Как отключить поиск dns в cisco packet tracer
Перейти к содержимому

Как отключить поиск dns в cisco packet tracer

  • автор:

Отключение поиска DNS в Cisco Packet Tracer

При работе с симулятором сетевых устройств Cisco Packet Tracer может возникнуть необходимость отключить поиск DNS (Domain Name System). Это может потребоваться, например, для проверки собственной настройки сетевых устройств или для проведения экспериментов с сетевыми настройками без необходимости использования реального DNS-сервера. В данной статье мы рассмотрим, как можно выполнить данную операцию.

Первым шагом необходимо открыть программу Cisco Packet Tracer и выбрать устройство, на котором нужно отключить поиск DNS. Обычно это маршрутизатор или коммутатор.

Далее необходимо зайти в режим конфигурации устройства. Для этого введите команду «enable» в командной строке и введите пароль администратора, если он установлен. После этого введите команду «configure terminal» для перехода в режим конфигурации.

Теперь введите команду «no ip domain-lookup» для отключения поиска DNS. Сохраните изменения командой «write memory» или «copy running-config startup-config». После этого можно выйти из режима конфигурации, введя команду «exit». Теперь поиск DNS будет отключен на данном устройстве.

Как отключить поиск DNS в Cisco Packet Tracer

Поиск DNS (Domain Name System) в Cisco Packet Tracer может быть полезным инструментом, но иногда требуется его отключение по определенным причинам. Вот как это сделать:

1. Запустите Cisco Packet Tracer и откройте сетевую модель, в которой вы хотите отключить поиск DNS.

2. Найдите устройство в сетевой модели, к которому подключено DNS-устройство. Обычно это маршрутизатор.

3. Настройте интерфейс маршрутизатора, к которому подключено DNS-устройство.

4. Используйте команду no ip domain-lookup для отключения поиска DNS.

5. Сохраните настройки и закройте Cisco Packet Tracer.

Теперь поиск DNS отключен в вашей сетевой модели Cisco Packet Tracer. Учтите, что это может повлиять на некоторые функции или возможности сетевых устройств, которые полагаются на DNS-серверы. Тщательно оцените, нужно ли отключать поиск DNS в вашей ситуации.

Почему отключение поиска DNS может быть полезным

Отключение поиска DNS в сетевых устройствах, таких как маршрутизаторы и коммутаторы, может быть полезным по нескольким причинам:

  • Улучшение производительности: Когда устройство инициирует соединение с удаленным хостом, оно обычно сначала пытается найти IP-адрес хоста с помощью DNS-запроса. Отключение поиска DNS позволяет устройству обойти этот шаг и сразу преобразовать имя хоста в IP-адрес, что может сэкономить время и ускорить процесс соединения.
  • Безопасность: Отключение поиска DNS может помочь защитить сеть от потенциальных атак, связанных с DNS-подменой. Если атакующий получает доступ к DNS-серверу устройства и изменяет записи DNS, то можно направить пользователя на поддельные или опасные сайты. Отключение поиска DNS позволяет избежать такой уязвимости.
  • Конфиденциальность: Поисковые запросы DNS могут содержать информацию о действиях пользователей в сети, которая может быть использована третьими лицами для отслеживания активности или нежелательного мониторинга. Отключение поиска DNS помогает сохранить конфиденциальность пользователей.
  • Локальное управление резолвером: Отключение поиска DNS позволяет настройкам локального управления резолвером иметь приоритет при разрешении имен хостов. Это может быть полезно, если вы хотите иметь более точный и гибкий контроль над тем, какие IP-адреса связываются с определенными именами хостов.

Важно помнить, что отключение поиска DNS может повлиять на некоторые функции и возможности сети, особенно если внутренние сервера или сервисы полагаются на DNS для идентификации и устранения сбоев. Поэтому рекомендуется внимательно оценить потенциальные последствия и заранее продумать альтернативные механизмы для разрешения имен хостов.

Как отключить поиск DNS в Cisco Packet Tracer

Если вам нужно отключить поиск DNS в Cisco Packet Tracer, вам потребуется выполнить следующие шаги:

  1. Откройте конфигурацию маршрутизатора или коммутатора, в котором вы хотите отключить поиск DNS.
  2. Войдите в привилегированный режим конфигурации, используя команду enable .
  3. Перейдите в режим конфигурации интерфейса, используя команду configure terminal .
  4. Выберите интерфейс, для которого вы хотите отключить поиск DNS, с помощью команды interface .
  5. Введите команду no ip domain-lookup , чтобы отключить поиск DNS для выбранного интерфейса.
  6. Сохраните внесенные изменения, используя команду write или copy running-config startup-config .

После выполнения этих шагов поиск DNS будет отключен для выбранного интерфейса в Cisco Packet Tracer.

Отключение поиска DNS может быть полезным в ситуациях, когда вы хотите управлять настройками DNS вручную или если вашей сети не требуется использование DNS-серверов.

Проверка работы без поиска DNS

Для проверки работы без использования поиска DNS в Cisco Packet Tracer, можно выполнить следующие действия:

  1. Отключите DNS. Для этого воспользуйтесь командой «no ip domain-lookup» в конфигурационном режиме.
  2. Настройте статический IP-адрес. Введите команду «ip address адресмаска подсети» в режиме конфигурации интерфейса для установки статического IP-адреса.
  3. Проверьте соединение. Попробуйте выполнить команду «ping» с указанием IP-адреса удаленного хоста, чтобы проверить, работает ли связь.

Таким образом, отключая поиск DNS и устанавливая статический IP-адрес, вы можете проверить работу сети без использования DNS.

Как отключить поиск DNS в Packet Tracer?

Почему вы хотите отключить поиск DNS в лабораторной среде? В: Почему вы хотите отключить поиск DNS в тестовой среде? Ответ: если он не отключен, он будет искать решение для любой неправильной команды. Я думал, что DNS — это то, как IP-адрес связан с URL-адресом веб-сайта. Как Google связан с 74.125.

Для чего используется поиск DNS? Поиск DNS — это процесс, при котором IP-адрес (одна из записей DNS) возвращается для доменного имени DNS-сервером. Поиск DNS не ограничивается возвратом IP-адреса, но также может возвращать все записи, связанные с доменным именем (такие как IP, адрес IPv6 или запись MX и т. д.).

