通过虚拟系统实现云计算中心网关
通过虚拟系统实现云计算中心网关
本示例通过配置虚拟系统实现了针对云计算服务器中心的保护。
组网需求
如图1所示,某云计算数据中心采用FW用于网关出口的安全防护,实际的要求如下:
- 每个购买云服务的企业或个人都属于数据中心的客户,可以独自管理和访问属于自己的服务器资源。
- FW虽然只有一个公网接口,但是公网IP地址数量比较充足。通过在FW上配置服务器映射(NAT Server),客户可以通过独立的公网IP地址访问属于自己的服务器资源。
- 由于企业A和企业B的业务量的不同,两家公司购买不同的虚拟系统资源。
通过虚拟系统实现上述需求。
数据规划
|
项目 |
数据 |
说明 |
|---|---|---|
|
public |
|
在本例中,所有内网服务器通过根系统的公网接口对外提供服务。 |
|
vsysa |
|
在本例中,通过配置服务器映射可以让企业A的用户通过1.1.1.2这个地址访问到10.3.0.2这个服务器。 另外,虚拟系统由根系统管理员统一配置和管理,不需要为虚拟系统配置管理员。 |
|
vsysb |
|
在本例中,通过配置服务器映射可以让企业B的用户通过1.1.1.3这个地址访问到10.3.1.2这个服务器。 另外,虚拟系统由根系统管理员统一配置和管理,不需要为虚拟系统配置管理员。 |
|
资源类 |
|
在本例中,新建两个资源类分别与不同的虚拟系统绑定。 |
配置思路
- 根系统管理员分别创建虚拟系统vsysa和vsysb,并分配系统资源。
- 在GE1/0/2上创建子接口GE1/0/2.1和GE1/0/2.2,并分别分配给虚拟系统vsysa和vsysb,作为vsysa和vsysb的私网接口。
- 根系统管理员分别为虚拟系统vsysa和vsysb配置服务器映射。
- 根系统管理员分别为虚拟系统vsysa和vsysb配置路由和安全策略。
操作步骤
- 根系统管理员分别创建虚拟系统vsysa和vsysb,并分配系统资源。
# 使用根系统管理员账号登录FW。
# 创建子接口。
<FW> system-view [FW] interface GigabitEthernet 1/0/2.1 [FW-GigabitEthernet1/0/2.1] vlan-type dot1q 10 [FW-GigabitEthernet1/0/2.1] quit [FW] interface GigabitEthernet 1/0/2.2 [FW-GigabitEthernet1/0/2.2] vlan-type dot1q 20 [FW-GigabitEthernet1/0/2.2] quit
# 开启虚拟系统功能。
[FW] vsys enable# 配置资源类。
[FW] resource-class r1 [FW-resource-class-r1] resource-item-limit session reserved-number 10000 maximum 50000 [FW-resource-class-r1] resource-item-limit bandwidth 20 entire [FW-resource-class-r1] quit [FW] resource-class r2 [FW-resource-class-r2] resource-item-limit session reserved-number 10000 maximum 50000 [FW-resource-class-r2] resource-item-limit bandwidth 30 entire [FW-resource-class-r2] quit
# 创建虚拟系统并分配资源。
[FW] vsys name vsysa [FW-vsys-vsysa] assign resource-class r1 [FW-vsys-vsysa] assign interface GigabitEthernet 1/0/2.1 [FW-vsys-vsysa] quit [FW] vsys name vsysb [FW-vsys-vsysb] assign resource-class r2 [FW-vsys-vsysb] assign interface GigabitEthernet 1/0/2.2 [FW-vsys-vsysb] quit
- 在根系统中配置私网接口、公网接口以及虚拟接口。
# 在根系统上配置接口,并将接口加入安全区域。Virtual-if0接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。
[FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24 [FW-GigabitEthernet1/0/11] quit [FW] interface Virtual-if 0 [FW-Virtual-if0] ip address 172.16.0.1 24 [FW-Virtual-if0] quit [FW] firewall zone trust [FW-zone-trust] add interface Virtual-if 0 [FW-zone-trust] quit [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/1 [FW-zone-untrust] quit
# 为虚拟系统vsysa配置接口,并将接口加入安全区域。Virtual-if1接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。
Virtual-if的编号会根据系统中ID占用情况自动分配。所以实际配置时,可能不是Virtual-if1和Virtual-if2。
[FW] switch vsys vsysa <FW-vsysa> system-view [FW-vsysa] interface GigabitEthernet 1/0/2.1 [FW-vsysa-GigabitEthernet1/0/2.1] ip address 10.3.0.1 24 [FW-vsysa-GigabitEthernet1/0/2.1] quit [FW-vsysa] interface Virtual-if 1 [FW-vsysa-Virtual-if1] ip address 172.16.1.1 24 [FW-vsysa-Virtual-if1] quit [FW-vsysa] firewall zone trust [FW-vsysa-zone-trust] add interface GigabitEthernet 1/0/2.1 [FW-vsysa-zone-trust] quit [FW-vsysa] firewall zone untrust [FW-vsysa-zone-untrust] add interface Virtual-if 1 [FW-vsysa-zone-untrust] quit [FW-vsysa] quit <FW-vsysa> quit
# 参考上述步骤为虚拟系统vsysb配置接口,并将接口加入安全区域。
- 在根系统中配置路由、安全策略和NAT策略。
# 配置缺省路由,下一跳是1.1.1.254。
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254# 配置静态路由,这条路由的作用是将企业A用户访问服务器的流量引入虚拟系统vsysa。
[FW] ip route-static 10.3.0.0 24 vpn-instance vsysa# 配置静态路由,这条路由的作用是将企业B用户访问服务器的流量引入虚拟系统vsysb。
[FW] ip route-static 10.3.1.0 24 vpn-instance vsysb# 配置安全策略,这条安全策略的作用是允许企业用户访问内网服务器资源。
[FW] security-policy [FW-policy-security] rule name internet_to_server [FW-policy-security-rule-internet_to_server] source-zone untrust [FW-policy-security-rule-internet_to_server] destination-zone trust [FW-policy-security-rule-internet_to_server] destination-address 10.3.0.0 16 [FW-policy-security-rule-internet_to_server] action permit [FW-policy-security-rule-internet_to_server] quit [FW-policy-security] quit
