Про віртуальні мережі (частина 12)

Про віртуальні мережі (частина 12)

Логічна топологія, витікаючи з фізичної, виглядає так:

Про віртуальні мережі (частина 12)

Створення vrf і настройку інтерфейсів ми пропустимо, так як робили її вже не один раз (якщо вона викликає у Вас труднощі, ви можете подивитися загальний конфиг для даної статті). Основне нашої дійство розгортатиметься на віртуальному маршрутизаторі vrf C. Перше, що ми зробимо, це встановимо максимальний рівень захисту збоку не довіреної мережі (untrusted network). Зробимо це за допомогою настроювання списку доступу у вхідному напрямку на інтерфейсі fa 0 / 0.6 віртуального маршрутизатора vrf C, який заборонятиме весь вхідний трафік:

Весь трафік, який буде входити на маршрутизатор через цей інтерфейс, буде відкидатися, що показує наступна перевірка:

Тепер створимо правила для інспекції трафіку на даному інтерфейсі:

Як видно, в створенні правил інспекції немає ніякого запису про те, що дані правила належать якомусь віртуальному маршрутизатора. Це означає, що даний набір правил можна використовувати для декількох (всіх) віртуальних маршрутизаторів одночасно. Далі ми застосуємо даний набір правил інспекції CBAC до інтерфейсу в вихідному напрямку:

Інспекція застосовується в вихідному напрямку, так як необхідно робити записи про всіх трафіку, який відправляється з нашої мережі назовні, щоб дозволити зворотний трафік в рамках відкритих сесій. Перевіримо, що ми все вірно сконфигурировали на прикладі того ж ping:

Подивимося таблицю сесій на віртуальному маршрутизаторі vrf C (важливо вказувати віртуальний маршрутизатор, в іншому випадку таблиця записів буде порожня:

Перевіримо коректну роботу tcp інспекції протоколом telnet:

У таблиці відкритих сесій будемо бачити:

Висновок простий: у нас налаштований належним чином і інспекція відпрацьовує. Таким не надто хитрим способом ми значно посилили безпеку нашої мережі від зовнішніх загроз. Безумовно, настройка CBAC як такого - окрема тема для розмови, що вимагає детального занурення в настройки і доступні інспекції. Проте, загальний напрямок його роботи в загальному, і в віртуальних мережах зокрема зрозуміло.

Повний конфиг маршрутизаторів для даної роботи за цим посиланням.