Как избавиться от неправильной команды в Packet Tracer? В каждом вводном курсе Cisco рассказывается, что вы можете остановить любую команду IOS (например, ping или traceroute) с помощью escape-символа Ctrl/^ (также пишется как ^^ или Ctrl-Shift-6).

Что означает отсутствие поиска IP-домена? Поиск домена no ip указывает маршрутизатору полностью прекратить взаимодействие с любыми DNS-серверами.

Как отключить поиск DNS в Packet Tracer? — Дополнительный вопрос

Что произойдет, если я отключу DNS?

Служба DNS-клиент оптимизирует производительность разрешения DNS-имен, сохраняя ранее разрешенные имена в памяти. Если служба DNS-клиента отключена, компьютер по-прежнему может разрешать DNS-имена с помощью сетевых DNS-серверов.

Можем ли мы отключить DNS?

Однако, если вы не хотите предоставлять службу DNS, вы можете отключить ее, щелкнув «Отключить» в разделе «Инструменты и настройки» > «Шаблон DNS». Обратите внимание, что это отключит DNS только для доменов, созданных после нажатия кнопки.

Сколько времени занимает поиск DNS?

Поиск DNS, как правило, является бесплатной услугой с точки зрения денег, но вас больше всего должно беспокоить то, сколько времени это будет стоить вам. Каждый запрос обычно занимает около 150 миллисекунд.

Как узнать, какой у меня DNS-сервер?

Откройте командную строку из меню «Пуск» (или введите «Cmd» в поиск на панели задач Windows). Затем введите ipconfig/all в командной строке и нажмите Enter. Найдите поле с надписью «DNS-серверы». Первый адрес — это первичный DNS-сервер, а следующий адрес — вторичный DNS-сервер.

Что такое пример DNS?

DNS, или система доменных имен, преобразует удобочитаемые доменные имена (например, www.amazon.com) в машиночитаемые IP-адреса (например, 192.0.2.44).

Как отключить команду tracert?

Чтобы остановить процесс трассировки, введите Ctrl-C.

Как вернуться к Packet Tracer?

В режиме моделирования нажмите кнопку «Назад». В режиме моделирования нажмите кнопку AutoCapture/Play. В режиме моделирования нажмите кнопку «Захват/пересылка».

Что такое команда для трассировки кругового маршрута IPv6?

Вот параметры Tracert: -R Принуждает Tracert отслеживать путь туда и обратно, отправляя сообщение эхо-запроса ICMPv6 в пункт назначения и включая заголовок расширения маршрутизации IPv6 с отправляющим узлом в качестве следующего пункта назначения. -S SourceAddr Tracert Принудительно использовать указанный исходный адрес IPv6.

Когда бы вы использовали поиск домена без IP?

Сеть обучения Cisco

Насколько я понимаю, команда «no ip domain lookup» используется для того, чтобы маршрутизатор не пытался разрешить некорректно вставленные команды в cli путем отправки DNS-запроса.

Нужен ли коммутатору IP-адрес для работы?

Неуправляемые сетевые коммутаторы и коммутаторы уровня 2 не имеют IP-адреса, в то время как управляемые коммутаторы и коммутаторы уровня 3 имеют. Для Telnet требуется сетевой коммутатор с IP-адресом, который обеспечивает удаленный доступ к коммутатору. IP-адрес коммутатора можно узнать с помощью маршрутизатора или IP-сканера.

Что такое поиск ip домена?

поиск ip домена. Включает преобразование имени хоста в адрес на основе DNS. Эта команда включена по умолчанию. IP-сервер имен. Указывает адрес одного или нескольких серверов имен.

Следует ли отключить частный DNS?

Поэтому, если у вас когда-нибудь возникнут проблемы с подключением к сетям Wi-Fi, вам может потребоваться временно отключить функцию частного DNS в Android (или закрыть все используемые вами VPN-приложения).

Безопасно ли менять DNS?

Переключение с вашего текущего DNS-сервера на другой очень безопасно и никогда не нанесет вреда вашему компьютеру или устройству. Это может быть связано с тем, что DNS-сервер не предлагает вам достаточно функций, которые предлагают некоторые из лучших общедоступных / частных серверов DNS, таких как конфиденциальность, родительский контроль и высокая избыточность.

Почему мой DNS продолжает меняться?

Почему мой DNS продолжает меняться?

Как вернуть нормальные настройки DNS?

На телефоне или планшете Android

Чтобы изменить свой DNS-сервер, перейдите в «Настройки»> «Wi-Fi», нажмите и удерживайте сеть, к которой вы подключены, и нажмите «Изменить сеть». Чтобы изменить настройки DNS, коснитесь поля «Настройки IP» и измените его на «Статический» вместо DHCP по умолчанию.

Почему поиск DNS занимает так много времени?

DNS работает медленно, если сервер сильно загружен, плохо настроен или медленный сетевой канал между клиентом и DNS-сервером. Попробуйте другой сервер в более крупном сетевом канале. В вашем вопросе отсутствуют многие детали, которые могли бы дать лучшие ответы. Например, каков ваш хост и сетевое окружение?

На что мне установить TTL?

Как правило, мы рекомендуем TTL 24 часа (86 400 секунд). Однако если вы планируете внести изменения в DNS, вам следует снизить TTL до 5 минут (300 секунд) как минимум за 24 часа до внесения изменений. После внесения изменений увеличьте TTL обратно до 24 часов.

Как мне найти свой DNS-сервер на моем телефоне?

Зайдите в «Настройки» и в разделе «Беспроводные сети» нажмите «Wi-Fi». Нажмите и удерживайте текущее подключенное соединение Wi-Fi, пока не появится всплывающее окно, и выберите «Изменить конфигурацию сети». Теперь вы должны иметь возможность прокручивать список опций на экране. Прокрутите вниз, пока не увидите DNS 1 и DNS 2.

Что происходит, когда первичный DNS-сервер выходит из строя?

Обеспечивает резервирование на случай выхода из строя основного DNS-сервера. Если вторичного сервера нет, то при выходе из строя основного веб-сайт станет недоступным по своему удобочитаемому доменному имени (хотя он по-прежнему будет доступен по своему IP-адресу).

Что такое настройка DNS?

Настройки DNS-сервера (системы доменных имен) на вашем ноутбуке, телефоне или маршрутизаторе являются вашими воротами в Интернет. Они преобразуют легко запоминающиеся доменные имена в настоящие IP-адреса в Интернете, точно так же, как ваше приложение для контактов преобразует имена в настоящие телефонные номера.

