Конфигуриране на ZBF
от БАРЗИКТ Wiki
Съдържание
Примерна топология
Базова конфигурация
R1
enable conf t hostname R1 interface GigabitEthernet 0/0 ip address 172.16.0.1 255.255.0.0 no shut interface GigabitEthernet 0/1 ip address 10.0.0.1 255.0.0.0 no shut exit router ospf 1 network 172.16.0.1 0.0.0.0 area 0 network 10.0.0.1 0.0.0.0 area 0 end
R2
enable conf t hostname R2 interface GigabitEthernet 0/0 ip address 80.0.0.1 255.0.0.0 no shut interface GigabitEthernet 0/1 ip address 10.0.0.2 255.0.0.0 no shut exit router ospf 1 network 80.0.0.1 0.0.0.0 area 0 network 10.0.0.2 0.0.0.0 area 0 end
Етапи при проектиране на ZBF
- Определяне на зоните
- Дефиниране на политики между зоните
- Дизайн на физическата свързаност
- Дефиниране на групи (subset) от зони и обединяване (merge) на потоците от трафик
Стъпки при конфигуриране на ZBF чрез CLI
- Създаване на зони чрез команда zone security
- Определяне на класове трафик чрез class-map type inspect
- Определяне на политики чрез policy-map type inspect
- Дефиниране на връзки между две отделни зони чрез zone-pair
- Поставяне на интерфейс в дадена зона с zone-member security
Стъпка 1: Създаване на зони
В примерната топология нека приемем, че на R1 трябва да +се зададат следните две зони:
- INSIDE-ZONE - която да е към мрежа 172.16.0.0
- OUTSIDE-ZONE - каято да е към интерфейс GigabitEthernet 0/1
Създаването на зоните на R1 се извършва чрезц командата zonde secirty [име на зона].
R1(config)# R1(config)#zone security INSIDE-ZONE R1(config-sec-zone)# R1(config-sec-zone)#exit R1(config)# R1(config)#zone security OUTSIDE-ZONE R1(config-sec-zone)#exit R1(config)#
Стъпка 2: Определяне на класове трафик
За да се дефинира кой трафик да се проверява и пропуска в примера се използва ACL. Възможно е да се приложат и други методи за L4 и L7.
R1(config)# R1(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 any R1(config)# R1(config)#class-map type inspect match-all R1-CLASS-MAP R1(config-cmap)#match access-group 101 R1(config-cmap)#exit R1(config)#