- Создаем зоны безопасности
Создадим зону безопасности «trusted» и установим принадлежность интерфейса gi (интерфейс который смотрит в LAN)1/
security zone trusted
exit
interface gi1/0/2 (интерфейс который смотрит в LAN)
security-zone trusted
exit
Создадим зону безопасности «untrusted» и установим принадлежность интерфейса gi (интерфейс который смотрит на ISP )
security zone untrusted
exit
interface gi1/0/1 (интерфейс который смотрит на ISP)
security-zone untrusted
exit
do commit
do confirm
Для конфигурирования SNAT и настройки правил зон безопасности потребуется создать профиль адресов сети «LAN», включающий адреса, которым разрешен выход в публичную сеть, и профиль адреса публичной сети «WAN».
object-group network LAN
ip address-range 10.0.10.1-10.0.10.254 # IP-адреса левой подсети
(ip address-range 10.0.20.1-10.0.20.254 # IP-адреса правой подсети) – прописываются на RTR-BR
exit
object-group network WAN
ip address-range 192.168.100.2 # IP-адрес RTR-HQ — смотрящий на ISP
exit
do commit
do confirm
Для пропуска трафика из зоны trusted в зону untrusted создадим пару зон и добавим правила, разрешающие проходить трафику в этом направлении. Дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов LAN для соблюдения ограничения на выход в публичную сеть. Действие правил разрешается командой enable:
security zone-pair trusted untrusted
rule 1
match source-address LAN
action permit
enable
exit
exit
do commit
do confirm
nat sourсe
pool WAN
ip address-range 192.168.100.2 # IP-адрес смотрящий на ISP
exit
Создаём набор правил SNAT. В атрибутах набора укажем, что правила применяются только для пакетов, направляющихся в публичную сеть – в зону untrusted. Правила включают проверку адреса источника данных на принадлежность к пулу LAN
ruleset SNAT
to zone untrusted
rule 1
match source-address LAN
action source-nat pool WAN
enable
exit
exit
do commit
do confirm
Аналогично настраиваем на RTR-BR