There are a couple of ways in which we can configure DNS in packet tracer. We will configure DNS on the Cisco router and endpoint server.

DNS means domain name server, and DNS contains a database of domain names and IP mapping. DNS servers are very helpful as we don’t have to remember the IP address and we can use the domain name instead. Names are much easier to type and learn so DNS plays an important role in every network.

When we enter google.com in the web browser the DNS server finds out the mapped IP of that domain and the HTTP request is forwarded to that IP address.

Configure DNS on the Cisco router

To configure the Cisco router as DNS, we have to enable the DNS service on the router using the following command.

Router(config)#ip dns server

Now, we have to map the names with the IP address using the following command.

Router(config)#ip host PC1 192.168.1.5

Router(config)#ip host PC2 192.168.1.6

Finally, we need to configure the DNS server IP in the PC setting. In this case, as the router is configured as a DNS server, we will use the router’s IP.

Now, we can ping one PC from another PC with their names.

Please note that Configuring the Cisco router as a DNS server is not possible in packet tracer as it does not provide this functionality however If you want to try this lab then you can use GNS3 as it has all the commands.

Configuring DNS in Cisco packet tracer with the available server endpoint

To configure the DNS server, we have to enable the DNS service in the server which is disabled by default.

Now, we have to add an A record or create a name for IP mapping in the server.

Finally, PCs should be configured with the IP address of the server in the DNS settings.

That is all required to successfully enable the DNS server in packet tracer.

Now, we should be able to ping the PCs with the names.

Pinging 192.168.1.6 with 32 bytes of data:

Reply from 192.168.1.6: bytes=32 time=35ms TTL=128

Reply from 192.168.1.6: bytes=32 time

Reply from 192.168.1.6: bytes=32 time

Reply from 192.168.1.6: bytes=32 time

As expected, we can ping one PC from another with the names.

Download this lab and ping the PC with names, and you will see the successful ping replies.

Activity for you

Create a mapping for the switch in the server so that PCs can ping the switch with the name ‘switch’

Как отключить поиск dns в cisco packet tracer

По умолчанию они ни разу не shutdown. Более того если эту статью почтитать — то там нету «no shutdown» для port range gi0/0-24 (fa0/0-24).

Добавить комментарий
29.11.2023 Cкрипт ddrescue-loop с функцией автоматической остановки/перезапуска диска на SATA порту
23.11.2023 Устранение ошибки redirection unexpected в bash-скриптах
21.10.2023 Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером
15.10.2023 Уменьшение жёстко определённого размера окна приложения в формате AppImage
12.10.2023 Определение IP-адреса пользователя в Telegram через голосовой вызов
14.09.2023 Установка в мобильной версии Firefox любого расширения от десктоп-версии
10.09.2023 Часто используемые параметры sysctl, касающиеся настройки сети в Linux
09.08.2023 Запуск Linux на Android-телефоне с SD-карты без перепрошивки
18.04.2023 Перевод шифрованного раздела на LUKS2 и более надёжную функцию формирования ключа
31.03.2023 Пример правил nftables с реализацией port knoсking для открытия доступа к SSH
RSS | Следующие 15 записей >>

3 способа убрать «Translating Domain Server» в Cisco IOS

img

Эта статья направлена на сохранение нервных клеток и времени наших читателей. Дело в том, что по умолчанию, разрешение имен (domain lookup) включено на каждом маршрутизаторе. Тем самым, роутер, интерпретирует каждую команду как имя хоста для подключения по Telnet и пытается разрешить этот хостнейм в IP – адрес, обращаясь к DNS серверу – но, само собой, безуспешно, так как обычно, это команда Cisco IOS, в которой просто допущена ошибка синтаксиса.

В статье мы покажем 3 способа, как можно избавиться от этого безобразия.

 Translating

Router>en Router#wiki.meironet.ru Translating "wiki.meironet.ru". domain server (255.255.255.255) % Unknown command or computer name, or unable to find computer address
Способ №1: выключаем разрешение имен

Если вашему маршрутизатору не нужно разрешать доменные имена, то почему бы просто не отключить лукап? Делается это предельно просто:

Router>en Router#conf t Router(config)#no ip domain lookup Router(config)#exit

Посмотрите на скриншот – мы отключили лукап и трансляция сразу перестала забирать наше время:

Cisco IOS no ip domain lookup

Способ №2: отключаем исходящие Telnet подключения

Если вам все – таки требуется оставить разрешение доменных имен на роутере, то можно пойти другим путем – отключить исходящие Telnet соединения с маршрутизатора, ведь как мы сказали в начале статьи, именно они являются причиной трансляций.

Router>en Router#conf t Router(config)#ip domain lookup Router(config)#line con 0 Router(config-line)#transport output none Router(config-line)#exit Router(config)#exit

Вот что мы имеем на выходе:

Cisco IOS отключить исходящие telnet сессии

Способ №3: регулируем тайм – аут подключения

Итак, финальный способ, это конфигурация таймаута подключения. По умолчанию, Cisco IOS пуляет коннекции с паузой в 30 секунд. Если способ №1 и способ №2 вам не подошли, то этот метод для вас. Сделаем тайм – аут 5 секунд, например:

Router>en Router#conf t Router(config)# ip tcp synwait-time 5 Setting syn time to 5 seconds Router(config)#exit

Настройка DNS сервера в CISCO ­ Дневник ­ Максим Боголепов

Все настройки, приведенные ниже, будут касаться исключительно dns-сервера. Разграничение доступа и безопасность в данной статье не рассматривается. Сперва войдем в cisco и настроим ее внутренний сетевой интерфейс. Попутно отключим преобразование сетевых имен в адреса (чтобы cisco не пыталась каждый раз резолвить неправильно набранную команду); глобально запретим использование протокола CDP (Cisco Discovery Protocol), т.к. подразумевается, что наш маршрутизатор – “пограничный” в сети; так же запретим маршрутизацию от источника:

Router>enable Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#no ip domain-lookup Router(config)#no cdp run Router(config)#no ip source-route

Произведем настройку нашего внутреннего сетевого интерфейса. Пусть это будет FastEthernet0/1. Обозначим два vlan’а с ip из наших внутренних подсетей 192.168.100.0/24 (vlan 1 – нативный) и 172.16.0.0/24 (vlan 172 – гостевой) соответственно:

