В заводской конфигурации vESR разрешен удаленный доступ к маршрутизатору по протоколам Telnet или SSH из зоны «trusted». Для того чтобы разрешить удаленный доступ к маршрутизатору из других зон, например, из публичной сети, необходимо создать соответствующие правила в firewall.
Топология:
Задача:
Разрешить удалённый доступ посредством SSH с rtr1 и rtr2 на isp
Решение:
При конфигурировании доступа к маршрутизатору правила создаются для пары зон:
source-zone – зона, из которой будет осуществляться удаленный доступ, в нашем случае это зона trusted;
self – зона, в которой находится интерфейс управления маршрутизатором.
Для создания разрешающего правила используются следующие команды:
esr# configure
esr(config)# security zone-pair <source-zone> self
esr(config-zone-pair)# rule <number>
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address <network object-group>
esr(config-zone-rule)# match destination-address <network object-group>
esr(config-zone-rule)# match source-port any
esr(config-zone-rule)# match destination-port <service object-group>
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
Пример команд для разрешения пользователям из зоны trusted с IP-адресами 209.100.1.100 (rtr1) и 209.100.1.200 (rtr2) подключаться к маршрутизатору с IP-адресом 209.100.1.254 (isp) по протоколу SSH:
configure
object-group COMPANY
ip address-range 209.100.1.100 # IP-адрес rtr1
ip address-range 209.100.1.200 # IP-адрес rtr2
exit
object-group COMPANY_GATEWAY
ip address-range 209.100.1.254 # IP-адрес isp - смотрящий в сторону rtr1 и rtr2
exit
do commit
do show running-config
object-group service ssh
port-range 22
exit
do commit
do show running-config
security zone-pair trusted self
rule 3
action permit
match protocol tcp
match source-address COMPANY
match destination-address COMPANY_GATEWAY
match source-port any
match destination-port ssh
enable
exit
exit
do commit
do show running-config
Проверяем доступ по SSH с rtr1 и rtr2
