虚拟系统间互访

虚拟系统间互访

FW作为企业网络的出口网关,通过虚拟系统功能实现对不同部门网络的区分管理,同时实现虚拟系统间互访。

组网需求

图1所示,某大型企业园区的区域A中,部署了一台FW作为接入网关。根据权限不同,区域A内网络划分为研发部门和非研发部门,且这两个部门的网络访问权限不同,具体需求如下:

  • 研发部门只有部分员工可以访问Internet,非研发部门的全部员工都可以访问Internet。
  • 研发部门和非研发部门之间相互隔离,但是两个部门之间特定的员工可以互访。
  • 研发部门和非研发部门的业务量差不多,所以为它们分配相同的虚拟系统资源。
图1 虚拟系统间互访组网图

数据规划

项目

数据

说明

vsysa

  • 虚拟系统名:vsysa
  • 公网接口:GE1/0/1
  • 公网接口IP地址:10.1.1.8/24
  • 公网接口所属安全区域:Untrust
  • 私网接口:GE1/0/3
  • 私网接口IP地址:10.3.0.1/24
  • 私网地址范围:10.3.0.0/24
  • 私网接口所属安全区域:Trust
  • 允许访问Internet的地址范围:10.3.0.2~10.3.0.10

-

vsysb

  • 虚拟系统名:vsysb
  • 公网接口:GE1/0/2
  • 公网接口IP地址:10.1.1.9/24
  • 公网接口所属安全区域:Untrust
  • 私网接口:GE1/0/4
  • 私网接口IP地址:10.3.1.1/24
  • 私网地址范围:10.3.1.0/24
  • 私网接口所属安全区域:Trust

-

资源类

  • 名称:r1
  • 会话保证值:10000
  • 会话最大值:50000
  • 用户数:300
  • 用户组:10
  • 策略数:300
  • 出方向保证带宽:20M

-

配置思路

  1. 根系统管理员分别创建虚拟系统vsysa、vsysb并为每个虚拟系统分配资源。
  2. 根系统管理员为互访的员工配置路由。
  3. 根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略和NAT策略。
  4. 根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略和NAT策略。

操作步骤

  1. 根系统管理员分别创建虚拟系统vsysa和vsysb,并为其分配资源。

    # 使用根系统管理员账号登录FW

    # 开启虚拟系统功能。

    <FW> system-view
    [FW] vsys enable

    # 配置资源类。

    [FW] resource-class r1
    [FW-resource-class-r1] resource-item-limit session reserved-number 10000 maximum 50000
    [FW-resource-class-r1] resource-item-limit policy reserved-number 300
    [FW-resource-class-r1] resource-item-limit user reserved-number 300
    [FW-resource-class-r1] resource-item-limit user-group reserved-number 10
    [FW-resource-class-r1] resource-item-limit bandwidth 20 outbound
    [FW-resource-class-r1] quit

    # 创建虚拟系统并分配资源。

    [FW] vsys name vsysa
    [FW-vsys-vsysa] assign resource-class r1
    [FW-vsys-vsysa] assign interface GigabitEthernet 1/0/1
    [FW-vsys-vsysa] assign interface GigabitEthernet 1/0/3
    [FW-vsys-vsysa] quit
    [FW] vsys name vsysb
    [FW-vsys-vsysb] assign resource-class r1
    [FW-vsys-vsysb] assign interface GigabitEthernet 1/0/2
    [FW-vsys-vsysb] assign interface GigabitEthernet 1/0/4
    [FW-vsys-vsysb] quit

    # 配置GigabitEthernet 1/0/1GigabitEthernet 1/0/2接口。将接口设置为vsysa和vsysb的公共接口。

    只有配置了公共接口,资源类中的带宽资源配置才会生效。

    本示例中,需要限制私网用户访问公网的带宽。将接口GigabitEthernet 1/0/1GigabitEthernet 1/0/2配置为公共接口,私网用户访问公网的流量从公共接口流出,即为出方向。配合资源类中配置的出方向带宽,就能限制私网用户访问公网的带宽。

    [FW] interface GigabitEthernet 1/0/1
    [FW-GigabitEthernet1/0/1] set public-interface
    [FW-GigabitEthernet1/0/1] quit
    [FW] interface GigabitEthernet 1/0/2
    [FW-GigabitEthernet1/0/2] set public-interface
    [FW-GigabitEthernet1/0/2] quit

    # 配置Virtual-if0接口,并将接口加入安全区域。Virtual-if0接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。

    [FW] interface Virtual-if 0
    [FW-Virtual-if0] ip address 172.16.0.1 24
    [FW-Virtual-if0] quit
    [FW] firewall zone trust
    [FW-zone-trust] add interface Virtual-if 0
    [FW-zone-trust] quit
  2. 根系统管理员为互访的员工配置路由。
    [FW] ip route-static vpn-instance vsysb 10.3.0.0 24 vpn-instance vsysa
    [FW] ip route-static vpn-instance vsysa 10.3.1.0 24 vpn-instance vsysb
  3. 根系统管理员为虚拟系统vsysa配置IP地址、路由、安全策略和NAT策略。