Router(config)#interface FastEthernet0/1.1 Router(config-subif)#description LOCALNET Router(config-subif)#encapsulation dot1Q 1 native Router(config-subif)#ip address 192.168.100.1 255.255.255.0 Router(config-subif)#ip virtual-reassembly Router(config-subif)#no cdp enable Router(config-subif)#exit Router(config)#interface FastEthernet0/1.2 Router(config-subif)#description TESTNET Router(config-subif)#encapsulation dot1Q 172 Router(config-subif)#ip address 172.16.0.1 255.255.255.0 Router(config-subif)#ip virtual-reassembly Router(config-subif)#no cdp enable Router(config-subif)#exit Router(config)#interface FastEthernet0/1 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#

Теперь начнем настраивать непосредственно сам сервер: включаем обычный кеширующий DNS ; обозначаем view по-умолчанию, который будет обслуживать подсеть 192.168.100.0/24 (доменная сеть с собственными dns-серверами) на интерфейсе FastEthernet0/1.1; отключаем dns forwarding:

Router(config)#ip dns server Router(config)#ip dns view default Router(cfg-dns-view)#domain name company.ru Router(cfg-dns-view)#domain name-server 192.168.100.2 Router(cfg-dns-view)#domain name-server 192.168.100.3 Router(cfg-dns-view)#domain name-server interface FastEthernet0/1.1 Router(cfg-dns-view)#no dns forwarding Router(cfg-dns-view)#exit

Настроим view для гостевой подсети 172.16.0.0/24 (назовем его TESTNET .RU): включаем логирование; указываем доменное имя; dns сервер (это мы); указываем, на каком интерфейсе обрабатывать запросы для этого view; укажем вспомогательный адрес внешнего dns сервера (8.8.8.8 – google-public-dns-a.google.com):

Router(config)#ip dns view TESTNET.RU Router(cfg-dns-view)#logging Router(cfg-dns-view)#domain name testnet.ru Router(cfg-dns-view)#domain name-server 172.16.0.1 Router(cfg-dns-view)#domain resolver source-interface FastEthernet0/1.2 Router(cfg-dns-view)#domain name-server interface FastEthernet0/1.2 Router(cfg-dns-view)#dns forwarder 8.8.8.8 Router(cfg-dns-view)#dns forwarding source-interface FastEthernet0/1.2 Router(cfg-dns-view)#exit

Нам осталось задать view-list для гостевой подсети TESTNET .RU. Дадим ему соответствующее имя testnet, присвоим этому view порядковый номер:

Router(config)#ip dns view-list testnet Router(cfg-dns-view-list)#view TESTNET.RU 1 Router(cfg-dns-view-list-member)#exit Router(cfg-dns-view-list)#exit

Теперь настроим, кто имеет право доступа к нашему dns серверу и на каком сетевом интерфейсе:

Router(config)#ip dns name-list 1 permit .*\.TESTNET\.RU Router(config)#interface FastEthernet0/1.2 Router(config-subif)#ip dns view-group testnet Router(config-subif)#exit Router(config)#do write Building configuration. [OK] Router(config)#

Вот и все… Проверить работу нашего dns сервера можно следующими командами:
— показать правила доступа к name-list:

Router#sh ip dns name-list ip dns name-list 1 permit .*\.TESTNET\.RU

— показать настроенные view (привожу данные с боевого маршрутизатора):

Router#sh ip dns view DNS View TESTNET.RU parameters: Logging is on (view used 232062 times) DNS Resolver settings: Domain lookup is enabled Default domain name: testnet.ru Domain search list: Lookup timeout: 3 seconds Lookup retries: 2 Domain name-servers: 172.16.0.1 Resolver source interface: FastEthernet0/1.2 DNS Server settings: Forwarding of queries is enabled Forwarder timeout: 3 seconds Forwarder retries: 2 Forwarder addresses: 8.8.8.8 Forwarder source interface: FastEthernet0/1.2 DNS View default parameters: Logging is off DNS Resolver settings: Domain lookup is disabled Default domain name: company.ru Domain search list: Lookup timeout: 3 seconds Lookup retries: 2 Domain name-servers: 192.168.100.2 192.168.100.3 DNS Server settings: Forwarding of queries is disabled Forwarder timeout: 3 seconds Forwarder retries: 2 Forwarder addresses:

— показать настроенные view-list:

Router#sh ip dns view-list View-list testnet: View TESTNET.RU: Evaluation order: 1

— показать статистику использования нашего dns-сервера (привожу данные с боевого маршрутизатора):

main-router#sh ip dns statistics DNS requests received = 446927 ( 446922 + 5 ) DNS requests dropped = 0 ( 0 + 0 ) DNS responses replied = 18270 ( 18265 + 5 )

Forwarder queue statistics: Current size = 0 Maximum size = 29 Drops = 0

Ну, и напоследок – листинг проделанной нами работы:

Router#sh run Building configuration. Current configuration : 1721 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! logging message-counter syslog no logging console ! no aaa new-model ! dot11 syslog no ip source-route ! ip cef ! no ip domain lookup no ipv6 cef ! multilink bundle-name authenticated ! voice-card 0 ! archive log config hidekeys ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface FastEthernet0/1.1 description LOCALNET encapsulation dot1Q 1 native ip address 192.168.100.1 255.255.255.0 ip virtual-reassembly no cdp enable ! interface FastEthernet0/1.2 description TESTNET encapsulation dot1Q 172 ip address 172.16.0.1 255.255.255.0 ip dns view-group testnet ip virtual-reassembly no cdp enable ! ip forward-protocol nd no ip http server no ip http secure-server ! ip dns view TESTNET.RU logging domain name testnet.ru domain name-server 172.16.0.1 domain resolver source-interface FastEthernet0/1.2 domain name-server interface FastEthernet0/1.2 dns forwarder 8.8.8.8 dns forwarding source-interface FastEthernet0/1.2 ip dns view default domain name company.ru domain name-server 192.168.100.2 domain name-server 192.168.100.3 domain name-server interface FastEthernet0/1.1 no dns forwarding ip dns view-list testnet view TESTNET.RU 1 ip dns name-list 1 permit .*\.TESTNET\.RU ip dns server ! no cdp run ! control-plane ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end Router#

