配置IPv6用户通过虚拟系统访问Internet

配置IPv6用户通过虚拟系统访问Internet

介绍如何配置基于IPv6转发的虚拟系统。

组网需求

图1所示,某大型企业园区的区域A中部署了IPv6网络,用一台FW作为接入网关。根据权限不同,区域A内部网络划分为研发部门和非研发部门,且这两个部门的网络访问权限不同,具体需求如下:

  • 研发部门只有部分员工可以访问Internet,非研发部门的全部员工都可以访问Internet。
  • 研发部门和非研发部门之间相互隔离,不能互访。
  • 研发部门和非研发部门的业务量差不多,所以为它们分配相同的虚拟系统资源。
图1 配置IPv6虚拟系统组网图

数据规划

项目

数据

说明

vsysa

  • 虚拟系统名:vsysa
  • 公网接口:GE1/0/1
  • 公网接口IP地址:1::1/64
  • 公网接口所属安全区域:untrust
  • 私网接口:GE1/0/3
  • 私网接口IP地址:3::1/64
  • 私网地址范围:3::/64
  • 私网接口所属安全区域:trust
  • 允许访问Internet的地址范围:3::2~3::200

-

vsysb

  • 虚拟系统名:vsysb
  • 公网接口:GE1/0/2
  • 公网接口IP地址:2::1/64
  • 公网接口所属安全区域:untrust
  • 私网接口:GE1/0/4
  • 私网接口IP地址:4::1/64
  • 私网地址范围:4::/64
  • 私网接口所属安全区域:trust

-

资源类

  • 名称:r1
  • 会话保证值:10000
  • 会话最大值:50000
  • 用户数:300
  • 用户组:10
  • 策略数:300
  • 出方向保证带宽:20M

-

配置思路

  1. 根系统管理员分别创建虚拟系统vsysa、vsysb并为每个虚拟系统分配资源。
  2. 根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略。
  3. 根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略。

操作步骤

  1. 根系统管理员分别创建虚拟系统vsysa和vsysb,并为其分配资源。

    # 使用根系统管理员账号登录FW

    # 开启虚拟系统功能。

    <FW> system-view
    [FW] vsys enable

    # 配置资源类。

    [FW] resource-class r1
    [FW-resource-class-r1] resource-item-limit ipv6 session reserved-number 10000 maximum 50000
    [FW-resource-class-r1] resource-item-limit policy reserved-number 300
    [FW-resource-class-r1] resource-item-limit user reserved-number 300
    [FW-resource-class-r1] resource-item-limit user-group reserved-number 10
    [FW-resource-class-r1] resource-item-limit bandwidth 20 outbound
    [FW-resource-class-r1] quit

    # 创建虚拟系统并分配资源。

    [FW] vsys name vsysa
    [FW-vsys-vsysa] assign resource-class r1
    [FW-vsys-vsysa] assign interface GigabitEthernet 1/0/1
    [FW-vsys-vsysa] assign interface GigabitEthernet 1/0/3
    [FW-vsys-vsysa] quit
    [FW] vsys name vsysb
    [FW-vsys-vsysb] assign resource-class r1
    [FW-vsys-vsysb] assign interface GigabitEthernet 1/0/2
    [FW-vsys-vsysb] assign interface GigabitEthernet 1/0/4
    [FW-vsys-vsysb] quit
  2. 根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略。

    # 根系统管理员启用IPv6。

    [FW] ipv6

    # 根系统管理员为虚拟系统vsysa配置接口IP地址。

    [FW] interface GigabitEthernet 1/0/1
    [FW-GigabitEthernet1/0/1] set public-interface
    [FW-GigabitEthernet1/0/1] ipv6 enable
    [FW-GigabitEthernet1/0/1] ipv6 address 1::1 64
    [FW-GigabitEthernet1/0/1] quit
    [FW] interface GigabitEthernet 1/0/3
    [FW-GigabitEthernet1/0/3] ipv6 enable
    [FW-GigabitEthernet1/0/3] ipv6 address 3::1 64
    [FW-GigabitEthernet1/0/3] quit

    # 根系统管理员为虚拟系统vsysa配置缺省路由。

    [FW] ipv6 route-static vpn-instance vsysa :: 0 1::2

    # 根系统管理员将vsysa的接口加入安全区域。

    [FW] switch vsys vsysa
    <FW-vsysa> system-view
    [FW-vsysa] firewall zone trust
    [FW-vsysa-zone-trust] add interface GigabitEthernet 1/0/3
    [FW-vsysa-zone-trust] quit
    [FW-vsysa] firewall zone untrust
    [FW-vsysa-zone-untrust] add interface GigabitEthernet 1/0/1
    [FW-vsysa-zone-untrust] quit

    # 根系统管理员为虚拟系统vsysa配置地址组。

    [FW-vsysa] ip address-set ipaddress1 type object
    [FW-vsysa-object-address-set-ipaddress1] address range 3::2 3::200
    [FW-vsysa-object-address-set-ipaddress1] quit

    # 根系统管理员为虚拟系统vsysa配置安全策略,这条安全策略的作用是允许特定网段的研发员工访问Internet。其他网段的员工访问Internet时,报文会匹配到default安全策略,被deny掉。

    [FW-vsysa] security-policy                 
    [FW-vsysa-policy-security] rule name to_internet            
    [FW-vsysa-policy-security-rule-to_internet] source-zone trust
    [FW-vsysa-policy-security-rule-to_internet] destination-zone untrust 
    [FW-vsysa-policy-security-rule-to_internet] source-address address-set ipaddress1
    [FW-vsysa-policy-security-rule-to_internet] action permit          
    [FW-vsysa-policy-security-rule-to_internet] quit
  3. 根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略。

