华为防火墙虚拟系统间互访

发布于:2022-10-21 ⋅ 阅读:(373) ⋅ 点赞:(0)

华为防火墙虚拟系统间互访

组网需求

如下图所示,某企业园区部署了一台FW作为接入网关。根据部门不同,网络划分为研发部门和销售部门,且为这两个部门单独划分一个防火墙虚拟系统,具体需求如下:

研发部门和销售部门都可以访问Internet。

研发部门和非研发部门之间相互隔离,但是两个部门之间特定的员工可以互访。

研发部门和销售部门的业务量差不多,所以为它们分配相同的虚拟系统资源。

虚拟系统间互访组网图

数据规划

项目

数据规划

根系统

虚拟接口:virtual-if 0

虚拟接口IP地址:172.16.0.1/24

虚拟接口所属安全区域:trust

外网接口:GE1/0/1

外网接口IP地址:10.1.1.8/24

外网接口所属安全区域:untrust

vsys_a

虚拟系统名:vsys_a

虚拟接口:virtual-if 1

虚拟接口IP地址:172.16.1.1/24

虚拟接口所属安全区域:untrust

私网接口:GE1/0/3

私网接口IP地址:10.3.0.1/24

私网地址范围:10.3.0.0/24

私网接口所属安全区域:trust

允许访问Internet的地址范围:10.3.0.0/24

允许vsys_b访问vsys_a的地址范围:

vsys_b:10.3.1.101--254

vsys_a:10.3.0.101--254

vsys_b

虚拟系统名:vsys_b

虚拟接口:virtual-if 2

虚拟接口IP地址:172.16.2.1/24

虚拟接口所属安全区域:untrust

私网接口:GE1/0/4

私网接口IP地址:10.3.1.1/24

私网地址范围:10.3.1.0/24

私网接口所属安全区域:trust

允许访问Internet的地址范围:10.3.1.0/24

允许vsys_a访问vsys_b的地址范围:

vsys_a:10.3.1.101—254

vsys_b:10.3.1.101--254

资源类

名称:r1

会话保证值:500

会话最大值:1000

用户数:100

用户组:10

策略数:100

最大带宽:5M

配置思路

根系统管理员在根系统下开启vsys能力并创建资源类

根系统管理员在根系统下分别创建虚拟系统vsysa、vsysb并为每个虚拟系统分配资源。

根系统管理员在根系统下为vsys间互访的员工配置路由。

根系统管理员在根系统下配置访问外网的路由和安全策略和NAT策略

根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略。

根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略。

操作步骤 1 在根系统下

1、根系统管理员分别创建虚拟系统vsysa和vsysb,并为其分配资源。

#开启虚拟系统功能。

<FW> system-view

[FW] vsys enable

# 配置资源类。

[FW] resource-class r1

[FW-resource-class-r1] resource-item-limit session reserved-number 500 maximum 1000

[FW-resource-class-r1] resource-item-limit policy reserved-number 100

[FW-resource-class-r1] resource-item-limit user reserved-number 100

[FW-resource-class-r1] resource-item-limit user-group reserved-number 10

[FW-resource-class-r1] resource-item-limit bandwidth 5 outbound

[FW-resource-class-r1] quit

说明:

只有配置了公共接口,资源类中的带宽资源配置才会生效。本示例中,没有配置虚拟系统访问公网的公共接口,所以不会生效,因为虚拟系统访问公网是通过根系统的外网口来访问外网的。

#分配资源

[FW] vsys name vsys_a

[FW-vsys-vsys_a] assign resource-class r1

[FW-vsys-vsys_a] assign interface GigabitEthernet 1/0/3

[FW-vsys-vsys_a] quit

[FW] vsys name vsys_b

[FW-vsys-vsys_b] assign resource-class r1

[FW-vsys-vsys_b] assign interface GigabitEthernet 1/0/4

[FW-vsys-vsys_b] quit

2、配置根系统的接口,并将接口加入对应安全区域。Virtual-if0接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。