Для тех, кто думает, что dns сервер на cisco требует много ресурсов – данные с Cisco 851, c850-advsecurityk9-m, Version 12.4(15)T17:

cisco-hren#sh proc cpu sort CPU utilization for five seconds: 8%/4%; one minute: 7%; five minutes: 6% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 36 17758272 11593651 1531 1.14% 0.85% 0.71% 0 COLLECT STAT COU 164 10366698 4254215 2436 0.98% 0.68% 0.57% 0 DNS Server 166 4744822 1863907 2545 0.65% 0.33% 0.25% 0 DNS Server Input 4 16165356 904402 17874 0.65% 0.69% 0.64% 0 Check heaps 68 19303331 20922608 922 0.40% 0.51% 0.47% 0 IP Input 65 264 134 1970 0.16% 0.12% 0.06% 2 SSH Process 150 8 8 1000 0.08% 0.00% 0.00% 0 DNS Resolver

cisco-hren#sh ip dns statistics DNS requests received = 2199209 ( 2199205 + 4 ) DNS requests dropped = 0 ( 0 + 0 ) DNS responses replied = 302911 ( 302907 + 4 )

Forwarder queue statistics: Current size = 0 Maximum size = 120 Drops = 0 Director queue statistics: Current size = 0 Maximum size = 0 Drops = 0
cisco-hren#sh ip dns view DNS View hrenovskaya.ru parameters: Logging is on (view used 1249505 times) DNS Resolver settings: Domain lookup is enabled Default domain name: hrenovskaya.ru Domain search list: Lookup timeout: 3 seconds Lookup retries: 2 Domain name-servers: 192.168.6.1 Resolver source interface: Vlan1 DNS Server settings: Forwarding of queries is enabled Forwarder timeout: 3 seconds Forwarder retries: 2 Forwarder addresses: 80.82.33.65 80.82.32.9 Forwarder source interface: Vlan1 DNS View default parameters: Logging is off DNS Resolver settings: Domain lookup is disabled Default domain name: hrenovskaya.ru Domain search list: Lookup timeout: 3 seconds Lookup retries: 2 Domain name-servers: 80.82.33.65 80.82.32.9 192.168.6.1 DNS Server settings: Forwarding of queries is disabled Forwarder timeout: 3 seconds Forwarder retries: 2 Forwarder addresses:

Twitter Vkontakte Facebook MyWorld Odnoklassniki LiveJournal Blogger Google+Email

Просмотров статьи: 62688 Раздел: Администрирование

Rating: 4.1/5(11 votes cast)

Настройка зональных межсетевых экранов Cisco

В данной статье рассмотрена настройка зональных межсетевых экранов — Zone-Based Policy Firewalls (ZBF / ZPF). Исследуемая топология состоит из трех маршрутизаторов Cisco 2911 с ПО Cisco IOS версии 15. Допускается использование других маршрутизаторов и версий Cisco IOS.

Топология

Настройка зональных межсетевых экранов

Примечание. В устройствах ISR G1 используются интерфейсы FastEthernet, а не GigabitEthernet.

Таблица IP-адресов
Устройство Интерфейс IP-адрес Маска подсети Шлюз по умолчанию Порт коммутатора
R1 G0/1 192.168.1.1 255.255.255.0 Н/П S1 F0/5
S0/0/0 (DCE) 10.1.1.1 255.255.255.252 Н/П Н/П
R2 S0/0/0 10.1.1.2 255.255.255.252 Н/П Н/П
S0/0/1 (DCE) 10.2.2.2 255.255.255.252 Н/П Н/П
R3 G0/0 192.168.33.1 255.255.255.0 Н/П Н/П
G0/1 192.168.3.1 255.255.255.0 Н/П S3 F0/5
S0/0/1 10.2.2.1 255.255.255.252 Н/П Н/П
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 S1 F0/6
PC-B NIC 192.168.3.3 255.255.255.0 192.168.3.1 S3 F0/1
PC-C NIC 192.168.33.3 255.255.255.0 192.168.33.1 Н/П
Задачи

Часть 1. Основная конфигурация маршрутизаторов

  • Настройте имена хостов, IP-адреса интерфейсов и пароли для доступа.
  • Настройте статические маршруты для организации сквозной связи.

Часть 2. Настройка зонального межсетевого экрана (ZPF)

  • Используйте CLI для настройки зонального межсетевого экрана.
  • Используйте CLI для проверки конфигурации.
Общие сведения

В наиболее простых межсетевых экранах Cisco IOS используются списки контроля доступа (ACL) для фильтрации IP-трафика и отслеживания заданных шаблонов трафика. Традиционные межсетевые экраны Cisco IOS основаны на применении списков ACL.

Более новые межсетевые экраны Cisco IOS используют зональный подход, основанный на функциях интерфейса, а не списках контроля доступа. Зональный межсетевой экран (ZPF) позволяет применять различные политики инспектирования для групп хостов, подключенных к одному и тому же интерфейсу маршрутизатора. Его можно настроить для обеспечения расширенного и очень подробного контроля с учетом конкретного протокола. Он запрещает трафик между разными зонами межсетевого экрана благодаря применению политики по умолчанию deny-all. ZPF может применяться для нескольких интерфейсов с одинаковыми или разными требованиями по безопасности.

В данной статье вы построите сеть, содержащую несколько маршрутизаторов, настроите маршрутизаторы и хосты, а также зональный межсетевой экран с использованием командного интерфейса Cisco IOS (CLI).

Примечание. В данной статье используются команды и выходные данные для маршрутизатора Cisco 1941 с ПО Cisco IOS версии 15.4(3)M2 (UniversalK9-M). Допускается использование других маршрутизаторов и версий Cisco IOS. В зависимости от модели маршрутизатора и версии Cisco IOS, доступные команды и выходные данные могут отличаться от указанных в данной статье.

Примечание. Убедитесь, что маршрутизаторы и коммутаторы сброшены и не имеют конфигурацию запуска.

Необходимые ресурсы
  • 3 маршрутизатора (Cisco 1941 с образом Cisco IOS Release 15.4(3)M2 или аналогичным)
  • 2 коммутатора (Cisco 2960 или аналогичный)
  • 3 ПК (Windows Vista или 7)
  • Последовательные кабели и кабели Ethernet, как показано на топологической схеме
  • Консольные кабели для настройки сетевых устройств Cisco
Часть 1: Основная конфигурация маршрутизаторов

В части 1 этой статьи вы создадите топологию сети и настроите основные параметры, такие как IP-адреса интерфейсов, статическая маршрутизация, доступ к устройствам и пароли.

