Как на Cisco ISR4331-SEC/K9 настроить DMZ

Posted by

Поступила мне задача, нужно для нужд компании настроить DMZ сеть. Вот только я никогда на оборудовании Cisco, да и вообще если честно не настраивал ни, то ни другое. Ну ничего, есть задача и ее нужно решить. Плюс — это бесценный опыт. Как я понял DMZ-сеть это – когда у Вас есть белые IP адреса и вы хотите не сделать проброс порта, а специализированной сети внутри локальной сети назначать эти самые белые адреса. Т.е. вы разворачиваете сервис, как если бы у Вас была куплена VPS, еще точнее, определенный кусок Вашей сети, содержащий общие сервисы, отделенные от корпоративных., к примеру: Web-сайт компании.

Схема следующая:

Главная через 1 порт соединена с коммутатором (L3): Dell на порт 3, а уже за ним хосты Dell PowerEdge R640.

На коммутаторе будет создана виртуальная сеть, т.е. VLAN – которые я уже потом буду назначать на сетевом интерфейсе различных виртуальных машин.

Первым делом нужно попросить Вашего провайдера об услуге покупки необходимого пула IP адресов, у меня к примеру: провайдер на мой внешний IP адрес завернул сеть 190.30.202.98/28 и определил, что мой внешний IP это статический роутер для доступа. Ну как-то так, я пока не силен в правильной терминологии.

Шаг №1: на Cisco ISR4331-SEC/K9

Создаю внутренний Subинтерфейс где буду спускать определенный VLAN на коммутатор ниже:

ekzorchik@srv-trusty:~$ ssh -l admin@WAN_IP_CISCO

Router#conf t

Router (config)#interface GigabitEthernet0/0/1.50

Router (config)# description dmz

Router (config)#encapsulation dot1Q 50

Router (config)# ip address 190.30.202.99 255.255.255.240

Router (config)#do write memory

Т.е. 50 это название VLANа.

Шаг №2:

Связываем Cisco и EMC

srv-wg# configure terminal

interface ethernet1/1/3

 switchport mode trunk

 switchport trunk allowed vlan 40,50

 no shutdown

srv-wg(conf-if-eth1/1/3)# exit

srv-wg(config)# do write memory

Где VLAN 40 (маска подсети: /30 (255.255.255.252) – это определенная сеть, которая через switchport mode trunk связывает Cisco & EMC, так во всех лабораторных связывают одно устройство с другим

Шаг №3:

На коммутаторе Dell EMC S4128T-ON создаем/(Принимаем) VLAN DMZ-сети:

srv-wg(config)# interface vlan50

 no shutdown

 description dmz

Шаг №4:

Назначаю интерфейсам на коммутаторе куда подключены хосты (Сервера) данный VLAN где хочу видеть публичные сервисы, к примеру, если у Вас на хост приходит два сетевых адаптера, то:

interface ethernet1/1/19

 switchport mode trunk

 switchport access vlan 1

 switchport trunk allowed vlan 50,111,112

 no shutdown

exit

interface ethernet1/1/20

 switchport mode trunk

 switchport access vlan 1

 switchport trunk allowed vlan 50,111,112

 no shutdown

exit

Где VLAN 50 – Это VLAN организации DMZ сервиса, когда данный VLAN назначен виртуальной машине, но можно и физической, нужно в настройках хоста прописать адресацию на сетевой интерфейс вида определенного маской подсети купленного пула, т.е. в моем случае это:

  • Address: 190.30.202.100
  • Netmask: 255.255.255.240
  • Gateway: указываю IP адрес внутреннего Sub-интерфейса, т.е. 190.30.202.99
  • А DNS: к примеру 8.8.8.8

Где VLAN 111,112 – это VLAN для различных сервисов

После чего все должно заработать, можно как с Cisco пропинговать данный внешний адрес если не заблокировано брандмауэром на хосте или какими-либо правилами, так и хоста с назначенным IP адресом DMZ пула. Интернет должен работать. Правила доступа из вне настраиваются если в Sub-интерфейс добавить access-list.

Также хочу поблагодарить моего друга за помощь в понимании всего процесса, который объясняет, как настроить и использовать DMZ на Cisco в рабочей среде.

На заметку: Не претендую на совершенство настроенного, я учусь и мне простительно делать ошибки. Если у кого есть замечания, то с радостью выслушаю и если действительно они нужны внесу изменения.

Итого задача выполнена. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.