Задача: Есть 2 аплинка и 2 подсети. Первый аплинк в Интернет без фильтрации, второй аплинк в Интернет с фильтрацией. Необходимо чтобы подсеть 192.168.1.0/24 ходила в "чистый" Интернет, а 192.168.2.0/24 только в фильтрованный.
Для решения задачи будем использовать VRF.
Для начала создадим на ESR VRF c именем kids:
esr-12v#
esr-12v# config
esr-12v(config)#
esr-12v(config)# ip vrf kids
esr-12v(config-vrf)# exit
При необходимости настройки файрвола создадим зоны безопасности. Для внешних интерфейсов untrusted, для внутренних trusted:
esr-12v(config)# security zone trusted
esr-12v(config-zone)# exit
esr-12v(config)# security zone untrusted
esr-12v(config-zone)# exit
Также стоит учесть, что для интерфейсов включенных в VRF потребуются свои зоны безопасности. Создадим их и включим в vrf kids.
esr-12v(config)# security zone trust-kids
esr-12v(config-zone)# ip vrf forwarding kids
esr-12v(config-zone)# exit
esr-12v(config)# security zone untrust-kids
esr-12v(config-zone)# ip vrf forwarding kids
esr-12v(config-zone)# exit
Приступим к настройки интерфейсов для подключения к сети Интернет:
esr-12v(config)# interface gigabitethernet 1/0/1
esr-12v(config-if-gi)# ip address 185.16.15.2/30
esr-12v(config-if-gi)# security-zone untrusted
esr-12v(config-if-gi)# exit
Указываем маршрут в интернет:
esr-12v(config)# ip route 0.0.0.0/0 185.16.15.1
Приступим к интерфейсу с фильтрованным интернетом. Первым делом включаем необходимый интерфейс в vrf kids:
esr-12v(config)# interface gigabitethernet 1/0/2
esr-12v(config-if-gi)# ip vrf forwarding kids
esr-12v(config-if-gi)# ip address 185.16.20.2/30
esr-12v(config-if-gi)# security-zone untrust-kids
esr-12v(config-if-gi)# exit
Точно также указываем маршрут, но с учетом vrf kids:
esr-12v(config)# ip route vrf kids 0.0.0.0/0 185.16.20.1
Создаем интерфейсы под локальные подсети. Подсеть которая будет ходить в фильтрованный интернет необходимо включить в тот же vrf, что и uplink.
esr-12v(config)# interface gigabitethernet 1/0/3esr-12v(config-if-gi)# ip address 192.168.1.1/24esr-12v(config-if-gi)# security-zone trusted esr-12v(config-if-gi)# exitesr-12v(config)# interface gigabitethernet 1/0/4esr-12v(config-if-gi)# ip vrf forwarding kids esr-12v(config-if-gi)# ip address 192.168.2.1/24esr-12v(config-if-gi)# security-zone trust-kids esr-12v(config-if-gi)# exitesr-12v(config)#
Далее для каждой подсети настроим nat source:
esr-12v(config)# nat source
esr-12v(config-snat)# ruleset factory
esr-12v(config-snat-ruleset)# to zone untrusted
esr-12v(config-snat-ruleset)# rule 10
esr-12v(config-snat-rule)# action source-nat interface
esr-12v(config-snat-rule)# enable
esr-12v(config-snat-rule)# exit
esr-12v(config-snat-ruleset)# exit
Для фильтрованного интернета ruleset необходимо таже добавить в vrf kids:
esr-12v(config-snat)# ruleset kids
esr-12v(config-snat-ruleset)# ip vrf forwarding kids
esr-12v(config-snat-ruleset)# to zone untrust-kids
esr-12v(config-snat-ruleset)# rule 10
esr-12v(config-snat-rule)# action source-nat interface
esr-12v(config-snat-rule)# enable
esr-12v(config-snat-rule)# exit
esr-12v(config-snat-ruleset)# exit
esr-12v(config-snat)# exit
Далее разрешим трафик между зонами безопасности:
esr-12v(config)# security zone-pair trusted untrusted
esr-12v(config-zone-pair)# rule 1
esr-12v(config-zone-pair-rule)# action permit
esr-12v(config-zone-pair-rule)# enable
esr-12v(config-zone-pair-rule)# exit
esr-12v(config-zone-pair)# exit
esr-12v(config)# security zone-pair trusted trusted
esr-12v(config-zone-pair)# rule 1
esr-12v(config-zone-pair-rule)# action permit
esr-12v(config-zone-pair-rule)# enable
esr-12v(config-zone-pair-rule)# exit
esr-12v(config-zone-pair)# exit
sr-12v(config)# security zone-pair trusted self
esr-12v(config-zone-pair)# rule 1
esr-12v(config-zone-pair-rule)# action permit
esr-12v(config-zone-pair-rule)# enable
esr-12v(config-zone-pair-rule)# exit
esr-12v(config-zone-pair)# exit
Для интерфейсов в vrf kids:
esr-12v(config)# security zone-pair trust-kids untrust-kids
esr-12v(config-zone-pair)# rule 1
esr-12v(config-zone-pair-rule)# action permit
esr-12v(config-zone-pair-rule)# enable
esr-12v(config-zone-pair-rule)# exit
esr-12v(config-zone-pair)# exit
esr-12v(config)# security zone-pair trust-kids trust-kids
esr-12v(config-zone-pair)# rule 1
esr-12v(config-zone-pair-rule)# action permit
esr-12v(config-zone-pair-rule)# enable
esr-12v(config-zone-pair-rule)# exit
esr-12v(config-zone-pair)# exit
esr-12v(config)# security zone-pair trust-kids self
esr-12v(config-zone-pair)# rule 1
esr-12v(config-zone-pair-rule)# action permit
esr-12v(config-zone-pair-rule)# enable
esr-12v(config-zone-pair-rule)# exit
esr-12v(config-zone-pair)# exit
esr-12v(config)# exit
esr-12v# commit
esr-12v# confirm
В итоге получаем конфигурацию следующего вида:
ip vrf kids exit security zone trusted exit security zone untrusted exit security zone trust-kids ip vrf forwarding kids exit security zone untrust-kids ip vrf forwarding kids exit interface gigabitethernet 1/0/1 security-zone untrusted ip address 185.16.15.2/30 exit interface gigabitethernet 1/0/2 ip vrf forwarding kids security-zone untrust-kids ip address 185.16.20.2/30 exit interface gigabitethernet 1/0/3 security-zone trusted ip address 192.168.1.1/24 exit interface gigabitethernet 1/0/4 ip vrf forwarding kids security-zone trust-kids ip address 192.168.2.1/24 exit security zone-pair trusted untrusted rule 1 action permit enable exit exit security zone-pair trusted trusted rule 1 action permit enable exit exit security zone-pair trust-kids untrust-kids rule 1 action permit enable exit exit security zone-pair trust-kids trust-kids rule 1 action permit enable exit exit security zone-pair trusted self rule 1 action permit enable exit exit security zone-pair trust-kids self rule 1 action permit enable exit exit nat source ruleset factory to zone untrusted rule 10 action source-nat interface enable exit exit ruleset kids ip vrf forwarding kids to zone untrust-kids rule 10 action source-nat interface enable exit exit exit ip route 0.0.0.0/0 185.16.15.1 ip route vrf kids 0.0.0.0/0 185.16.20.1