Примечание. На маршрутизаторах R1, R2 и R3 должны быть выполнены все задачи. Процедуры показаны только для одного из маршрутизаторов.

Шаг 1: Подключите сетевые кабели, как показано на топологической схеме.

Присоедините устройства, как показано на топологической схеме, и установите необходимые кабельные соединения.

Шаг 2: Настройте основные параметры для каждого маршрутизатора.

  • a. Задайте имена хостов, как показано на топологической схеме.
  • b. Настройте IP-адреса, как показано в таблице IP-адресов.
  • c. Настройте тактовую частоту последовательных интерфейсов маршрутизаторов с помощью последовательного DCE-кабеля.
R2(config)# interface S0/0/0 R2(config-if)# clock rate 64000

Шаг 3: Отключите поиск DNS.

Чтобы предотвратить попытки маршрутизатора неправильно интерпретировать введенные команды, отключите функцию DNS-поиска.

R2(config)# no ip domain-lookup

Шаг 4: Настройте статические маршруты на маршрутизаторах R1, R2 и R3.

  • a. Чтобы обеспечить сквозную связь по IP, на маршрутизаторах R1, R2 и R3 необходимо настроить соответствующие статические маршруты. R1 и R3 – это маршрутизаторы-заглушки. Поэтому для них необходимо указать только маршрут по умолчанию к маршрутизатору R2. Маршрутизатор R2, выполняющий роль ISP, должен знать, как достичь внутренних сетей маршрутизаторов R1 и R3: это необходимо для обеспечения сквозной связи по IP. Ниже указаны настройки статических маршрутов для маршрутизаторов R1, R2 и R3. На маршрутизаторе R1 используйте следующую команду:
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2
  • b. На маршрутизаторе R2 используйте следующие команды:
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1 R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1 R2(config)# ip route 192.168.33.0 255.255.255.0 10.2.2.1
  • c. На маршрутизаторе R3 используйте следующую команду:
R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2

Шаг 5: Настройте параметры IP для хоста.

Настройте статический IP-адрес, маску подсети и шлюз по умолчанию для компьютеров PC-A, PC-B и PC-C, как показано в таблице IP-адресов.

Шаг 6: Проверьте базовую связь по сети.

  • a. Отправьте эхо-запрос с маршрутизатора R1 на R3.

Если запрос был выполнен с ошибкой, проведите диагностику основных параметров устройства перед тем, как продолжить.

  • b. Отправьте эхо-запрос с компьютера PC-A в локальной сети маршрутизатора R1 на компьютер PC-C в локальной сети маршрутизатора R3.

Если запрос был выполнен с ошибкой, проведите диагностику основных параметров устройства перед тем, как продолжить.

Примечание. Если эхо-запросы с компьютера PC-A на PC-C выполняются без ошибок, это означает наличие сквозной связи по IP . Если эхо-запросы были выполнены с ошибкой, но интерфейсы устройств находятся в состоянии UP и IP-адреса заданы верно, воспользуйтесь командами show interface, show ip interface и show ip route, чтобы определить источник проблемы.

Шаг 7: Настройте учетную запись пользователя, шифрованные пароли и криптографические ключи для SSH.

Примечание. В данной задаче установлена минимальная длина пароля в 10 символов, однако для облегчения процесса выполнения пароли были относительно упрощены. В рабочих сетях рекомендуется использовать более сложные пароли.

  • a. Используйте команду security passwords , чтобы задать минимальную длину пароля в 10 символов.
R1(config)# security passwords min-length 10
  • b. Настройте доменное имя.
R1(config)# ip domain-name pro-voip.ru
  • c. Настройте криптографические ключи для SSH.
R1(config)# crypto key generate rsa general-keys modulus 1024
  • d. Создайте учетную запись пользователя admin01, используя algorithm-type scrypt для шифрования и пароль cisco12345.
R1(config)# username admin01 algorithm-type scrypt secret cisco12345
  • e. Настройте линию 0 консоли на использование локальной базы данных пользователей для входа в систему. Для дополнительной безопасности команда exec-timeout обеспечивает выход из системы линии, если в течение 5 минут отсутствует активность. Команда logging synchronous предотвращает прерывание ввода команд сообщениями консоли.

Примечание. Чтобы исключить необходимость постоянного повторного входа в систему во время выполнения, вы можете ввести команду exec-timeout с параметрами 0 0, чтобы отключить проверку истечения времени ожидания. Однако такой подход не считается безопасным.

R1(config)# line console 0 R1(config-line)# login local R1(config-line)# exec-timeout 5 0 R1(config-line)# logging synchronous
  • f. Настройте линию aux 0 на использование локальной базы данных пользователей для входа в систему.
R1(config)# line aux 0 R1(config-line)# login local R1(config-line)# exec-timeout 5 0
  • g. Настройте линию vty 0 4 на использование локальной базы данных пользователей для входа в систему и разрешите доступ только для соединений по SSH.
R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input ssh R1(config-line)# exec-timeout 5 0
  • h. Настройте пароль привилегированного доступа с криптостойким шифрованием.
R1(config)# enable algorithm-type scrypt secret class12345

Шаг 8: Сохраните основную текущую конфигурацию для каждого маршрутизатора.

Сохраните текущую конфигурацию в конфигурацию запуска через командную строку в привилегированном режиме.

R1# copy running-config startup-config
Часть 2: Настройка зонального межсетевого экрана (ZPF)

В части 2 данной статьи необходимо настроить на маршрутизаторе R3 зональный межсетевой экран (ZPF) с использованием командной строки (CLI).

Задача 1: Проверка текущей конфигурации маршрутизаторов.

В этой задаче перед внедрением ZPF необходимо проверить сквозную связь по сети.

Шаг 1: Проверьте сквозную связь по сети.

  • a. Отправьте эхо-запрос с маршрутизатора R1 на R3. Используйте IP-адреса интерфейса Gigabit Ethernet маршрутизатора R3.

Если запрос был выполнен с ошибкой, проведите диагностику основных параметров устройства перед тем, как продолжить.

  • b. Отправьте эхо-запрос с компьютера PC-A в локальной сети маршрутизатора R1 на компьютер PC-C в локальной сети конференц-зала маршрутизатора R3.

Если запрос был выполнен с ошибкой, проведите диагностику основных параметров устройства перед тем, как продолжить.

  • c. Отправьте эхо-запрос с компьютера PC-A в локальной сети маршрутизатора R1 на компьютер PC-B во внутренней локальной сети маршрутизатора R3.