[FW] interface Virtual-if 0

[FW-Virtual-if0] ip address 172.16.0.1 24

[FW-Virtual-if0] quit

[FW-GigabitEthernet1/0/1] ip address 10.1.1.8 255.255.255.0

[FW] firewall zone trust

[FW-zone-trust] add interface Virtual-if 0

[FW-zone-trust] quit

[FW] firewall zone untrust

[FW-zone-trust] add interface GigabitEthernet1/0/1

[FW-zone-trust] quit

3、配置访问外网的安全策略,允许的网段为10.3.0.0/24,10.3.1.0/24

[FW] security-policy

[FW-policy-security] rule name trust_untrust

[FW-policy-security] source-zone trust

[FW-policy-security] destination-zone untrust

[FW-policy-security-rule-trust_untrust] source-address 10.3.0.0 24

[FW-policy-security-rule-trust_untrust] source-address 10.3.1.0 24

[FW-policy-security-rule-trust_untrust] destination-address any

[FW-policy-security] action permit

4、配置访问外网的NAT策略,允许的网段为10.3.0.0/24,10.3.1.0/24

[FW]nat-policy

[FW-policy-nat] rule name trust_untrust

[FW-policy-nat] source-zone trust

[FW-policy-nat] destination-zone untrust

[FW-policy-nat-rule-trust_untrust] source-address 10.3.0.0 24

[FW-policy-nat-rule-trust_untrust] source-address 10.3.1.0 24

[FW-policy-nat] action source-nat easy-ip

5、为虚拟系统vsys间互访的员工配置路由。

[FW] ip route-static 10.3.0.0 24 vpn-instance vsysa

[FW] ip route-static 10.3.1.0 24 vpn-instance vsysb

6、配置访问Internet的静态路由。

[FW] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

操作步骤 2 在虚拟系统vsys_a下

1、进入虚拟系统vsys_a

[FW] switch vsys vsys_a

<FW-vsys_a> sys

2、配置虚拟系统vsys_a的接口,并将接口加入对应安全区域。Virtual-if 1接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。

[FW] interface Virtual-if 1

[FW-Virtual-if0] ip address 172.16.1.1 24

[FW-Virtual-if0] quit

[FW-vsys_a] interface GigabitEthernet 1/0/3

[FW-vsys_a-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0

[FW-vsys_a-GigabitEthernet1/0/3] quit

[FW-vsys_a] firewall zone trust

[FW-vsys_a -zone-trust] add interface GigabitEthernet1/0/3

[FW-vsys_a -zone-trust] quit

[FW-vsys_a] firewall zone untrust

[FW-vsys_a -zone-untrust] add interface Virtual-if 0

[FW-vsys_a -zone-untrust] quit

3、配置vsys_a访问外网的安全策略,允许的源ip地址为10.3.0.0/24

[FW-vsys_a] security-policy

[FW-vsys_a-policy-security] rule name trust_untrust

[FW-vsys_a-policy-security-rule-trust_untrust] source-zone trust

[FW-vsys_a-policy-security-rule-trust_untrust] destination-zone untrust

[FW-vsys_a-policy-security-rule-trust_untrust] source-address 10.3.0.0 24

[FW-vsys_a-policy-security-rule-trust_untrust] destination-address any

[FW-vsys_a-policy-security-rule-trust_untrust] action permit

4、配置vsys_b访问本虚拟系统vsys_a的安全策略,只允许源ip地址为10.3.1.101—10.3.1.254访问10.3.0.101-- 10.3.0.254这些主机

[FW-vsys_a] security-policy

[FW-vsys_a-policy-security] rule name untrust_trust

[FW-vsys_a-policy-security-rule-untrust_trust] source-zone untrust

[FW-vsys_a-policy-security-rule-untrust_trust] destination-zone trust

[FW-vsys_a-policy-security-rule-untrust_trust] source-address range 10.3.1.101 10.3.1.254

[FW-vsys_a-policy-security-rule-untrust_trust] destination-address range 10.3.0.101 10.3.0.254

[FW-vsys_a-policy-security-rule-untrust_trust] action permit

5、配置访问本虚拟系统vsys_a外的静态路由。

[FW-vsys_a] ip route-static 0.0.0.0 0.0.0.0 public

操作步骤 3 在虚拟系统vsys_b下

根系统管理员为虚拟系统vsysb配置IP地址、路由、安全策略。

具体配置过程与vsys_a类似,主要有以下几点区别。

内网接口以及虚拟接口的IP地址不同。

安全策略中访问本虚拟系统的源目IP地址不同

结果验证

  1. 验证代表销售部门的虚拟系统vsys_b的安全策略是否正确

#从研发部门代表10.3.0.2-100的PC1去ping销售部门的PC3和PC4,访问不通,访问结果符合预期

正在上传…重新上传取消

 

#从研发部门代表10.3.0.101-254的PC2去ping销售部门的PC3,访问不通,访问结果符合预期,ping PC4,访问通,访问结果符合预期。

正在上传…重新上传取消

 

2、验证代表研发部门的虚拟系统vsys_a的安全策略是否正确

#从销售部门代表10.3.1.2-100的PC3去ping研发部门的PC1和PC2,访问不通,访问结果符合预期

在上传…重新上传取消

 

#从研发部门代表10.3.1.101-254的PC4去ping销售部门的PC1,访问不通,访问结果符合预期,ping PC2,访问通,访问结果符合预期。

正在上传…重新上传取消

 