    # 根系统管理员为虚拟系统vsysa配置接口相关参数。Virtual-if1接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。

    [FW] switch vsys vsysa
    <FW-vsysa> system-view
    [FW-vsysa] interface GigabitEthernet 1/0/1
    [FW-vsysa-GigabitEthernet1/0/1] ip address 10.1.1.8 24
    [FW-vsysa-GigabitEthernet1/0/1] quit
    [FW-vsysa] interface GigabitEthernet 1/0/3
    [FW-vsysa-GigabitEthernet1/0/3] ip address 10.3.0.1 24
    [FW-vsysa-GigabitEthernet1/0/3] quit
    [FW-vsysa] interface Virtual-if 1
    [FW-vsysa-Virtual-if1] ip address 172.16.1.1 24
    [FW-vsysa-Virtual-if1] quit
    [FW-vsysa] firewall zone trust
    [FW-vsysa-zone-trust] add interface GigabitEthernet 1/0/3
    [FW-vsysa-zone-trust] quit
    [FW-vsysa] firewall zone untrust
    [FW-vsysa-zone-untrust] add interface GigabitEthernet 1/0/1
    [FW-vsysa-zone-untrust] quit
    [FW-vsysa] firewall zone dmz
    [FW-vsysa-zone-dmz] add interface Virtual-if1
    [FW-vsysa-zone-dmz] quit

    # 根系统管理员为虚拟系统vsysa配置访问Internet的静态路由。

    [FW-vsysa] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

    # 根系统管理员为虚拟系统vsysa配置地址组。

    [FW-vsysa] ip address-set ipaddress1 type object
    [FW-vsysa-object-address-set-ipaddress1] address range 10.3.0.2 10.3.0.10
    [FW-vsysa-object-address-set-ipaddress1] quit

    # 根系统管理员为虚拟系统vsysa配置安全策略,这条安全策略的作用是允许特定网段的研发员工访问Internet。其他网段的员工访问Internet时,报文会匹配到default安全策略,被deny掉。

    [FW-vsysa] security-policy  
    [FW-vsysa-policy-security] rule name to_internet 
    [FW-vsysa-policy-security-rule-to_internet] source-zone trust  
    [FW-vsysa-policy-security-rule-to_internet] destination-zone untrust 
    [FW-vsysa-policy-security-rule-to_internet] source-address address-set ipaddress1
    [FW-vsysa-policy-security-rule-to_internet] action permit 
    [FW-vsysa-policy-security-rule-to_internet] quit

    # 根系统管理员为虚拟系统vsysa配置安全策略,这条安全策略的作用是允许vsysa中特定员工访问vsysb中特定员工。

    [FW-vsysa-policy-security] rule name to_vsysb 
    [FW-vsysa-policy-security-rule-to_vsysb] source-zone trust  
    [FW-vsysa-policy-security-rule-to_vsysb] destination-zone dmz 
    [FW-vsysa-policy-security-rule-to_vsysb] source-address range 10.3.0.20 10.3.0.30
    [FW-vsysa-policy-security-rule-to_vsysb] destination-address range 10.3.1.20 10.3.1.30
    [FW-vsysa-policy-security-rule-to_vsysb] action permit  
    [FW-vsysa-policy-security-rule-to_vsysb] quit  
    [FW-vsysa-policy-security] quit

    # 根系统管理员为虚拟系统vsysa配置安全策略,这条安全策略的作用是允许vsysb中特定员工访问vsysa中特定员工。

    [FW-vsysa-policy-security] rule name to_vsysa
    [FW-vsysa-policy-security-rule-to_vsysa] source-zone dmz  
    [FW-vsysa-policy-security-rule-to_vsysa] destination-zone trust 
    [FW-vsysa-policy-security-rule-to_vsysa] source-address range 10.3.1.20 10.3.1.30
    [FW-vsysa-policy-security-rule-to_vsysa] destination-address range 10.3.0.20 10.3.0.30
    [FW-vsysa-policy-security-rule-to_vsysa] action permit  
    [FW-vsysa-policy-security-rule-to_vsysa] quit  
    [FW-vsysa-policy-security] quit

    # 根系统管理员为虚拟系统vsysa配置NAT策略。

    [FW-vsysa] nat-policy
    [FW-vsysa-policy-nat] rule name nat1
    [FW-vsysa-policy-nat-rule-nat1] source-zone trust
    [FW-vsysa-policy-nat-rule-nat1] egress-interface GigabitEthernet 1/0/1
    [FW-vsysa-policy-nat-rule-nat1] source-address address-set ipaddress1
    [FW-vsysa-policy-nat-rule-nat1] action source-nat easy-ip
    [FW-vsysa-policy-nat-rule-nat1] quit
    [FW-vsysa-policy-nat] quit
  4. 根系统管理员为虚拟系统vsysb配置IP地址、路由、安全策略和NAT策略。

