Лабораторная работа 4.6.1 Настройка pbr

Задачи:

1. Настройка PBR.

Решение:

1. Настройка PBR

Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.

R1# config

R1(config)#

Шаг 2. Создадим расширенный список контроля доступа ACL_PBR с правилом 10, в котором будем искать совпадения по адресу назначения Loopback 8 на R0.

R1(config)# ip access-list extended ACL_PBR

R1(config-acl)# rule 10

R1(config-acl-rule)# match destination-address 192.168.88.2 255.255.255.252

R1(config-acl-rule)# action permit

R1(config-acl-rule)# enable

R1(config-acl-rule)# exit

R1(config-acl)# exit

Шаг 3. Создадим маршрутную карту с именем PBR_ROUTE_MAP и правилом с номером 10, в котором установим связь между политикой (route-map) и next-hop (gi 1/0/2.B.211) куда нужно отправлять трафик, если он попал под совпадение ACL.

R1(config)# route-map PBR_ROUTE_MAP

R1(config-route-map)# rule 10

R1(config-route-map-rule)# match ip access-group ACL_PBR

R1(config-route-map-rule)# action set ip next-hop verify-availability 192.168.2.2 10

R1(config-route-map-rule)# exit

R1(config-route-map)# exit

Шаг 4. Назначаем политику на интерфейс.

R1(config)# interface gi1/0/2.211

R1(config-if-gi)# ip policy route-map PBR_ROUTE_MAP

R1(config-if-gi)# exit

Шаг 5. Настроить правила взаимодействия между зонами безопасности, как и в предыдущих лабораторных не получается. Но вот пример того, как это надо было сделать.

R1(config)# security zone-pair LAN WAN

R1(config-security-zone-pair)# rule 35

R1(config-security-zone-pair-rule)# match protocol icmp

R1(config-security-zone-pair-rule)# action permit

R1(config-security-zone-pair-rule)# enable

R1(config-security-zone-pair-rule)# exit

R1(config-security-zone-pair)# exit

R1(config)# security zone-pair WAN LAN

R1(config-security-zone-pair)# rule 35

R1(config-security-zone-pair-rule)# match protocol icmp

R1(config-security-zone-pair-rule)# action permit

R1(config-security-zone-pair-rule)# enable

R1(config-security-zone-pair-rule)# exit

R1(config-security-zone-pair)# exit

R1(config)# security zone-pair LAN self

R1(config-security-zone-pair)# rule 35

R1(config-security-zone-pair-rule)# match protocol icmp

R1(config-security-zone-pair-rule)# action permit

R1(config-security-zone-pair-rule)# enable

R1(config-security-zone-pair-rule)# exit

R1(config-security-zone-pair)# exit

R1(config)# security zone-pair WAN self

R1(config-security-zone-pair)# rule 35

R1(config-security-zone-pair-rule)# match protocol icmp

R1(config-security-zone-pair-rule)# action permit

R1(config-security-zone-pair-rule)# enable

R1(config-security-zone-pair-rule)# exit

R1(config-security-zone-pair)# end

Шаг 6. Применим и подтвердим настроенную конфигурацию.

R1# commit

R1# confirm

Лабораторная работа 4.7.1 Настройка vrf

Задачи:

1. Настройка VRF.

Решение:

1. Настройка VRF

Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.

R1# config

R1(config)#

Шаг 2. Создадим экземпляр VRF с именем VRF_SUB_471

R1(config)# ip vrf VRF_SUB_471

R1(config-vrf)# exit

Шаг 2. Создадим новый sub-интерфейс 471 на gi1/0/3 R1.

R1(config)# interface gi1/0/3.471

R1(config-subif)#

Шаг 3. Сопоставим экземпляр vrf с sub-интерфейсом.

R1(config-subif)# ip vrf forvarding VRF_SUB_471

R1(config-subif)# ip address 192.168.47.1/30

R1(config-subif)# ip firewall disable

R1(config-subif)# exit

Шаг 6. Настроить правила взаимодействия между зонами безопасности снова не получилось))))

R1(config)# security zone-pair LAN self

R1(config-security-zone-pair)# rule 40

R1(config-security-zone-pair-rule)# match protocol icmp

R1(config-security-zone-pair-rule)# action permit

R1(config-security-zone-pair-rule)# enable

R1(config-security-zone-pair-rule)# exit

R1(config-security-zone-pair)# exit

Шаг 7. Применим и подтвердим настроенную конфигурацию.

R1# commit

R1# confirm

Шаг 8. Посмотреть настройки vrf можно командами show (см. рис. 5).

R1# show ip vrf

Рис. 5. Команда show ip vrf