>[оверквотинг удален] >>к одному и недоверенным по отношению к другому сегменту. >>Почитайте http://www.ciscolab.ru/security/153-pix_securitylevls.html все коротко, ясно и по-русски. > >Как раз это то я и читалс уже. Все просто да непонятно, >можно ли сделать так чтобы сегмент за одним интерфейсом был недоступен >для пары других интерфейсов, которые между собой имели точно такой же >уровни безопасности - 0 и 100, либо придется один из них >делать DMZ. Но у DMZ как я понял др. идеология и >назначение. >Поэтому и зинтересовала функция виртуальных FW Security level 0 и 100 зарезервированы за интерфейсами inside и outside, это унаследовано от пиксов. вам же никто не мешает вообще их не использовать.Например создаете две пары интерфейсов - inside1, outside1 и inside2 и outside2 с Security level на обоих inside-ах 99, outside-ах 1. Названия интерфейсов никак не влияют на то, каким образом будет обрабатываться трафик, называйте их хоть siska и piska. а затем списками доступа запрещаете ненужный трафик, например с inside1 на outside2 и с inside2 на outside1.При данной схеме городить security контексты имеет смысл, только если у вас должно быть два разных маршрута по умолчанию например для трафика с inside1 дефолт смотрит на outside1, а с inside2 на outside2. Насколько я понял вашу задачу, тут можно обойтись статическим либо динамическим роутингом, использование Security Context излишне.
|