    具体配置过程与研发部门类似,主要有以下几点区别。

    • 接口的IP地址不同。
    • vsysb的公共接口配置为GE1/0/2
    • 非研发部门无需创建地址范围,直接配置一条允许所有地址范围访问Internet的安全策略即可。

结果验证

  1. 在根系统下,查看虚拟系统的路由表。
    <sysname> display ipv6 routing-table vpn-instance vsysa
    Routing Table : vsysa
    	Destinations : 6	Routes : 6
    
     Destination  : ::                              PrefixLength : 0
     NextHop      : 1::2                            Preference   : 60
     Cost         : 0                               Protocol     : Static
     RelayNextHop : ::                              TunnelID     : 0x0
     Interface    : GigabitEthernet1/0/1            Flags        : RD
    
     Destination  : 1::                             PrefixLength : 64
     NextHop      : 1::1                            Preference   : 0
     Cost         : 0                               Protocol     : Direct
     RelayNextHop : ::                              TunnelID     : 0x0
     Interface    : GigabitEthernet1/0/1            Flags        : D
    
     Destination  : 1::1                            PrefixLength : 128
     NextHop      : ::1                             Preference   : 0
     Cost         : 0                               Protocol     : Direct
     RelayNextHop : ::                              TunnelID     : 0x0
     Interface    : GigabitEthernet1/0/1            Flags        : D
    
     Destination  : 3::                             PrefixLength : 64
     NextHop      : 3::1                            Preference   : 0
     Cost         : 0                               Protocol     : Direct
     RelayNextHop : ::                              TunnelID     : 0x0
     Interface    : GigabitEthernet1/0/3            Flags        : D
    
     Destination  : 3::1                            PrefixLength : 128
     NextHop      : ::1                             Preference   : 0
     Cost         : 0                               Protocol     : Direct
     RelayNextHop : ::                              TunnelID     : 0x0
     Interface    : GigabitEthernet1/0/3            Flags        : D
    
     Destination  : FE80::                          PrefixLength : 10
     NextHop      : ::                              Preference   : 0
     Cost         : 0                               Protocol     : Direct
     RelayNextHop : ::                              TunnelID     : 0x0
     Interface    : NULL0                           Flags        : D
  2. 从私网的PC上Ping公网的IP地址,可以Ping通。在FW上可以查看到对应的会话表项。
    <sysname> display firewall ipv6 session table verbose vsys vsysa
     Current Total IPv6 Sessions : 1
     icmpv6  VPN: vsysa --> vsysa  ID: a48f339ec631029a3570522b3
     Zone: trust --> untrust TTL: 00:00:45  Left: 00:00:45
     Interface: GigabitEthernet1/0/1 NextHop: 1::2 MAC: 643e-8c48-f14c
     <--packets: 18 bytes: 1,872 --> packets: 18 bytes: 1,872
     3::2.43990 --> 5::5.2048 PolicyName: to_internet

配置脚本

根系统的配置脚本

#
sysname FW
# 
ipv6
#
vsys enable 
#
resource-class r1    
 resource-item-limit ipv6 session reserved-number 10000 maximum 50000
 resource-item-limit policy reserved-number 300      
 resource-item-limit user reserved-number 300     
 resource-item-limit bandwidth 20 outbound
 resource-item-limit user-group reserved-number 10
# 
vsys name vsysa 1    
 assign resource-class r1      
 assign interface GigabitEthernet1/0/1
 assign interface GigabitEthernet1/0/3 
#                    
vsys name vsysb 2    
 assign resource-class r1        
 assign interface GigabitEthernet1/0/2
 assign interface GigabitEthernet1/0/4
#
interface GigabitEthernet1/0/1
 set public-interface
 ip binding vpn-instance vsysa
 ipv6 enable
 ipv6 address 1::1 64
#
interface GigabitEthernet1/0/2
 set public-interface
 ip binding vpn-instance vsysb
 ipv6 enable
 ipv6 address 2::1 64
# 
interface GigabitEthernet1/0/3
 ip binding vpn-instance vsysa
 ipv6 enable
 ipv6 address 3::1 64
# 
interface GigabitEthernet1/0/4
 ip binding vpn-instance vsysb
 ipv6 enable
 ipv6 address 4::1 64
#  
ipv6 route-static vpn-instance vsysa :: 0 1::2
ipv6 route-static vpn-instance vsysb :: 0 2::2
#  
return

虚拟系统vsysa的配置脚本

#                    
firewall zone trust  
 set priority 85     
 add interface GigabitEthernet1/0/3
#                    
firewall zone untrust
 set priority 5      
 add interface GigabitEthernet1/0/1
#
ip address-set ipaddress1 type object 
 address 0 range 3::2 3::200   
#                    
security-policy      
 rule name to_internet
  source-zone trust  
  destination-zone untrust
  source-address address-set ipaddress1 
  action permit      
#    
return

虚拟系统vsysb的配置脚本

#                    
firewall zone trust  
 set priority 85     
 add interface GigabitEthernet1/0/4
#                    
firewall zone untrust
 set priority 5      
 add interface GigabitEthernet1/0/2
#                    
security-policy      
 rule name to_internet
  source-zone trust  
  destination-zone untrust
  action permit
#    
return

版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2167.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
打赏
海报
配置IPv6用户通过虚拟系统访问Internet
配置IPv6用户通过虚拟系统访问Internet 介绍如何配置基于IPv6转发的虚拟系统。 组网需求 如图1所示,某大型企业园区的区域A中部署了IPv6网络,用一台FW作为……
<<上一篇
下一篇>>