Если запрос был выполнен с ошибкой, проведите диагностику основных параметров устройства перед тем, как продолжить.

Шаг 2: Отобразите текущие конфигурации маршрутизатора R3.

  • a. Введите команду show ip interface brief на маршрутизаторе R3 и убедитесь, что назначены корректные IP-адреса. Для проверки используйте таблицу IP-адресов.
  • b. Введите команду show ip route на маршрутизаторе R3 и убедитесь, что у него есть статический маршрут по умолчанию, указывающий на последовательный интерфейс 0/0/1 маршрутизатора R2.
  • c. Введите команду show run для проверки текущей базовой конфигурации маршрутизатора R3.

Задача 2: Создание зонального межсетевого экрана.

В данной задаче необходимо создать на маршрутизаторе R3 зональный межсетевой экран, чтобы он работал не только как маршрутизатор, но и как межсетевой экран. Маршрутизатор R3 теперь отвечает за маршрутизацию пакетов в трех подключенных к нему сетях. Роли интерфейсов маршрутизатора R3 настроены следующим образом.

Последовательный интерфейс 0/0/1 подключен к Интернету. Так как это общедоступная сеть, она считается недоверенной сетью и должна иметь самый низкий уровень безопасности.

G0/1 подключен к внутренней сети. Только авторизованные пользователи имеют доступ к этой сети. Кроме того, в этой сети также расположены жизненно важные ресурсы организации. Внутренняя сеть должна считаться доверенной и иметь наивысший уровень безопасности.

G0/0 подключен к конференц-залу. Конференц-зал используется для проведения совещаний с людьми, не являющимися сотрудниками компании.

Политика безопасности, которая должна применяться маршрутизатором R3, когда он работает в качестве межсетевого экрана, определяет следующее.

  • Никакой трафик, поступающий из Интернета, не должен попадать во внутреннюю сеть или в сеть конференц-зала.
  • Возвратный трафик из Интернета (возвратные пакеты, приходящие из Интернета на маршрутизатор R3 в ответ на запросы, отправленные из любой из сетей маршрутизатора R3) должен быть разрешен.
  • Компьютеры во внутренней сети маршрутизатора R3 считаются доверенными, и им разрешено инициировать любой тип трафика (TCP-, UDP- или ICMP-трафик).
  • Компьютеры в конференц-зале маршрутизатора R3 считаются недоверенными, и им разрешено отправлять только веб-трафик в Интернет (HTTP или HTTPS).
  • Между внутренней сетью и сетью конференц-зала любой трафик запрещен. Учитывая состояние гостевых компьютеров в сети конференц-зала, гарантий безопасности нет. Такие компьютеры могут быть заражены вредоносным ПО и могут пытаться генерировать спам или другой вредный трафик.

Шаг 1: Создайте зоны безопасности.

Зона безопасности – это группа интерфейсов со сходными свойствами и требованиями безопасности. Например, если у маршрутизатора есть три интерфейса, подключенные к внутренним сетям, все они могут быть помещены в одну зону под названием «внутренняя». Так как свойства безопасности настраиваются для зоны, а не для каждого интерфейса маршрутизатора, то архитектура межсетевого экрана становится более масштабируемой.

В данной статье маршрутизатор R3 имеет три интерфейса: один подключен к внутренней доверенной сети, второй – к сети конференц-зала, а третий – к Интернету. Так как все три сети имеют разные свойства и требования безопасности, необходимо создать три зоны безопасности.

  • a. Зоны безопасности создаются в режиме глобальной настройки, и команда позволяет определить имена зон. На маршрутизаторе R3 создайте три зоны с именами INSIDE, CONFROOM и INTERNET:
R3(config)# zone security INSIDE R3(config)# zone security CONFROOM R3(config)# zone security INTERNET

Шаг 2: Создайте политики безопасности.

Прежде чем ZPF сможет определить, пропускать определенный трафик или нет, ему нужно вначале объяснить, какой трафик следует проверять. Для выбора трафика в Cisco IOS используются карты классов. Интересный трафик – распространенное обозначение трафика, который был выбран с помощью карты классов.

И хотя трафик выбирают карты классов, они не решают, что сделать с таким выбранным трафиком. Судьбу выбранного трафика определяют карты политик.

В качестве карт политик определены политики трафика ZPF, которые используют карты классов для выбора трафика. Другими словами, карты классов определяют, какой трафик должен быть ограничен, а карты политик – какое действие должно быть предпринято в отношении выбранного трафика.

Карты политик могут отбрасывать, пропускать или инспектировать трафик. Так как мы хотим, чтобы межсетевой экран наблюдал за движением трафика в направлении пар зон, необходимо создать карты политик inspect (инспектирование). Карты политик inspect разрешают динамическую обработку возвратного трафика.

Сначала необходимо создать карты классов. После создания карт классов необходимо создать карты политик и прикрепить карты классов к картам политик.

  • a. Создайте карту классов inspect, чтобы разрешать трафик из зоны INSIDE в зону INTERNET. Так как мы доверяем зоне INSIDE, мы разрешаем все основные протоколы.

В следующих командах, показанных ниже, первая строка создает карту классов inspect. Ключевое слово match-any сообщает маршрутизатору, что любой из операторов протокола match будет квалифицироваться как положительное совпадение в применяемой политике. Результатом будет совпадение для пакетов TCP, UDP или ICMP.

Команды match относятся к специальным протоколам, поддерживаемым в Cisco NBAR. Дополнительная информация о Cisco NBAR: Cisco Network-Based Application Recognition (Распознавание приложений по параметрам сетевого трафика).

R3(config)# class-map type inspect match-any INSIDE_PROTOCOLS R3(config-cmap)# match protocol tcp R3(config-cmap)# match protocol udp R3(config-cmap)# match protocol icmp
  • b. Аналогичным образом создайте карту классов для выбора разрешенного трафика из зоны CONFROOM в зону INTERNET. Так как мы не полностью доверяем зоне CONFROOM, мы должны ограничить информацию, которую сервер может отправлять в Интернет:
R3(config)# class-map type inspect match-any CONFROOM_PROTOCOLS R3(config-cmap)# match protocol http R3(config-cmap)# match protocol https R3(config-cmap)# match protocol dns
  • c. Теперь, когда карты классов созданы, можно создать карты политик.