# 配置服务器映射。
[FW] nat server publicserver_vsysa protocol tcp global 1.1.1.2 8080 inside 10.3.0.2 www no-reverse [FW] nat server publicserver_vsysb protocol tcp global 1.1.1.3 8080 inside 10.3.1.2 www no-reverse
- 在虚拟系统vsysa中配置路由和安全策略。
# 配置路由,这条静态路由的作用是将企业A用户访问内网服务器的回程流量引入根系统。
[FW] switch vsys vsysa <FW-vsysa> system-view [FW-vsysa] ip route-static 0.0.0.0 0.0.0.0 public
# 配置安全策略,这条安全策略的作用是允许企业用户访问内网服务器资源。
[FW-vsysa] security-policy [FW-vsysa-policy-security] rule name internet_to_server [FW-vsysa-policy-security-rule-internet_to_server] source-zone untrust [FW-vsysa-policy-security-rule-internet_to_server] destination-zone trust [FW-vsysa-policy-security-rule-internet_to_server] destination-address 10.3.0.0 24 [FW-vsysa-policy-security-rule-internet_to_server] action permit [FW-vsysa-policy-security-rule-internet_to_server] quit [FW-vsysa-policy-security] quit [FW-vsysa] quit <FW-vsysa> quit
- 在虚拟系统vsysb中配置路由和安全策略。
因为vsysb除了所使用的IP地址,其他配置与vsysa完全一致,所以具体配置过程不再赘述。
结果验证
- 从公司A访问http://1.1.1.2:8080,如果能够正常访问自己的Web服务器,说明服务器映射和安全策略配置正确。
- 从公司B访问http://1.1.1.3:8080,如果能够正常访问自己的Web服务器,说明服务器映射和安全策略配置正确。
配置脚本
根系统的配置脚本
# sysname FW # vsys enable # nat server publicserver_vsysa 0 protocol tcp global 1.1.1.2 8080 inside 10.3.0.2 www no-reverse nat server publicserver_vsysb 1 protocol tcp global 1.1.1.3 8080 inside 10.3.1.2 www no-reverse # resource-class r1 resource-item-limit session reserved-number 10000 maximum 50000 resource-item-limit bandwidth 20 entire # resource-class r2 resource-item-limit session reserved-number 10000 maximum 50000 resource-item-limit bandwidth 30 entire # vsys name vsysa 1 assign resource-class r1 assign interface GigabitEthernet1/0/2.1 # vsys name vsysb 2 assign resource-class r2 assign interface GigabitEthernet1/0/2.2 # interface GigabitEthernet1/0/1 ip address 1.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/2.1 vlan-type dot1q 10 ip binding vpn-instance vsysa # interface GigabitEthernet1/0/2.2 vlan-type dot1q 20 ip binding vpn-instance vsysb # interface Virtual-if0 ip address 172.16.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface Virtual-if0 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 ip route-static 10.3.0.0 255.255.255.0 vpn-instance vsysa ip route-static 10.3.1.0 255.255.255.0 vpn-instance vsysb # security-policy rule name internet_to_server source-zone untrust destination-zone trust destination-address 10.3.0.0 16 action permit # return
虚拟系统vsysa的配置脚本
# interface GigabitEthernet1/0/2.1 vlan-type dot1q 10 ip address 10.3.0.1 255.255.255.0 ip binding vpn-instance vsysa # interface Virtual-if1 ip address 172.16.1.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/2.1 # firewall zone untrust set priority 5 add interface Virtual-if1 # ip route-static 0.0.0.0 0.0.0.0 public # security-policy rule name internet_to_server source-zone untrust destination-zone trust destination-address 10.3.0.0 24 action permit # return
虚拟系统vsysb的配置脚本
# interface GigabitEthernet1/0/2.2 vlan-type dot1q 20 ip address 10.3.1.1 255.255.255.0 ip binding vpn-instance vsysb # interface Virtual-if2 ip address 172.16.2.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/2.2 # firewall zone untrust set priority 5 add interface Virtual-if2 # ip route-static 0.0.0.0 0.0.0.0 public # security-policy rule name internet_to_server source-zone untrust destination-zone trust destination-address 10.3.1.0 24 action permit # return
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2165.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
THE END
0
打赏
海报
通过虚拟系统实现云计算中心网关
通过虚拟系统实现云计算中心网关
本示例通过配置虚拟系统实现了针对云计算服务器中心的保护。
组网需求
如图1所示,某云计算数据中心采用FW用于网关出口的……
共有 0 条评论