    具体配置过程与研发部门类似,主要有以下几点区别。

    • 内网接口的IP地址不同。
    • 非研发部门直接配置一条允许所有地址范围访问Internet的安全策略、两条允许员工互访的安全策略即可。
    • NAT策略的出接口配置为GE1/0/2,源地址为any。

结果验证

  • 从研发部门的内网选择一台允许访问Internet的主机,和一台不允许访问Internet的主机,如果访问结果符合预期,说明IP地址、vsysa的安全策略和NAT策略的配置正确。
  • 从非研发部门的内网主动访问Internet,如果能够访问成功,说明IP地址、vsysb的安全策略和NAT策略配置正确。

配置脚本

根系统的配置脚本

#
 sysname FW
# 
 vsys enable 
# 
resource-class r1    
 resource-item-limit session reserved-number 10000 maximum 50000
 resource-item-limit policy reserved-number 300      
 resource-item-limit user reserved-number 300     
 resource-item-limit user-group reserved-number 10    
   resource-item-limit bandwidth 20 entire
# 
vsys name vsysa 1    
 assign resource-class r1      
 assign interface GigabitEthernet1/0/1
 assign interface GigabitEthernet1/0/3 
#                    
vsys name vsysb 2    
 assign resource-class r1        
 assign interface GigabitEthernet1/0/2
 assign interface GigabitEthernet1/0/4
#
interface GigabitEthernet1/0/1
 set public-interface
#
interface GigabitEthernet1/0/2
 set public-interface
#                                                                                
interface Virtual-if0                                                           
 ip address 172.16.0.1 255.255.255.0                                              
#                  
firewall zone trust 
 set priority 85  
 add interface Virtual-if0 
#  
 ip route-static vpn-instance vsysb 10.3.0.0 24 vpn-instance vsysa
 ip route-static vpn-instance vsysa 10.3.1.0 24 vpn-instance vsysb
#
return

虚拟系统vsysa的配置脚本

#
interface GigabitEthernet1/0/1
 ip address 10.1.1.8 255.255.255.0
# 
interface GigabitEthernet1/0/3
 ip address 10.3.0.1 255.255.255.0
#                                                                               
interface Virtual-if1                                                           
 ip address 172.16.1.1 255.255.255.0                                              
#                    
firewall zone trust  
 set priority 85     
 add interface GigabitEthernet1/0/3
#
firewall zone dmz
 set priority 50      
 add interface Virtual-if1
#                    
firewall zone untrust
 set priority 5      
 add interface GigabitEthernet1/0/1
#                    
ip address-set ipaddress1 type object 
 address 0 range 10.3.0.2 10.3.0.10   
#  
 ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
#                    
security-policy      
 rule name to_internet
  source-zone trust  
  destination-zone untrust
  source-address address-set ipaddress1 
  action permit      
 rule name to_vsysb 
  source-zone trust  
  destination-zone dmz  
  source-address range 10.3.0.20 10.3.0.30
  destination-address range 10.3.1.20 10.3.1.30
  action permit
 rule name to_vsysa 
  source-zone dmz  
  destination-zone trust  
  source-address range 10.3.1.20 10.3.1.30
  destination-address range 10.3.0.20 10.3.0.30
  action permit
#
 nat-policy
  rule name nat1
   source-zone trust
   egress-interface GigabitEthernet1/0/1
   source-address address-set ipaddress1
   action source-nat easy-ip
#    
return

虚拟系统vsysb的配置脚本

#
interface GigabitEthernet1/0/2
 ip address 10.1.1.9 255.255.255.0
# 
interface GigabitEthernet1/0/4
 ip address 10.3.1.1 255.255.255.0
#                                                                               
interface Virtual-if2                                                           
 ip address 172.16.2.1 255.255.255.0                                              
#                    
firewall zone trust  
 set priority 85     
 add interface GigabitEthernet1/0/4
#
firewall zone dmz
 set priority 50      
 add interface Virtual-if2
#                    
firewall zone untrust
 set priority 5      
 add interface GigabitEthernet1/0/2
#  
 ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
#                    
security-policy      
 rule name to_internet
  source-zone trust  
  destination-zone untrust
  action permit
 rule name to_vsysa 
  source-zone trust  
  destination-zone dmz  
  source-address range 10.3.1.20 10.3.1.30
  destination-address range 10.3.0.20 10.3.0.30
  action permit
 rule name to_vsysb
  source-zone dmz  
  destination-zone trust
  source-address range 10.3.0.20 10.3.0.30
  destination-address range 10.3.1.20 10.3.1.30
  action permit
#
 nat-policy
  rule name nat1
   source-zone trust
   egress-interface GigabitEthernet1/0/2
   action source-nat easy-ip
#    
return

版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2166.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
打赏
海报
虚拟系统间互访
虚拟系统间互访 FW作为企业网络的出口网关,通过虚拟系统功能实现对不同部门网络的区分管理,同时实现虚拟系统间互访。 组网需求 如图1所示,某大型企业园……
<<上一篇
下一篇>>