Лабораторная работа №5

# Лабораторная работа №5 **Настройка зональных межсетевых экранов.** Соберем топологию сети, представленную на рисунке 1. ![](https://i.imgur.com/dFz0mnN.png) Рисунок 1 – Исходная топология сети Настроим IP-адресацию и интерфейсы на устройствах. **Часть 2: Настройка зонального межсетевого экрана (ZPF)** В части 2 данной лабораторной работы необходимо настроить на маршрутизаторе R2 зональный межсетевой экран (ZPF) с использованием командной строки (CLI). **Задача 1: Проверка текущей конфигурации маршрутизаторов.** В этой задаче перед внедрением ZPF необходимо проверить сквозную связь по сети. **Шаг 1: Проверьте сквозную связь по сети.** **a.** Отправьте эхо-запрос с маршрутизатора R0 на R2. Используйте IP-адреса интерфейса Gigabit Ethernet маршрутизатора R2. ![](https://i.imgur.com/3GqQSTv.png) Рисунок 2 - Команда ping с маршрутизатора R0 на R2 **b.** Отправьте эхо-запрос с компьютера PC0 в локальной сети маршрутизатора R0 на компьютер PC2 в локальной сети конференц-зала маршрутизатора R2. ![](https://i.imgur.com/3uvp7wn.png) Рисунок 3 - Команда ping с компьютера PC0 на компьютер PC2 **c.** Отправьте эхо-запрос с компьютера PC0 в локальной сети маршрутизатора R0 на компьютер PC1 во внутренней локальной сети маршрутизатора R2. ![](https://i.imgur.com/a7D4W8u.png) Рисунок 4 - Команда ping с компьютера PC0 на компьютер PC1 **Шаг 2: Отобразите текущие конфигурации маршрутизатора R2.** **a.** Введите команду **show ip interface brief** на маршрутизаторе R2 и убедитесь, что назначены корректные IP-адреса. Для проверки используйте таблицу IP-адресов. ![](https://i.imgur.com/f4wnCXH.png) Рисунок 5 - Когфигурация маршрутизатора R2 **b.** Введите команду **show ip route** на маршрутизаторе R2 и убедитесь, что у него есть статический маршрут по умолчанию, указывающий на последовательный интерфейс 0/0/1 маршрутизатора R1. ![](https://i.imgur.com/vvj7DNw.png) Рисунок 6 - Когфигурация маршрутизатора R2 **c.** Введите команду **show run** для проверки текущей базовой конфигурации маршрутизатора R2. ![](https://i.imgur.com/O2Eyg1r.png) Рисунок 7 - Когфигурация маршрутизатора R2 **Задача 2: Создание зонального межсетевого экрана** **Шаг 1: Создайте зоны безопасности.** **a.** Зоны безопасности создаются в режиме глобальной настройки, и команда позволяет определить имена зон. На маршрутизаторе R2 создайте три зоны с именами INSIDE, CONFROOM и INTERNET: R2(config)# **zone security INSIDE** R2(config)# **zone security CONFROOM** R2(config)# **zone security INTERNET** **Шаг 2: Создайте политики безопасности.** **a.** Создайте карту классов inspect, чтобы разрешать трафик из зоны INSIDE в зону INTERNET. Так как мы доверяем зоне INSIDE, мы разрешаем все основные протоколы. **b.** Аналогичным образом создайте карту классов для выбора разрешенного трафика из зоны CONFROOM в зону INTERNET. Так как мы не полностью доверяем зоне CONFROOM, мы должны ограничить информацию, которую сервер может отправлять в Интернет: ![](https://i.imgur.com/okoFG98.png) Рисунок 8 - Создание карт классов inspect **c.** Теперь, когда карты классов созданы, можно создать карты политик. ![](https://i.imgur.com/X2uIiqG.png) Рисунок 9 - Создание карты политик **Шаг 3: Создайте пары зон.** **a.** Создание пар зон: R3(config)# **zone-pair security INSIDE_TO_INTERNET source INSIDE destination INTERNET** R3(config)# **zone-pair security CONFROOM_TO_INTERNET source CONFROOM destination INTERNET** **b.** Убедитесь, что пары зон были созданы корректно, используя команду **show zone-pair security**. Обратите внимание, что на данный момент с парами зон не ассоциирована ни одна политика. Политики безопасности будут применены к парам зон на следующем шаге. ![](https://i.imgur.com/t8voAoL.png) Рисунок 10 - Пары зон **Шаг 4: Примените политики безопасности.** **a.** На последнем шаге настройки примените карты политик к парам зон: R2(config)# **zone-pair security INSIDE_TO_INTERNET** R2(config-sec-zone-pair)# **service-policy type inspect INSIDE_TO_INTERNET** R2(config)# **zone-pair security CONFROOM_TO_INTERNET** R2(config-sec-zone-pair)# **service-policy type inspect CONFROOM_TO_INTERNET** **b.