Требуемые условия завершения
Задача:
- Настройка ISP
- Настройте адресацию на интерфейсах:
- Интерфейс, подключенный к магистральному провайдеру, получает адрес по DHCP
- Интерфейс, к которому подключен RTR1, имеет адрес 11.11.11.1/24
- Интерфейс, к которому подключен RTR2, имеет адрес 22.22.22.1/24
- Настройте DHCP сервер:
- Пул INET1
- Адрес сети – 11.11.11.0/24
- Выдаваемые адреса – 11.11.11.100 – 11.11.11.200
- Адрес шлюза по умолчанию – 11.11.11.1
- Адрес DNS-сервера – 11.11.11.1
- Пул INET2
- Адрес сети – 22.22.22.0/24
- Выдаваемые адреса – 22.22.22.100 – 22.22.22.200
- Адрес шлюза по умолчанию – 22.22.22.1
- Адрес DNS-сервера – 22.22.22.1
- Пул INET1
- Настройте перенаправляющий DNS сервер:
- Все запросы должны пересылаться на внешний DNS сервер по адресу 8.8.8.8
- DNS сервер должен быть доступен по адресу 11.11.11.1 для RTR1
- DNS сервер должен быть доступен по адресу 22.22.22.1 для RTR2
- Настройте динамическую трансляцию адресов для сети 11.11.11.0/24 и 22.22.22.0/24
- RTR1 и RTR2 должны иметь выход в Интернет
- Настройте возможность удаленного подключения по SSH с RTR1 и RTR2
- Пользователь для подключения sshuser c паролем P@ssw0rd
- Адрес для подключения:
- 11.11.11.1 для RTR1
- 22.22.22.1 для RTR2
- Настройте возможность отправки и получения ICMP запросов между RTR1 и RTR2 по внешним адресам
- Отправка и получение ICMP запросов на ISP должна быть запрещена
- Настройте адресацию на интерфейсах:
Вариант реализации:
ISP:
Настройте адресацию на интерфейсах
- Имеем:
- gi1/0/1 - интерфейс в сторону Магистрального провайдера;
- gi1/0/2 - интерфейс в сторону RTR2;
- gi1/0/3 - интерфейс в сторону RTR1;
- Интерфейс, подключенный к магистральному провайдеру, получает адрес по DHCP:
configure
interface gi1/0/1
description "WAN"
ip address dhcp
exit- Интерфейс, к которому подключен RTR1, имеет адрес 11.11.11.1/24
interface gi1/0/3
description "connect_RTR1"
ip address 11.11.11.1/24
exit- Интерфейс, к которому подключен RTR2, имеет адрес 22.22.22.1/24
interface gi1/0/2
description "connect_RTR2"
ip address 22.22.22.1/24
exit
do commit
do confirm- Проверяем:
show interfaces description-
- Результа:
show ip interfaces-
- Результат:
- Поскольку - не планируется отключать встроенный firewall, создадим необходимые зоны безопасности:
configure
security zone WAN
exit
security zone INET1
exit
security zone INET2
exit- Добавим в зоны безопасности соответствующие интерфейсы:
- WAN - для интерфейса gi1/0/1 - в сторону Магистрального провайдера;
- INET1 - для интерфейса gi1/0/3 - в стронону RTR1;
- INET2 - для интерфейса gi1/0/2 - в стронону RTR2;
interface gi1/0/1
security-zone WAN
exit
interface gi1/0/3
security-zone INET1
exit
interface gi1/0/2
security-zone INET2
exit
do commit
do confirm- Проверяем:
show security zone-
- Результат:
Настройте DHCP сервер
- Создадим пул адресов с именем INET1
- добавим в данный пул адресов диапазон IP-адресов для выдачи в аренду клиентам сервера
- укажем параметры подсети, к которой принадлежит данный пул
- маршрут по умолчанию
- список DNS-серверов
configure
ip dhcp-server pool INET1
network 11.11.11.0/24
address-range 11.11.11.100-11.11.11.200
default-router 11.11.11.1
dns-server 11.11.11.1
exit- Для разрешения прохождения сообщений протокола DHCP к серверу необходимо создать соответствующие профили портов:
- включающие порт источника 68 и порт назначения 67 используемые протоколом DHCP
object-group service DHCP_SERVER
port-range 67
exit
object-group service DHCP_CLIENT
port-range 68
exit
- Cоздать разрешающее правило в политике безопасности для прохождения пакетов протокола UDP:
- направленных из зоны INET1 к маршрутизатору (self)
security zone-pair INET1 self
rule 10
description "DHCP"
match protocol udp
match source-port DHCP_CLIENT
match destination-port DHCP_SERVER
action permit
enable
exit
exit- Разрешим работу сервера:
ip dhcp-server
do commit
do confirm- Проверяем параметры заданного DHCP-пула:
show ip dhcp server pool INET1-
- Результат:
- Проверяем параметры правила безопасности из зоны INET1 в зону self:
show security zone-pair configuration INET1 self-
- Результат:
- На RTR1 перезупаскаем службу NetworkManager для получения всех сетевых параметров автоматически:
systemctl restart NetworkManager- Проверяем:
- На ISP - просмотреть список арендованных адресов:
show ip dhcp binding-
- Результат:
- Аналогичным образом настраиваем DHCP-сервер для пула INET2:
- Результат:
- ISP:
- Результат:
-
-
- RTR2:
-
-
-
- ISP:
-
Настройте перенаправляющий DNS сервер
- Настраиваем перенаправляющий DNS сервер:
configure
domain name-server 8.8.8.8
domain lookup enable
do commit
do confirm- Для разрешения прохождения сообщений протокола DNS к серверу необходимо создать соответствующий профиль для порта 53:
object-group service DNS
port-range 53
exit
