Элтекс

В конструкциях типа security zone-pair zone1 any, вот этот оператор any, очень мало информации по нему.
Какой у него приоритет на другими парами зон, очередность обработки пар зон, когда его использовать или лучше вобще не использовать?
Если конкретнее вот два примера

1.

security zone-pair zone1 zone2
rule 10
action permit log
match protocol any
match source-address any
match destination-address any
enable
exit

2.

security zone-pair zone1 any
rule 10
action permit log
match protocol any
match source-address any
match destination-address any
enable
exit

В первом случае из zone1 в zone2 доступ есть , во втором с any нет.
Хотелось бы более менее развернутый ответ.Спасибо.

esr1000 1.4.4 build 6[4bd3714d6f] date 15/01/2019

Добрый день!

Пара зон <zone_name> any необходима для организации фильтрации фрагментированных пакетов и фильтрации по наличию ip-options из указанной зоны безопасности <zone_name>.

Пару зон <zone_name> any необходимо исопльзовать как дополнение к основным парам зон security zone-pair <zone_name1> <zone_name2>.

Пример конфигурации фильтрации фрагментированных пакетов и пакетов с ip-option из зоны WAN:

Код: Выделить всё

security zone LAN
exit
security zone WAN
exit
interface gigabitethernet 1/0/1
  security-zone WAN
  ip address 192.0.2.1/24
exit
interface gigabitethernet 1/0/2
  security-zone LAN
  ip address 192.168.0.10/24
exit
security zone-pair WAN LAN
  rule 10
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
exit
security zone-pair WAN any
  rule 10
    action deny
    match fragment
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
  rule 20
    action deny
    match protocol icmp
    match source-address any
    match destination-address any
    match ip-option
    enable
  exit
exit

Спасибо, Леонид.

Элтекс

security zone-pair any

security zone-pair any

Re: security zone-pair any

Re: security zone-pair any