配置脚本

根系统的配置脚本

[FW]dis current-configuration

sysname FW

#

vsys enable

resource-class r0

resource-class r1

 resource-item-limit session reserved-number 500 maximum 1000

 resource-item-limit bandwidth 5 outbound

 resource-item-limit policy reserved-number 100

 resource-item-limit user reserved-number 100

 resource-item-limit user-group reserved-number 10

#

vsys name vsys_a 1

 assign interface GigabitEthernet1/0/3

 assign resource-class r1

#

vsys name vsys_b 2

 assign interface GigabitEthernet1/0/4

 assign resource-class r1

#

ip vpn-instance vsys_a

 ipv4-family

 ipv6-family

#

ip vpn-instance vsys_b

 ipv4-family

 ipv6-family

#

interface GigabitEthernet0/0/0

 undo shutdown

 ip binding vpn-instance default

 ip address 192.168.0.1 255.255.255.0

 alias GE0/METH

 service-manage http permit

 service-manage https permit

 service-manage ping permit

 service-manage ssh permit

 service-manage snmp permit

 service-manage telnet permit

#

interface GigabitEthernet1/0/1

 undo shutdown

 ip address 10.1.1.8 255.255.255.0

 service-manage ping permit

#

interface GigabitEthernet1/0/3

 undo shutdown

 ip binding vpn-instance vsys_a

 ip address 10.3.0.1 255.255.255.0

#

interface GigabitEthernet1/0/4

 undo shutdown

 ip binding vpn-instance vsys_b

 ip address 10.3.1.1 255.255.255.0

 service-manage ping permit

#

interface Virtual-if0

 ip address 172.16.0.1 255.255.255.0

#

interface Virtual-if1

 ip address 172.16.1.1 255.255.255.0

#

interface Virtual-if2

 ip address 172.16.2.1 255.255.255.0

#

firewall zone trust

 set priority 85

 add interface GigabitEthernet0/0/0

 add interface Virtual-if0

#

firewall zone untrust

 set priority 5

 add interface GigabitEthernet1/0/1

#

ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

ip route-static 10.3.0.0 255.255.255.0 vpn-instance vsys_a

ip route-static 10.3.1.0 255.255.255.0 vpn-instance vsys_b

#

security-policy

 rule name trust_untrust

  source-zone trust

  destination-zone untrust

  source-address 10.3.0.0 mask 255.255.255.0

  source-address 10.3.1.0 mask 255.255.255.0

  action permit

#

nat-policy

 rule name trust_untrust

  source-zone trust

  destination-zone untrust

  source-address 10.3.0.0 mask 255.255.255.0

  source-address 10.3.1.0 mask 255.255.255.0

  action source-nat easy-ip

#

虚拟系统vsys_a的配置脚本

[FW-vsys_a]dis current-configuration

#

switch vsys vsys_a

#

interface GigabitEthernet1/0/3

 undo shutdown

 ip binding vpn-instance vsys_a

 ip address 10.3.0.1 255.255.255.0

#

interface Virtual-if1

 ip address 172.16.1.1 255.255.255.0

#

firewall zone trust

 set priority 85

 add interface GigabitEthernet1/0/3

#

firewall zone untrust

 set priority 5

 add interface Virtual-if1

#

security-policy

 rule name trust_untrust

  source-zone trust

  destination-zone untrust

  action permit

 rule name untrust_trust

  source-zone untrust

  destination-zone trust

  source-address range 10.3.1.101 10.3.1.254

  destination-address range 10.3.0.101 10.3.0.254

  action permit

#

ip route-static 0.0.0.0 0.0.0.0 public

#

虚拟系统vsys_b的配置脚本

[FW-vsys_b]dis current-configuration

#

switch vsys vsys_b

#

interface GigabitEthernet1/0/4

 undo shutdown

 ip binding vpn-instance vsys_b

 ip address 10.3.1.1 255.255.255.0

 service-manage ping permit

#

interface Virtual-if2

 ip address 172.16.2.1 255.255.255.0

#

firewall zone trust

 set priority 85

 add interface GigabitEthernet1/0/4

#

firewall zone untrust

 set priority 5

 add interface Virtual-if2

#

security-policy

 rule name trust_untrust

  source-zone trust

  destination-zone untrust

  action permit

 rule name untrust_trust

  source-zone untrust

  destination-zone trust

  source-address range 10.3.0.101 10.3.0.254

  destination-address 0.0.0.1 10.3.1.254

  action permit

#

ip route-static 0.0.0.0 0.0.0.0 public

#

本文含有隐藏内容,请 开通VIP 后查看

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布