- Cоздать разрешающее правило в политике безопасности для прохождения пакетов протокола UDP:
- направленных из зоны INET1 и INET2 в зону selt
- как для 53/tcp так и для 53/udp
security zone-pair INET1 self
rule 20
description "DNS"
match protocol udp
match destination-port DNS
match source-address INET1
action permit
enable
exit
rule 30
description "DNS"
match protocol tcp
match destination-port DNS
match source-address INET1
action permit
enable
exit
exit
security zone-pair INET2 self
rule 20
description "DNS"
match protocol udp
match destination-port DNS
match source-address INET2
action permit
enable
exit
rule 30
description "DNS"
match protocol tcp
match destination-port DNS
match source-address INET2
action permit
enable
exit
exit
exit
commit
confirmНастройте динамическую трансляцию адресов
- Создаём группы сетевых объектов, в которую поместим диапазон IP-адресов:
configure
object-group network INET1
ip address-range 11.11.11.100-11.11.11.200
exit
object-group network INET2
ip address-range 22.22.22.100-22.22.22.200
exit- Настраиваем SourceNAT и создаём набор правил с именем "MASQUERADE", в котором указывам пункт назначения трафика, для которого настроен этот набор правил:
nat source
ruleset "MASQUERADE"
to zone WAN -
- настраиваем конкретное правило для SourceNAT:
- в котором ссылаемся на ранее созданную группу сетевых объектов с именем "INET1" и "INET2" - в качестве адресов источников;
- действие исходного NAT в случае совпадения - Использует IP-адрес исходящего интерфейса (помещённого в зону "WAN", так как правило создаётся для этой зоны) для подмены (masquerade):
- в котором ссылаемся на ранее созданную группу сетевых объектов с именем "INET1" и "INET2" - в качестве адресов источников;
- настраиваем конкретное правило для SourceNAT:
rule 1
description "MASQUERADE"
match source-address INET1
action source-nat interface
enable
exit
rule 2
description "MASQUERADE"
match source-address INET2
action source-nat interface
enable
exit
exit
do commit
do confirm- Создаём правило разрешающее прохождение ICMP из зон INET1 и INET2 в зону WAN:
configure
security zone-pair INET1 WAN
rule 1
description "ICMP"
match protocol icmp
action permit
enable
exit
exit
security zone-pair INET2 WAN
rule 1
description "ICMP"
match protocol icmp
action permit
enable
exit
exit
do commit
do confirm- Проверяем работоспособность NAT:
- С RTR1 и RTR2 отправляем эхо-запросы до 77.88.8.8:
- RTR1:
- С RTR1 и RTR2 отправляем эхо-запросы до 77.88.8.8:
-
-
- RTR2:
-
- На ISP проверяем таблицу трансляции адресов:
show ip nat translations-
- Результат:
- Также проверяем работоспособность ранее настроенного DNS:
- с RTR1 - отправляем эхо-запросы на ya.ru:
-
- с RTR2 - отправляем эхо-запросы на ya.ru:
Настройте возможность удаленного подключения по SSH
- Для разрешения прохождения сообщений протокола SSH к серверу необходимо создать соответствующий профиль для порта 22:
configure
object-group service SSH
port-range 22
exit
- Создаём разрешающие правила из зон INET1 и INET2 на зону self для подключения по SSH:
security zone-pair INET1 self
rule 40
description "SSH"
match protocol tcp
match destination-port SSH
match source-address INET1
action permit
enable
exit
exit
security zone-pair INET2 self
rule 40
description "SSH"
match protocol tcp
match destination-port SSH
match source-address INET2
action permit
enable
exit
exit
exit
commit
confirm- Проверяем подключение по SSH из под пользователя sshuser с:
- RTR1:
-
- RTR2:
Настройте возможность отправки и получения ICMP запросов между RTR1 и RTR2
- Создаём правила позволяющее передавать ICMP из зоны INET1 в зону INET2 и обратно:
configure
security zone-pair INET1 INET2
rule 1
description "ICMP"
match protocol icmp
match source-address INET1
match destination-address INET2
action permit
enable
exit
exit
security zone-pair INET2 INET1
rule 1
description "ICMP"
match protocol icmp
match source-address INET2
match destination-address INET1
action permit
enable
exit
exit
do commit
do confirm- Проверяем работоспобность:
- с RTR1 отправляем эхо-апросы на RTR2 - должны быть разрешены
- с RTR1 отправляем эхо-апросы на ISP - должны быть запрещены
- с RTR1 отправляем эхо-апросы на RTR2 - должны быть разрешены
-
- с RTR2 отправляем эхо-апросы на RTR1 - должны быть разрешены
- с RTR2 отправляем эхо-апросы на ISP - должны быть запрещены
- с RTR2 отправляем эхо-апросы на RTR1 - должны быть разрешены
- P.S. Также что бы не было проблем с установкой пакетов из сети Интернет - можно добавить следующие правила:
configure
security zone-pair INET1 WAN
rule 2
description "ANY"
match protocol any
match source-address INET1
action permit
enable
exit
exit
security zone-pair INET2 WAN
rule 2
description "ANY"
match protocol any
match source-address INET2
action permit
enable
exit
exit
do commit
do confirm- Проверить:
Последнее изменение: понедельник, 8 июля 2024, 09:25