В следующих командах, показанных ниже, первая строка создает карту политик inspect с именем INSIDE_TO_INTERNET. Вторая строка привязывает ранее созданную карту классов INSIDE_PROTOCOLS к карте политик. Все пакеты, отмеченные картой класса INSIDE_PROTOCOLS, будут обработаны способом, указанным в карте политики INSIDE_TO_INTERNET. Наконец, третья строка определяет фактическое действие, которое карта политик будет применять к соответствующим пакетам. В нашем случае такие пакеты будут инспектироваться.

Следующие три строки создают похожую карту политик с именем CONFROOM_TO_INTERNET и присоединяют карту классов CONFROOM_PROTOCOLS.

Команды указаны ниже:

R3(config)# policy-map type inspect INSIDE_TO_INTERNET R3(config-pmap)# class type inspect INSIDE_PROTOCOLS R3(config-pmap-c)# inspect R3(config)# policy-map type inspect CONFROOM_TO_INTERNET R3(config-pmap)# class type inspect CONFROOM_PROTOCOLS R3(config-pmap-c)# inspect

Шаг 3: Создайте пары зон.

Пара зон позволяет создать однонаправленную политику межсетевого экрана между двумя зонами безопасности.

К примеру, широко применяемая политика безопасности определяет, что внутренняя сеть может инициировать любой трафик в Интернет, но любой трафик из Интернета не должен проникать во внутреннюю сеть.

Эта политика трафика требует только одну пару зон – INTERNAL -> INTERNET. Так как пары зон определяют однонаправленный поток трафика, должна быть создана другая пара зон, если инициируемый в Интернет трафик должен проходить в направлении INTERNET -> INTERNAL.

Обратите внимание, что Cisco ZPF можно настроить на инспектирование трафика, передаваемого в направлении, определяемом парой зон. В этой ситуации межсетевой экран наблюдает за трафиком и динамически формирует правила, позволяющие возвратному или связанному трафику проходить обратно через маршрутизатор.

Для определения пары зон используйте команду zone-pair security . Направление трафика указывается зонами отправления и назначения.

В этой статье вы создадите две пары зон.

  • INSIDE_TO_INTERNET: позволяет трафику выходить из внутренней сети в Интернет.
  • CONFROOM_TO_INTERNET: разрешает доступ в Интернет из сети конференц-зала.
  • a. Создание пар зон:
R3(config)# zone-pair security INSIDE_TO_INTERNET source INSIDE destination INTERNET R3(config)# zone-pair security CONFROOM_TO_INTERNET source CONFROOM destination INTERNET
  • b. Убедитесь, что пары зон были созданы корректно, используя команду show zone-pair security . Обратите внимание, что на данный момент с парами зон не ассоциирована ни одна политика. Политики безопасности будут применены к парам зон на следующем шаге.
R3# show zone-pair security Zone-pair name INSIDE_TO_INTERNET Source-Zone INSIDE Destination-Zone INTERNET service-policy not configured Zone-pair name CONFROOM_TO_INTERNET Source-Zone CONFROOM Destination-Zone INTERNET service-policy not configured

Шаг 4: Примените политики безопасности.

  • a. На последнем шаге настройки примените карты политик к парам зон:
R3(config)# zone-pair security INSIDE_TO_INTERNET R3(config-sec-zone-pair)# service-policy type inspect INSIDE_TO_INTERNET R3(config)# zone-pair security CONFROOM_TO_INTERNET R3(config-sec-zone-pair)# service-policy type inspect CONFROOM_TO_INTERNET
  • b. Введите команду show zone-pair security еще раз, чтобы проверить настройки пар зон. Обратите внимание, что сейчас отображаются сервисные политики:
R3#show zone-pair security Zone-pair name INSIDE_TO_INTERNET Source-Zone INSIDE Destination-Zone INTERNET service-policy INSIDE_TO_INTERNET Zone-pair name CONFROOM_TO_INTERNET Source-Zone CONFROOM Destination-Zone INTERNET service-policy CONFROOM_TO_INTERNET

Чтобы получить больше информации о парах зон, их картах политик, картах классов и счетчиках соответствия, используйте команду show policy-map type inspect zone-pair .

R3#show policy-map type inspect zone-pair policy exists on zp INSIDE_TO_INTERNET Zone-pair: INSIDE_TO_INTERNET Service-policy inspect : INSIDE_TO_INTERNET Class-map: INSIDE_PROTOCOLS (match-any) Match: protocol tcp 0 packets, 0 bytes 30 second rate 0 bps Match: protocol udp 0 packets, 0 bytes 30 second rate 0 bps Match: protocol icmp 0 packets, 0 bytes 30 second rate 0 bps Inspect Session creations since subsystem startup or last reset 0 Current session counts (estab/half-open/terminating) [0:0:0] Maxever session counts (estab/half-open/terminating) [0:0:0] Last session created never Last statistic reset never Last session creation rate 0 Maxever session creation rate 0 Last half-open session total 0 TCP reassembly statistics received 0 packets out-of-order; dropped 0 peak memory usage 0 KB; current usage: 0 KB peak queue length 0 Class-map: class-default (match-any) Match: any Drop 0 packets, 0 bytes

Шаг 5: Назначьте интерфейсы соответствующим зонам безопасности.

Интерфейсы (физические и логические) назначаются зонам безопасности с помощью команды интерфейса zone-member security.

  • a. Назначьте интерфейс G0/0 маршрутизатора R3 зоне безопасности CONFROOM:
R3(config)# interface g0/0 R3(config-if)# zone-member security CONFROOM
  • b. Назначьте интерфейс G0/1 маршрутизатора R3 зоне безопасности INSIDE:
R3(config)# interface g0/1 R3(config-if)# zone-member security INSIDE
  • c. Назначьте интерфейс S0/0/1 маршрутизатора R3 зоне безопасности INTERNET:
R3(config)# interface s0/0/1 R3(config-if)# zone-member security INTERNET

Шаг 6: Проверьте назначение зон.

  • a. Введите команду show zone security и убедитесь, что зоны корректно созданы, а интерфейсы корректно назначены.
R3# show zone security zone self Description: System defined zone zone CONFROOM Member Interfaces: GigEthernet0/0 zone INSIDE Member Interfaces: GigEthernet0/1 zone INTERNET Member Interfaces: Serial0/0/1

Любое использование материалов сайта возможно только с разрешения автора и с обязательным указанием источника.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *