- настройка зоны ZBF,
 Алексей, 12:20 , 16-Окт-11 (1)> Здравствуйте!
> Я новичок в циске и не могу разобраться
> нужно сделать чтобы внешняя сеть - 79.199.200.0 внутреннюю - 192.168.0.0 не видела 1. Определим зоны безопасности
----------------------------------------------
zone security out-zone
zone security in-zone 2. Определим интерфейсы в зоны
----------------------------------------------
interface Vlan 1
zone-member security in-zone
interface Dialer 0
zone-member security out-zone
----------------------------------------------
3.Определеним протоколы по которым разрешен доступ в интернет
class-map type inspect match-any insp-traffic
match protocol icmp
match protocol smtp
match protocol pop3
match protocol ftp
----------------------------------------------
4. Создадим политику policy-map type inspect mypolicy
class type inspect insp-traffic
inspect
----------------------------------------------
5.Создадим цепочку правил inside -> outside
zone-pair security in-out source in-zone dest out-zone
service-policy type inspect mypolicy
Вот кратенькая шпаргалка.
Только обратите, что интерфейсы у Вас будут свои (не Vlan b Dialer).
А вообще читайте доки, разбирайтесь. Все есть. Да и на форуме темя не однократно поднималась.
- настройка зоны ZBF, Roma, 12:27 , 16-Окт-11 (2)
кажется нашел ошибку - у меня class-map c логикой AND
спасибо, буду пробовать
- настройка зоны ZBF, Roma, 15:38 , 16-Окт-11 (3)
не помогло, все также не пропускает внутреннюю сеть к внешней
- настройка зоны ZBF, Алексей, 16:04 , 16-Окт-11 (4)
> не помогло, все также не пропускает внутреннюю сеть к внешней А что у Вас с этим вот ?
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/0 overload
- настройка зоны ZBF, Roma, 16:11 , 16-Окт-11 (5)
> ip nat inside source list 101 interface FastEthernet0/0 overload это удалил > ip nat inside source list 2 interface FastEthernet0/0 overload это для NAT
- настройка зоны ZBF, Алексей, 16:52 , 16-Окт-11 (6)
>> ip nat inside source list 101 interface FastEthernet0/0 overload
> это удалил
>> ip nat inside source list 2 interface FastEthernet0/0 overload
> это для NAT Да понятно что для нат..
Хорошо, а без настройки ZBF все работает?
Что за модель железки?
Уверены, что LAN интерфейс fa0/1, а не Vlan?
- настройка зоны ZBF, Алексей, 16:56 , 16-Окт-11 (7)
Да и что с маршрутизацие то?
- настройка зоны ZBF, Roma, 16:56 , 16-Окт-11 (8)
> Хорошо, а без настройки ZBF все работает?да все работает
> Уверены, что LAN интерфейс fa0/1, а не Vlan? точно
- настройка зоны ZBF, Алексей, 11:51 , 17-Окт-11 (9)
> да все работает
>> Уверены, что LAN интерфейс fa0/1, а не Vlan?
> точно Может в IOS дело. Вы так и не сказали какой.
Вот еще "шпаргалка" 1. зоны безопасности zone security SAFE
description LAN
zone security WILD
description WAN 2. интерфейсы в зоны interface Dialer 0
zone-member security WILD
interface Vlan 1
zone-member security SAFE 3.определеним протоколы по которым разрешен доступ в интернет,
class-map type inspect match-any IN2OUT
match protocol icmp
match protocol http
match protocol tcp
--- + что еще надо 4. создание политики policy-map type inspect IN2OUT
class type inspect IN2OUT
inspect policy-map type inspect OUT2IN
class class-default
drop policy-map type inspect ROUTER
class class-default
pass
5.создаем цепочку inside -> outside
zone-pair security IN2OUT source SAFE destination WILD
service-policy type inspect IN2OUT zone-pair security OUT2IN source WILD destination SAFE
service-policy type inspect OUT2IN zone-pair security SAFE-ROUTER source SAFE destination self
service-policy type inspect ROUTER zone-pair security ROUTER-SAFE source self destination SAFE
service-policy type inspect ROUTER Все делал сам и все работало. Разбирался.
|
Версия для распечатки
настройка зоны ZBF, 
