Пробуем настроить vrf на ESR1200.
делаем vrf
r-msk-1dor-02# sh run vrf
ip vrf test
exit
Пара security zones, "in" для vrf, "inin" для grt
r-msk-1dor-02# sh run security zone
security zone in
ip vrf forwarding test
exit
security zone inin
exit
Пара связок
r-msk-1dor-02# sh run security zone-pair
security zone-pair inin self
rule 100
action permit
enable
exit
exit
security zone-pair in self
rule 100
action permit
enable
exit
exit
Прописываем ip на интерфейсе, задаём ему зону inin
r-msk-1dor-02# sh run int gi1/0/3
interface gigabitethernet 1/0/3
security-zone inin
ip address 192.168.5.1/24
Результат - с хоста 192.168.5.10 на 192.168.5.1 есть пинг, есть телнет.(ожидаемо)
Засовываем gi1/0/3 в vrf, задаём соответствующую зону
r-msk-1dor-02# sh run int gi1/0/3
interface gigabitethernet 1/0/3
ip vrf forwarding test
security-zone in
ip address 192.168.5.1/24
exit
Результат - пинг есть, телнета нет.
Проверяем, работает ли правило в security zone-pair in self, меняем action с permit на deny.
r-msk-1dor-02(config)# security zone-pair in self
r-msk-1dor-02(config-zone-pair)# rule 100
r-msk-1dor-02(config-zone-pair-rule)# no action
r-msk-1dor-02(config-zone-pair-rule)# action deny
Результат - нет пинга, нет телнета(ожидаемо).
Подскажите, какими правилами рубится telnet на порту в vrf?
r-msk-1dor-02# sh ver
Boot version:
1.6.2.1 (date 18/06/2019 time 14:28:33)
SW version:
1.6.2 build 12[f0b7cb21] (date 09/07/2019 time 17:42:51)
HW version:
1v3