Элтекс

производство оборудования для телекоммуникаций
http://forum.eltex-co.ru/

security zone для vrf на ESR-1200

http://forum.eltex-co.ru/viewtopic.php?f=10&t=9347

Страница 1 из 1

security zone для vrf на ESR-1200

Добавлено: 08 окт 2019 22:04
Batrus
Доброго времени.
Пробуем настроить vrf на ESR1200.
делаем vrf
r-msk-1dor-02# sh run vrf
ip vrf test
exit

Пара security zones, "in" для vrf, "inin" для grt
r-msk-1dor-02# sh run security zone
security zone in
ip vrf forwarding test
exit
security zone inin
exit

Пара связок
r-msk-1dor-02# sh run security zone-pair
security zone-pair inin self
rule 100
action permit
enable
exit
exit
security zone-pair in self
rule 100
action permit
enable
exit
exit

Прописываем ip на интерфейсе, задаём ему зону inin
r-msk-1dor-02# sh run int gi1/0/3
interface gigabitethernet 1/0/3
security-zone inin
ip address 192.168.5.1/24

Результат - с хоста 192.168.5.10 на 192.168.5.1 есть пинг, есть телнет.(ожидаемо)
Засовываем gi1/0/3 в vrf, задаём соответствующую зону
r-msk-1dor-02# sh run int gi1/0/3
interface gigabitethernet 1/0/3
ip vrf forwarding test
security-zone in
ip address 192.168.5.1/24
exit

Результат - пинг есть, телнета нет.
Проверяем, работает ли правило в security zone-pair in self, меняем action с permit на deny.
r-msk-1dor-02(config)# security zone-pair in self
r-msk-1dor-02(config-zone-pair)# rule 100
r-msk-1dor-02(config-zone-pair-rule)# no action
r-msk-1dor-02(config-zone-pair-rule)# action deny

Результат - нет пинга, нет телнета(ожидаемо).
Подскажите, какими правилами рубится telnet на порту в vrf?
r-msk-1dor-02# sh ver
Boot version:
1.6.2.1 (date 18/06/2019 time 14:28:33)
SW version:
1.6.2 build 12[f0b7cb21] (date 09/07/2019 time 17:42:51)
HW version:
1v3

Re: security zone для vrf на ESR-1200

Добавлено: 09 окт 2019 12:10
Garri
А если взамен rule 100 в security zone-pair in self сделать 2-а правила - одно для icmp, другое, для telnet?

Re: security zone для vrf на ESR-1200

Добавлено: 09 окт 2019 15:16
Batrus
Garri писал(а):А если взамен rule 100 в security zone-pair in self сделать 2-а правила - одно для icmp, другое, для telnet?

Если сработает, то возникнет вопрос - почему без vrf permit all работает, а в vrf - нет.

Re: security zone для vrf на ESR-1200

Добавлено: 11 окт 2019 21:53
Batrus
Господа, очень нужен ответ.
Железку в продакшн надо ставить, а мы managment интерфейс из таблицы маршрутизации убрать не можем

Re: security zone для vrf на ESR-1200

Добавлено: 14 окт 2019 17:43
leonid_zarkov
Необходимо сервисы включать в необходимых VFR:

ESR(config)# ip telnet server vrf <NAME>
WORD(1-31) Virtual Routing/Forwarding instance name
Часовой пояс: UTC+07:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/