pair)# exit
Для интерфейсов в vrf kids:
esr-12v(config)# security zone-pair trust-kids untrust-kids esr-12v(config-zone-pair)# rule 1esr-12v(config-zone-pair-rule)# action permit esr-12v(config-zone-pair-rule)# enable esr-12v(config-zone-pair-rule)# exitesr-12v(config-zone-pair)# exitesr-12v(config)# security zone-pair trust-kids trust-kids esr-12v(config-zone-pair)# rule 1esr-12v(config-zone-pair-rule)# action permit esr-12v(config-zone-pair-rule)# enable esr-12v(config-zone-pair-rule)# exitesr-12v(config-zone-pair)# exitesr-12v(config)# security zone-pair trust-kids self esr-12v(config-zone-pair)# rule 1esr-12v(config-zone-pair-rule)# action permit esr-12v(config-zone-pair-rule)# enable esr-12v(config-zone-pair-rule)# exitesr-12v(config-zone-pair)# exitesr-12v(config)# exitesr-12v# commit esr-12v# confirm
В итоге получаем конфигурацию следующего вида:
esr-12v# show running-config
ip vrf kids
exit
security zone trusted
exit
security zone untrusted
exit
security zone trust-kids
ip vrf forwarding kids
exit
security zone untrust-kids
ip vrf forwarding kids
exit
interface gigabitethernet 1/0/1
security-zone untrusted
ip address 185.16.15.2/30
exit
interface gigabitethernet 1/0/2
ip vrf forwarding kids
security-zone untrust-kids
ip address 185.16.20.2/30
exit
interface gigabitethernet 1/0/3
security-zone trusted
ip address 192.168.1.1/24
exit
interface gigabitethernet 1/0/4
ip vrf forwarding kids
security-zone trust-kids
ip address 192.168.2.1/24
exit
security zone-pair trusted untrusted
rule 1
action permit
enable
exit
exit
security zone-pair trusted trusted
rule 1
action permit
enable
exit
exit
security zone-pair trust-kids untrust-kids
rule 1
action permit
enable
exit
exit
security zone-pair trust-kids trust-kids
rule 1
action permit
enable
exit
exit
security zone-pair trusted self
rule 1
action permit
enable
exit
exit
security zone-pair trust-kids self
rule 1
action permit
enable
exit
exit
nat source
ruleset factory
to zone untrusted
rule 10
description "replace 'source ip'by outgoing interface ip address"
action source-nat interface
enable
exit
exit
ruleset kids
ip vrf forwarding kids
to zone untrust-kids
rule 10
action source-nat interface
enable
exit
exit
exit
ip route 0.0.0.0/0 185.16.15.1
ip route vrf kids 0.0.0.0/0 185.16.20.1
6 Комментариев
Анонимный
извините, но грамотность видимо не главный критерий приема на работу в элтекс.
наняли бы хоть кого нибудь для вычитки грамматических и орфографических ошибок. И это почти под каждой статьей можно написать.
Анонимный
наверное нарисунке 192.168.1.1/24 имелось ввиду 192.168.2.0/24
очепятка?
Анонимный
ну и вопрос коменты читают)?
Анонимный
а спамить можно))?
Анонимный
походу можно))
Анонимный
сам на сам