Задача: Разрешить обмен сообщениями по протоколу ICMP между устройствами ПК1, ПК2 и маршрутизатором ESR.
Рисунок 1 - схема сети.
Решение:
Для каждой сети ESR создадим свою зону безопасности:
esr# configureesr(config)# security zone LANesr(config-zone)# exitesr(config)# security zone WANesr(config-zone)# exit
Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:
esr(config)# interface gi1/0/2esr(config-if-gi)# ip address 192.168.12.2/24esr(config-if-gi)# security-zone LANesr(config-if-gi)# exitesr(config)# interface gi1/0/3esr(config-if-gi)# ip address 192.168.23.2/24esr(config-if-gi)# security-zone WANesr(config-if-gi)# exit
Для настройки правил зон безопасности потребуется создать профиль адресов сети «LAN», включающий адреса, которым разрешен выход в сеть «WAN», и профиль адресов сети «WAN».
esr(config)# object-group network WANesr(config-object-group-network)# ip address-range 192.168.23.2esr(config-object-group-network)# exitesr(config)# object-group network LANesr(config-object-group-network)# ip address-range 192.168.12.2esr(config-object-group-network)# exitesr(config)# object-group network LAN_GATEWAYesr(config-object-group-network)# ip address-range 192.168.12.1esr(config-object-group-network)# exitesr(config)# object-group network WAN_GATEWAYesr(config-object-group-network)# ip address-range 192.168.23.3esr(config-object-group-network)# exit
Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК1 к ПК2. Действие правил разрешается командой enable:
esr(config)# security zone-pair LAN WANesr(config-zone-pair)# rule 1esr(config-zone-rule)# action permitesr(config-zone-rule)# match protocol icmpesr(config-zone-rule)# match destination-address WANesr(config-zone-rule)# match source-address LANesr(config-zone-rule)# enableesr(config-zone-rule)# exitesr(config-zone-pair)# exit
Для пропуска трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК2 к ПК1. Действие правил разрешается командой enable:
esr(config)# security zone-pair WAN LANesr(config-zone-pair)# rule 1esr(config-zone-rule)# action permitesr(config-zone-rule)# match protocol icmpesr(config-zone-rule)# match destination-address LANesr(config-zone-rule)# match source-address WANesr(config-zone-rule)# enableesr(config-zone-rule)# exitesr(config-zone-pair)# exit
На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Создадим пару зон для трафика, идущего из зоны «WAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК2 и маршрутизатором ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «WAN»:
esr(config)# security zone-pair WAN selfesr(config-zone-pair)# rule 1esr(config-zone-rule)# action permitesr(config-zone-rule)# match protocol icmpesr(config-zone-rule)# match destination-address WANesr(config-zone-rule)# match source-address WAN_GATEWAYesr(config-zone-rule)# enableesr(config-zone-rule)# exitesr(config-zone-pair)# exit
Создадим пару зон для трафика, идущего из зоны «LAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:
esr(config)# security zone-pair LAN selfesr(config-zone-pair)# rule 1esr(config-zone-rule)# action permitesr(config-zone-rule)# match protocol icmpesr(config-zone-rule)# match destination-address LANesr(config-zone-rule)# match source-address LAN_GATEWAYesr(config-zone-rule)# enableesr(config-zone-rule)# exitesr(config-zone-pair)# exitesr(config)# exit
Изменения конфигурации вступят в действие по следующим командам:
esr# commitConfiguration has been successfully committedesr# confirmConfiguration has been successfully confirmed
Посмотреть членство портов в зонах можно с помощью команды:
esr# show security zone
Посмотреть пары зон и их конфигурацию можно с помощью команд:
esr# show security zone-pairesr# show security zone-pair configuration
Посмотреть активные сессии можно с помощью команд:
esr# show ip firewall sessions
Куда как более скверно, что по результату выполнения всех команд получить ответ от компьютера посреством команды ping так и не удалось.
При том, что находясь в одной сети компьютер с источником компьютр на ping отвечает — то есть дело в настройках марщрутизатора.