** Введите команду **show zone-pair security** еще раз, чтобы проверить настройки пар зон. Обратите внимание, что сейчас отображаются сервисные политики: ![](https://i.imgur.com/WZunkry.png) Рисунок 11 - Пары зон с картами политик Чтобы получить больше информации о парах зон, их картах политик, картах классов и счетчиках соответствия, используйте команду **show policy-map type inspect zone-pair**. ![](https://i.imgur.com/ZbPrIbP.png) Рисунок 12 - Пары зон **Шаг 5: Назначьте интерфейсы соответствующим зонам безопасности.** Интерфейсы (физические и логические) назначаются зонам безопасности с помощью команды интерфейса zone-member security. **a.** Назначьте интерфейс f0/0 маршрутизатора R2 зоне безопасности CONFROOM: R2(config)# **interface f0/0** R2(config-if)# **zone-member security CONFROOM** **b.** Назначьте интерфейс f0/1 маршрутизатора R2 зоне безопасности INSIDE: R2(config)# **interface f0/1** R2(config-if)# **zone-member security INSIDE** **c.** Назначьте интерфейс f1/0 маршрутизатора R2 зоне безопасности INTERNET: R2(config)# **interface f1/0** R2(config-if)# **zone-member security INTERNET** **Шаг 6: Проверьте назначение зон.** **a.** Введите команду **show zone security** и убедитесь, что зоны корректно созданы, а интерфейсы корректно назначены. ![](https://i.imgur.com/6xXTjiR.png) Рисунок 13 - Сопоставление зон и интерфейсов **b.** Несмотря на то что команды для создания зоны self (собственной) не вводились, она все равно присутствует в выходных данных выше. Почему маршрутизатор R2 отображает зону с именем self? Каково значение этой зоны? self - это зона по умолчанию для каждого маршрутизатора, в которой находится только сам маршрутизатор. Данная зона предназначена для управлением трафиком предназначенным непосредственно маршрутизатору или трафику создаваемому им самим. **Часть 3: Проверка ZPF** **Шаг 1: Трафик, сгенерированный в Интернете** **a.** Для проверки эффективности межсетевого экрана отправьте эхо-запрос на компьютер PC1 с PC0. ![](https://i.imgur.com/Xd7niPa.png) Рисунок 14 - Результат команды ping на компьютер PC1 с PC0 Запрос не дошёл до PC1, так как PC0 находится в зоне Интернета, а PC1 нет. **b.** Отправьте эхо-запрос на компьютер PC2 с компьютера PC0. ![](https://i.imgur.com/5eeSuxk.png) Рисунок 15 - Результат команды ping на компьютер PC2 с PC0 Запрос не дошёл до PC2, так как PC0 находится в зоне Интернета, а PC3 нет. **c.** Отправьте эхо-запрос на компьютер PC0 с компьютера PC1. ![](https://i.imgur.com/56xkYji.png) Рисунок 16 - Результат команды ping на компьютер PC1 с PC0 Запрос дошёл до PC0 с PC1, так как отправка ICMP трафика разрешена с зоны, в которой находится PC1. **d.** Отправьте эхо-запрос на компьютер PC0 с компьютера PC2. ![](https://i.imgur.com/MSYzcod.png) Рисунок 17 - Результат команды ping на компьютер PC2 с PC0 Запрос не дошёл до PC0 с PC2, так как отправка ICMP трафика не разрешена с зоны, в которой находится PC2. **Шаг 2: Проверьте собственную зону.** **a.** Отправьте с компьютера PC0 эхо-запрос на интерфейс f0/1 маршрутизатора R2. ![](https://i.imgur.com/QHepXyU.png) Рисунок 18 - Результат команды ping на интерфейс f0/1 маршрутизатора R2 с PC0 Как мы видим, запрос дошёл до интерфейса f0/1 маршрутизатора R2 с PC0, так как данный интерфейс относится к self зоне маршрутизатора, на которую не установленно никаких ограничений. **b.** Отправьте с компьютера PC2 эхо-запрос на интерфейс f0/1 маршрутизатора R2. ![](https://i.imgur.com/zzVW6Q0.png) Рисунок 19 - Результат команды ping на интерфейс f0/1 маршрутизатора R2 с PC2 Как мы видим, запрос дошёл до интерфейса f0/1 маршрутизатора R2 с PC2, так как данный интерфейс относится к self зоне маршрутизатора, на которую не установленно никаких ограничений. **Вывод:** в ходе лабораторной работы была изучена настройка зональных межсетевых экранов.