配置IPv6用户通过虚拟系统访问Internet
配置IPv6用户通过虚拟系统访问Internet
介绍如何配置基于IPv6转发的虚拟系统。
组网需求
如图1所示,某大型企业园区的区域A中部署了IPv6网络,用一台FW作为接入网关。根据权限不同,区域A内部网络划分为研发部门和非研发部门,且这两个部门的网络访问权限不同,具体需求如下:
- 研发部门只有部分员工可以访问Internet,非研发部门的全部员工都可以访问Internet。
- 研发部门和非研发部门之间相互隔离,不能互访。
- 研发部门和非研发部门的业务量差不多,所以为它们分配相同的虚拟系统资源。
数据规划
|
项目 |
数据 |
说明 |
|---|---|---|
|
vsysa |
|
- |
|
vsysb |
|
- |
|
资源类 |
|
- |
配置思路
- 根系统管理员分别创建虚拟系统vsysa、vsysb并为每个虚拟系统分配资源。
- 根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略。
- 根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略。
操作步骤
- 根系统管理员分别创建虚拟系统vsysa和vsysb,并为其分配资源。
# 使用根系统管理员账号登录FW。
# 开启虚拟系统功能。
<FW> system-view [FW] vsys enable
# 配置资源类。
[FW] resource-class r1 [FW-resource-class-r1] resource-item-limit ipv6 session reserved-number 10000 maximum 50000 [FW-resource-class-r1] resource-item-limit policy reserved-number 300 [FW-resource-class-r1] resource-item-limit user reserved-number 300 [FW-resource-class-r1] resource-item-limit user-group reserved-number 10 [FW-resource-class-r1] resource-item-limit bandwidth 20 outbound [FW-resource-class-r1] quit
# 创建虚拟系统并分配资源。
[FW] vsys name vsysa [FW-vsys-vsysa] assign resource-class r1 [FW-vsys-vsysa] assign interface GigabitEthernet 1/0/1 [FW-vsys-vsysa] assign interface GigabitEthernet 1/0/3 [FW-vsys-vsysa] quit [FW] vsys name vsysb [FW-vsys-vsysb] assign resource-class r1 [FW-vsys-vsysb] assign interface GigabitEthernet 1/0/2 [FW-vsys-vsysb] assign interface GigabitEthernet 1/0/4 [FW-vsys-vsysb] quit
- 根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略。
# 根系统管理员启用IPv6。
[FW] ipv6# 根系统管理员为虚拟系统vsysa配置接口IP地址。
[FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] set public-interface [FW-GigabitEthernet1/0/1] ipv6 enable [FW-GigabitEthernet1/0/1] ipv6 address 1::1 64 [FW-GigabitEthernet1/0/1] quit [FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] ipv6 enable [FW-GigabitEthernet1/0/3] ipv6 address 3::1 64 [FW-GigabitEthernet1/0/3] quit
# 根系统管理员为虚拟系统vsysa配置缺省路由。
[FW] ipv6 route-static vpn-instance vsysa :: 0 1::2# 根系统管理员将vsysa的接口加入安全区域。
[FW] switch vsys vsysa <FW-vsysa> system-view [FW-vsysa] firewall zone trust [FW-vsysa-zone-trust] add interface GigabitEthernet 1/0/3 [FW-vsysa-zone-trust] quit [FW-vsysa] firewall zone untrust [FW-vsysa-zone-untrust] add interface GigabitEthernet 1/0/1 [FW-vsysa-zone-untrust] quit
# 根系统管理员为虚拟系统vsysa配置地址组。
[FW-vsysa] ip address-set ipaddress1 type object [FW-vsysa-object-address-set-ipaddress1] address range 3::2 3::200 [FW-vsysa-object-address-set-ipaddress1] quit
# 根系统管理员为虚拟系统vsysa配置安全策略,这条安全策略的作用是允许特定网段的研发员工访问Internet。其他网段的员工访问Internet时,报文会匹配到default安全策略,被deny掉。
[FW-vsysa] security-policy [FW-vsysa-policy-security] rule name to_internet [FW-vsysa-policy-security-rule-to_internet] source-zone trust [FW-vsysa-policy-security-rule-to_internet] destination-zone untrust [FW-vsysa-policy-security-rule-to_internet] source-address address-set ipaddress1 [FW-vsysa-policy-security-rule-to_internet] action permit [FW-vsysa-policy-security-rule-to_internet] quit
- 根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略。
具体配置过程与研发部门类似,主要有以下几点区别。
- 接口的IP地址不同。
- vsysb的公共接口配置为GE1/0/2。
- 非研发部门无需创建地址范围,直接配置一条允许所有地址范围访问Internet的安全策略即可。
结果验证
- 在根系统下,查看虚拟系统的路由表。
