Имеется коммутатор 3750, настроен так:
Код:
interface GigabitEthernet1/0/1
description Router Gateway
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 9
switchport mode trunk
!
interface Vlan9
description Network Switches
ip address 10.10.9.2 255.255.255.0
!
interface Vlan10
description Workstations
ip address 10.10.10.1 255.255.255.0
ip helper-address 192.168.7.127
!
interface Vlan11
description Servers
ip address 10.10.12.1 255.255.254.0
ip helper-address 192.168.7.127
!
interface Vlan12
description Guest
ip address 10.10.12.1 255.255.254.0
ip helper-address 192.168.7.127
!
ip route 0.0.0.0 0.0.0.0 10.10.9.1
Роутер 2911 настроен так:
Код:
vrf definition ISP1
!
address-family ipv4
route-replicate from vrf LAN unicast all
exit-address-family
!
vrf definition LAN
!
address-family ipv4
route-replicate from vrf ISP1 unicast all
exit-address-family
!
interface GigabitEthernet0/0.9
description GATEWAY INTERNET
encapsulation dot1Q 9
vrf forwarding LAN
ip address 10.10.9.1 255.255.255.240
ip nat inside
ip virtual-reassembly in
!
interface GigabitEthernet0/1.4
description PRIMARY INTERNET
encapsulation dot1Q 4
vrf forwarding ISP1
ip address 77.77.77.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
!
ip route vrf ISP1 0.0.0.0 0.0.0.0 77.77.77.1
!
ip route vrf LAN 10.10.10.0 255.255.255.0 10.10.9.2
ip route vrf LAN 10.10.11.0 255.255.255.0 10.10.9.2
ip route vrf LAN 10.10.12.0 255.255.255.0 10.10.9.2
!
(= параметры NAT опущу, они настроены там все ок =)
Все ОК работает, из всех подсетей есть интернет, все как надо!
Хочу настроить ZBF, но не могу понять как правильно сделать. У меня при текущем раскладе получается всего две зоны INSIDE -> OUTSIDE и OUTSIDE -> INSIDE. Вынести отдельно прим. подсеть 10.10.12.0/24 в отдельный ZBF не получится, т.к. он на роутере никак не обозначен, какие у меня варианты, на роутере заводить sub-интерфейсы со всему VLAN которые я хочу отдельно обозначить в ZBF, либо рулить в зоне INSIDE списками доступа (ACL), куда кому можно и нельзя.
Вероятно описал все коряво, но все же может кто уловит ход моих мыслей ))
Хочется сделать на абы работало, а как правильно. Best practies так сказать