Поступила мне задача, нужно для нужд компании настроить DMZ сеть. Вот только я никогда на оборудовании Cisco, да и вообще если честно не настраивал ни, то ни другое. Ну ничего, есть задача и ее нужно решить. Плюс – это бесценный опыт. Как я понял DMZ-сеть это – когда у Вас есть белые IP адреса и вы хотите не сделать проброс порта, а специализированной сети внутри локальной сети назначать эти самые белые адреса. Т.е. вы разворачиваете сервис, как если бы у Вас была куплена VPS, еще точнее, определенный кусок Вашей сети, содержащий общие сервисы, отделенные от корпоративных., к примеру: Web-сайт компании.
Схема следующая:
Главная Cisco ISR4331-SEC/K9 через 1 порт соединена с коммутатором (L3): Dell EMC S4128T-ON на порт 3, а уже за ним хосты Dell PowerEdge R640.
На коммутаторе будет создана виртуальная сеть, т.е. VLAN – которые я уже потом буду назначать на сетевом интерфейсе различных виртуальных машин.
Первым делом нужно попросить Вашего провайдера об услуге покупки необходимого пула IP адресов, у меня к примеру: провайдер на мой внешний IP адрес завернул сеть 190.30.202.98/28 и определил, что мой внешний IP это статический роутер для доступа. Ну как-то так, я пока не силен в правильной терминологии.
Шаг №1: на Cisco ISR4331-SEC/K9
Создаю внутренний Sub–интерфейс где буду спускать определенный VLAN на коммутатор ниже:
ekzorchik@srv-trusty:~$ ssh -l admin@WAN_IP_CISCO
Router#conf t
Router (config)#interface GigabitEthernet0/0/1.50
Router (config)# description dmz
Router (config)#encapsulation dot1Q 50
Router (config)# ip address 190.30.202.99 255.255.255.240
Router (config)#do write memory
Т.е. 50 это название VLANа.
Шаг №2:
Связываем Cisco и EMC
srv-wg# configure terminal
interface ethernet1/1/3
switchport mode trunk
switchport trunk allowed vlan 40,50
no shutdown
srv-wg(conf-if-eth1/1/3)# exit
srv-wg(config)# do write memory
Где VLAN 40 (маска подсети: /30 (255.255.255.252) – это определенная сеть, которая через switchport mode trunk связывает Cisco & EMC, так во всех лабораторных связывают одно устройство с другим
Шаг №3:
На коммутаторе Dell EMC S4128T-ON создаем/(Принимаем) VLAN DMZ-сети:
srv-wg(config)# interface vlan50
no shutdown
description dmz
Шаг №4:
Назначаю интерфейсам на коммутаторе куда подключены хосты (Сервера) данный VLAN где хочу видеть публичные сервисы, к примеру, если у Вас на хост приходит два сетевых адаптера, то:
interface ethernet1/1/19
switchport mode trunk
switchport access vlan 1
switchport trunk allowed vlan 50,111,112
no shutdown
exit
interface ethernet1/1/20
switchport mode trunk
switchport access vlan 1
switchport trunk allowed vlan 50,111,112
no shutdown
exit
Где VLAN 50 – Это VLAN организации DMZ сервиса, когда данный VLAN назначен виртуальной машине, но можно и физической, нужно в настройках хоста прописать адресацию на сетевой интерфейс вида определенного маской подсети купленного пула, т.е. в моем случае это:
- Address: 190.30.202.100
- Netmask: 255.255.255.240
- Gateway: указываю IP адрес внутреннего Sub-интерфейса, т.е. 190.30.202.99
- А DNS: к примеру 8.8.8.8
Где VLAN 111,112 – это VLAN для различных сервисов
После чего все должно заработать, можно как с Cisco пропинговать данный внешний адрес если не заблокировано брандмауэром на хосте или какими-либо правилами, так и хоста с назначенным IP адресом DMZ пула. Интернет должен работать. Правила доступа из вне настраиваются если в Sub-интерфейс добавить access-list.
Также хочу поблагодарить моего друга за помощь в понимании всего процесса, который объясняет, как настроить и использовать DMZ на Cisco в рабочей среде.
На заметку: Не претендую на совершенство настроенного, я учусь и мне простительно делать ошибки. Если у кого есть замечания, то с радостью выслушаю и если действительно они нужны внесу изменения.
Итого задача выполнена. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.