<sysname> display ipv6 routing-table vpn-instance vsysa Routing Table : vsysa Destinations : 6 Routes : 6 Destination : :: PrefixLength : 0 NextHop : 1::2 Preference : 60 Cost : 0 Protocol : Static RelayNextHop : :: TunnelID : 0x0 Interface : GigabitEthernet1/0/1 Flags : RD Destination : 1:: PrefixLength : 64 NextHop : 1::1 Preference : 0 Cost : 0 Protocol : Direct RelayNextHop : :: TunnelID : 0x0 Interface : GigabitEthernet1/0/1 Flags : D Destination : 1::1 PrefixLength : 128 NextHop : ::1 Preference : 0 Cost : 0 Protocol : Direct RelayNextHop : :: TunnelID : 0x0 Interface : GigabitEthernet1/0/1 Flags : D Destination : 3:: PrefixLength : 64 NextHop : 3::1 Preference : 0 Cost : 0 Protocol : Direct RelayNextHop : :: TunnelID : 0x0 Interface : GigabitEthernet1/0/3 Flags : D Destination : 3::1 PrefixLength : 128 NextHop : ::1 Preference : 0 Cost : 0 Protocol : Direct RelayNextHop : :: TunnelID : 0x0 Interface : GigabitEthernet1/0/3 Flags : D Destination : FE80:: PrefixLength : 10 NextHop : :: Preference : 0 Cost : 0 Protocol : Direct RelayNextHop : :: TunnelID : 0x0 Interface : NULL0 Flags : D
- 从私网的PC上Ping公网的IP地址,可以Ping通。在FW上可以查看到对应的会话表项。
<sysname> display firewall ipv6 session table verbose vsys vsysa Current Total IPv6 Sessions : 1 icmpv6 VPN: vsysa --> vsysa ID: a48f339ec631029a3570522b3 Zone: trust --> untrust TTL: 00:00:45 Left: 00:00:45 Interface: GigabitEthernet1/0/1 NextHop: 1::2 MAC: 643e-8c48-f14c <--packets: 18 bytes: 1,872 --> packets: 18 bytes: 1,872 3::2.43990 --> 5::5.2048 PolicyName: to_internet
配置脚本
根系统的配置脚本
# sysname FW # ipv6 # vsys enable # resource-class r1 resource-item-limit ipv6 session reserved-number 10000 maximum 50000 resource-item-limit policy reserved-number 300 resource-item-limit user reserved-number 300 resource-item-limit bandwidth 20 outbound resource-item-limit user-group reserved-number 10 # vsys name vsysa 1 assign resource-class r1 assign interface GigabitEthernet1/0/1 assign interface GigabitEthernet1/0/3 # vsys name vsysb 2 assign resource-class r1 assign interface GigabitEthernet1/0/2 assign interface GigabitEthernet1/0/4 # interface GigabitEthernet1/0/1 set public-interface ip binding vpn-instance vsysa ipv6 enable ipv6 address 1::1 64 # interface GigabitEthernet1/0/2 set public-interface ip binding vpn-instance vsysb ipv6 enable ipv6 address 2::1 64 # interface GigabitEthernet1/0/3 ip binding vpn-instance vsysa ipv6 enable ipv6 address 3::1 64 # interface GigabitEthernet1/0/4 ip binding vpn-instance vsysb ipv6 enable ipv6 address 4::1 64 # ipv6 route-static vpn-instance vsysa :: 0 1::2 ipv6 route-static vpn-instance vsysb :: 0 2::2 # return
虚拟系统vsysa的配置脚本
# firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # ip address-set ipaddress1 type object address 0 range 3::2 3::200 # security-policy rule name to_internet source-zone trust destination-zone untrust source-address address-set ipaddress1 action permit # return
虚拟系统vsysb的配置脚本
# firewall zone trust set priority 85 add interface GigabitEthernet1/0/4 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2 # security-policy rule name to_internet source-zone trust destination-zone untrust action permit # return
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2167.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
THE END
0
打赏
海报
配置IPv6用户通过虚拟系统访问Internet
配置IPv6用户通过虚拟系统访问Internet
介绍如何配置基于IPv6转发的虚拟系统。
组网需求
如图1所示,某大型企业园区的区域A中部署了IPv6网络,用一台FW作为……
共有 0 条评论