https://ns.opennet.ru/openforum/vsluhforumID6/2272.html Доброго времени суток!<br>Подскажите пожалуйста, что делаю не так при использовании технологии Stateful Inspection ZBF<br> <br>Вот конфиг роутера (Cisco ISR4331)<br><br>no ip bootp server<br>ip name-server 10.10.11.1<br>ip domain name contoso.com<br>subscriber templating<br>multilink bundle-name authenticated<br>license udi pid ISR4331/K9<br>!<br>vlan internal allocation policy ascending<br>no cdp run<br>!<br>class-map type inspect match-any UserServices<br> match protocol ssh<br> match protocol ftp<br> match protocol smtp<br> match protocol icmp<br>class-map type inspect match-any For-Inet-Access<br> match class-map UserServices<br>!<br>policy-map type inspect Internet-Policy<br> class type inspect For-Inet-Access<br> inspect<br> class class-default<br>!<br>zone security Outside<br>zone security Inside<br>zone-pair security Inside_Outside source Inside destination Outside<br> service-policy type inspect Internet-Policy<br>!<br>interface GigabitEthernet0/0/0<br> description =OUTSIDE=<br> ip address 10.10.11.2 255.255.255.0<br> no ip redirects<br> no ip proxy-arp<br> ip nat outside<br> https://ns.opennet.ru/openforum/vsluhforumID6/2272.html#3 Mon, 12 Mar 2018 06:02:26 GMT &gt;&gt;[оверквотинг удален] <br>&gt; Спасибо!<br>&gt; Вопрос решен.<br>&gt; Гайды читаю время от времени... только, во многих статейках не описывают self-зону <br>&gt; Вопрос к Вам! Как знатоку!<br>&gt; Почему на роутерах ISR4330 не создаются VLAN`ны? можно создать только на саб-интерфейсах? <br><br>Потому, что встроенные порты на ISR являются L3.<br>Поставьте модуль NIM-ES2-4 и получите L2 порты с возможностью организовывать interface VLAN.<br><br>&gt; с ISR роутерами опыта совсем хреновый!<br><br>Найдите в интренете книгу "CCNA Routing an switching 200-215 Official Cert Guide Library" там разжевано отличие портов на роутере и на свитче.<br> https://ns.opennet.ru/openforum/vsluhforumID6/2272.html#2 Mon, 12 Mar 2018 03:55:03 GMT &gt;[оверквотинг удален]<br>&gt; transport output all <br>&gt; line vty 5 15 <br>&gt; access-class vty in vrf-also <br>&gt; exec-timeout 120 0 <br>&gt; logging synchronous <br>&gt; history size 256 <br>&gt; transport input ssh <br>&gt; transport output all <br>&gt; !<br>&gt; [/code] <br><br>Спасибо!<br>Вопрос решен.<br>Гайды читаю время от времени... только, во многих статейках не описывают self-зону<br>Вопрос к Вам! Как знатоку!<br>Почему на роутерах ISR4330 не создаются VLAN`ны? можно создать только на саб-интерфейсах?<br>с ISR роутерами опыта совсем хреновый!<br>Спасибо тебе!<br> https://ns.opennet.ru/openforum/vsluhforumID6/2272.html#1 Wed, 07 Mar 2018 04:41:00 GMT &gt; PORT STATE SERVICE <br>&gt; 22/tcp open ssh <br>&gt; 23/tcp open telnet <br>&gt; 53/tcp open domain <br><br>Это сервисы самого роутера. Сам роутер в зоне self.<br>Соответственно нужно сделать пары для зон Outside и self. Аксес листы - ретроградство.<br>В полиси для пар, где есть зона self нельзя использовать inspect, только pass или drop.<br>По умолчанию между зоной self и любой другой, если не задана пара, траффик пропускается.<br>Гайды читал вообще?<br><br>Но это еще не все.<br>на ip dns server повесь view-list<br><br>[code]<br>ip dns view-list DNS_LIST<br> view default 10<br> restrict source access-group dns_clients<br>ip dns server view-group DNS_LIST<br>ip dns server<br>!<br>ip access-list standart dns_clients<br> permit 192.168.100.0 0.0.0.255<br> permit кого надо<br>!<br>[/code]<br><br>На линиях vty повесь аксес-лист, и выключи нахрен telnet, он вечнодырявый:<br><br>[code]<br>ip access-list extended vty<br> permit 192.168.100.0 0.0.0.255<br> permit кого надо<br>!<br>line vty 0 4<br> access-class vty in vrf-also<br> exec-timeout 120 0<br> logging synchronous<br> history size 256