policy-map type inspect PM-FW-18-TO-19
class type inspect CM-FW-FROM-18-TO-19
inspect
class class-default
drop
policy-map type inspect PM-FW-18-TO-19
class type inspect CM-FW-FROM-19-TO-18
inspect
class class-default
drop
class-map type inspect match-any CM-FW-FROM-18-TO-19
match access-group name ACL-FROM-18-TO-19
class-map type inspect match-any CM-FW-FROM-19-TO-18
match access-group name ACL-FROM-19-TO-18
Alexander:
Получается надо создать две новые зоны, одну из 18 в 19, вторую из 19 в 18. К зонам прикрутить service-policy, к service-policy - policy-map, к policy-map - class-map, к class-map - acl?
class-map type inspect match-any CM-FW-*-89-109-244-18
match access-group name ACL-*-89-109-244-18-IN
match access-group name ACL-*-89-109-244-18-OUT
class-map type inspect match-any CM-FW-*-89-109-244-19
match access-group name ACL-*-89-109-244-19-IN
match access-group name ACL-*-89-109-244-19-OUT
class-map match-any CM-*-89-109-244-18-CIR
match access-group name ACL-*-89-109-244-18-IN
match access-group name ACL-*-89-109-244-18-OUT
class-map match-any CM-*-89-109-244-19-CIR
match access-group name ACL-*-89-109-244-19-IN
match access-group name ACL-*-89-109-244-19-OUT
!
policy-map type inspect PM-FW-*-89-109-244-19
class type inspect CM-FW-*-89-109-244-19
pass
class class-default
drop
policy-map type inspect PM-FW-*-89-109-244-18
class type inspect CM-FW-*-89-109-244-18
pass
class class-default
drop
policy-map PM-*-89-109-244-19-CIR
class CM-*-89-109-244-19-CIR
police 4300000 conform-action transmit exceed-action drop
policy-map PM-*-89-109-244-18-CIR
class CM-*-89-109-244-18-CIR
police 4300000 conform-action transmit exceed-action drop
!
zone security INSIDE-*-89-109-244-18
zone security INSIDE-*-89-109-244-19
zone-pair security INSIDE-*-89-109-244-18-OUTSIDE source INSIDE-*-89-109-244-18 destination OUTSIDE
service-policy type inspect PM-FW-*-89-109-244-18
zone-pair security OUTSIDE-INSIDE-*-89-109-244-18 source OUTSIDE destination INSIDE-*-89-109-244-18
service-policy type inspect PM-FW-*-89-109-244-18
zone-pair security INSIDE-*-89-109-244-19-OUTSIDE source INSIDE-*-89-109-244-19 destination OUTSIDE
service-policy type inspect PM-FW-*-89-109-244-19
zone-pair security OUTSIDE-INSIDE-*-89-109-244-19 source OUTSIDE destination INSIDE-*-89-109-244-19
service-policy type inspect PM-FW-*-89-109-244-19
!
interface Loopback7
ip address 89.109.244.17 255.255.255.248
no ip redirects
!
interface GigabitEthernet0/0.718
description ###*-89-109-244-18###
encapsulation dot1Q 718
ip unnumbered Loopback7
no ip proxy-arp
zone-member security INSIDE-*-89-109-244-18
service-policy input PM-*-89-109-244-18-CIR
service-policy output PM-*-89-109-244-18-CIR
!
interface GigabitEthernet0/0.719
description ###*-89-109-244-19###
encapsulation dot1Q 719
ip unnumbered Loopback7
no ip proxy-arp
zone-member security INSIDE-*-89-109-244-19
service-policy input PM-*-89-109-244-19-CIR
service-policy output PM-*-89-109-244-19-CIR
!
ip route 89.109.244.18 255.255.255.255 GigabitEthernet0/0.718
ip route 89.109.244.19 255.255.255.255 GigabitEthernet0/0.719
!
ip access-list extended ACL-*-89-109-244-18-IN
permit ip any host 89.109.244.18
ip access-list extended ACL-*-89-109-244-18-OUT
permit ip host 89.109.244.18 any
ip access-list extended ACL-*-89-109-244-19-IN
permit ip any host 89.109.244.19
ip access-list extended ACL-*-89-109-244-19-OUT
permit ip host 89.109.244.19 any
На конечных коммутаторах прописано
switchport mode access
switchport access vlan 718
и
switchport mode access
switchport access vlan 719
Маршрутизатор-ядро (стек из трех коммутаторов)-много конечных коммутаторов. Клиенту выделяется порт на конечном коммутаторе. Для него делаю отдельный vlan. Прописываю его на порту, ядре. Доступ в интернет работает, прикручиваю к vlan внешний адрес, который выбрал пользователь, снаружи все что идет на 89.109.244.18 транслируется на маршрутизатор пользователя, дальше его пробросы. Пользователь недавно заказал новый внешний адрес в другом помещении. Для него сделал, новый vlan и к нему прикрутил новый внешний адрес. Внутри сети, пользователь с 89.109.244.18 хочет попасть на 89.109.244.19 ничего не выходит.
service-policy type inspect PM-FW-18-TO-19
zone-pair security FROM-18-TO-19 source INSIDE-19 destination INSIDE-18
service-policy type inspect PM-FW-19-TO-18