Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 16:12



Ответить на тему  [ Сообщений: 2 ] 
Роутер (2911) и ZBF 
Автор Сообщение

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Имеется коммутатор 3750, настроен так:

Код:
interface GigabitEthernet1/0/1
 description Router Gateway
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 9
 switchport mode trunk
!
interface Vlan9
 description Network Switches
 ip address 10.10.9.2 255.255.255.0
!
interface Vlan10
 description Workstations
 ip address 10.10.10.1 255.255.255.0
 ip helper-address 192.168.7.127
!
interface Vlan11
 description Servers
 ip address 10.10.12.1 255.255.254.0
 ip helper-address 192.168.7.127
!
interface Vlan12
 description Guest
 ip address 10.10.12.1 255.255.254.0
 ip helper-address 192.168.7.127
!
ip route 0.0.0.0 0.0.0.0 10.10.9.1


Роутер 2911 настроен так:

Код:
vrf definition ISP1
 !
 address-family ipv4
  route-replicate from vrf LAN unicast all
 exit-address-family
!
vrf definition LAN
 !
 address-family ipv4
  route-replicate from vrf ISP1 unicast all
 exit-address-family
!
interface GigabitEthernet0/0.9
 description GATEWAY INTERNET
 encapsulation dot1Q 9
 vrf forwarding LAN
 ip address 10.10.9.1 255.255.255.240
 ip nat inside
 ip virtual-reassembly in
!
interface GigabitEthernet0/1.4
 description PRIMARY INTERNET
 encapsulation dot1Q 4
 vrf forwarding ISP1
 ip address 77.77.77.2 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
!
ip route vrf ISP1 0.0.0.0 0.0.0.0 77.77.77.1
!
ip route vrf LAN 10.10.10.0 255.255.255.0 10.10.9.2
ip route vrf LAN 10.10.11.0 255.255.255.0 10.10.9.2
ip route vrf LAN 10.10.12.0 255.255.255.0 10.10.9.2
!
(= параметры NAT опущу, они настроены там все ок =)


Все ОК работает, из всех подсетей есть интернет, все как надо!

Хочу настроить ZBF, но не могу понять как правильно сделать. У меня при текущем раскладе получается всего две зоны INSIDE -> OUTSIDE и OUTSIDE -> INSIDE. Вынести отдельно прим. подсеть 10.10.12.0/24 в отдельный ZBF не получится, т.к. он на роутере никак не обозначен, какие у меня варианты, на роутере заводить sub-интерфейсы со всему VLAN которые я хочу отдельно обозначить в ZBF, либо рулить в зоне INSIDE списками доступа (ACL), куда кому можно и нельзя.

Вероятно описал все коряво, но все же может кто уловит ход моих мыслей ))

Хочется сделать на абы работало, а как правильно. Best practies так сказать


07 ноя 2018, 15:35
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Уже не актуально, сам все разрешил. Закройте тему и удалите ее. Спасибо!


08 ноя 2018, 08:31
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 2 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 47


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB