案例一
如图整个拓扑的架构如图所示,上面蓝色的是子虚拟系统1,它分配了一个物理接口g1/0/0,在虚拟子系统1上面利用实现NAPT使得内网用户可以访问外网,同时在子虚拟系统1上面实现nat server使得192.168.0.1的服务器可以对外提供服务。
下面紫色的是子虚拟系统2,它也分配了一个物理接口g1/0/1,在虚拟子系统2上面同样利用NAPT使得内网的主机可以访问外网,同时在虚拟子系统使用no-reverse的nat server,使得内网主机可以被外部主机访问。
根系统的出口接口是g1/0/2,两个虚拟子系统通过根系统的出接口将报文进行转发至外部主机,同时保证外部主机可以内部所有的虚拟主机。
在配置虚拟系统的时候,我们都要将一台防火墙看作n+1的模式,什么叫n+1的模式,就是n个虚拟子系统+1个根系统,虚拟子系统和根系统之间通过vlanif接口进行通信。如下图所示:
所以我们在制定相关的安全策略和路由的时候,不能在单单将防火墙看作独立,单一的设备,我们必须考虑到防火墙的虚拟系统的存在。
第一步
我们需要创建相关的资源类,资源类就是一个可手工分配的系统资源的集合。资源类的存在减少了重复分配的次数,使得资源分配更加的灵活和方便。创建完资源类后,我们需要创建虚拟系统,然后将资源类进行绑定,绑定的过程就先当与是给该虚拟子系统分配资源,同时为了实现分流的效果,我们还需要给该系统分配接口或者vlan。在该案例中,我们按照要求分配物理接口给虚拟系统。在资源和接口或者vlan都分配完毕后,我们还要分配公网地址给虚拟子系统,然后该案例的虚拟系统就差不多完成了。但是我们还差一个东西就是给虚拟系统创建管理员,我觉得比较方便的就是直接登录web防火墙的web界面,然后切换到虚拟子系统,在系统-->管理员视图下,创建管理员名@@该虚拟系统名,创建这样的一个虚拟系统的管理员,然后我们在根系统下面开启stelnet的server服务,进入user-interface vty 0 4视图,放行ssh的流量,授权模式为aaa.这样一个虚拟系统的资源,和管理员就都创建完成了。
第二步
当虚拟子系统都创建完后,我们就需要思考如何才能满足虚拟子系统借助根系统实现源NAT和NATserver的效果,以及虚拟系统之间的互相访问。首先我们先来思考虚拟系统之间的访问,要实现虚拟的系统之间的访问,那么就必须在虚拟子系统上配置去往其他虚拟子系统的路由,所以我的规划是在虚拟子系统上配置缺省路由,如果有不认识的数据报文那么就发送给public根系统,每个虚拟子系统上面都创建这样的一个路由条目,但是这样仅仅解决的是虚拟子系统的路由问题,我们还需要解决的问题就是根系统上面的路由问题,在解决根系统的路由问题的时候,我们可以创建引流表或者是创建静态路由,虽然引流表很方便,但是有的时候会出现一些问题,比如IPsec的流量在进入防火墙内部的时候,IPsec解封装后已经错过了使用引流表的机会了,所以这个时候如果没有配置相应的静态路由那么将导致IPsec的流量无法进行转发,同时如果我们有流量想要借助IPsec进行转发,那么如果错误的配置了引流表,也将导致流量直接被引流表进行转发而无法被IPsec模块引用。所以在这种没有配置IPsec的情况,我们使用引流表表示各个虚拟子系统的IP地址。当完成了根系统上面的引流表和各个虚拟子系统上面缺省路由后,再结合适合的安全策略后,就可以实现各个虚拟子系统之间的互访了。那么安全策略该如何配置?首先对于子系统来说,它去往其他区域的流量都是从vlanif接口出去的,所以只要放行内部主机所在区域到vlanif接口所在区域的流量即可。对于根系统来说,因为流量都是从vlanif接收和转发的,所以并不需要配置相对应的安全策略。
第三步
那么现在要解决的问题就是虚拟子系统如何实现源NAT和nat server,首先我们先不考虑太多,在虚拟子系统上面将源NAT和nat server的配置完成,使用的就是根系统分配给虚拟子系统的IP资源。配置完成后,我们要考虑的问题就是路由和安全策略,首先我们先考虑子系统主机到外部主机的流向,我们知道防火墙是根据路由表来判定该报文的源目区域的,因为对于根系统来说虚拟子系统的报文的源区域是从vlanif接口接收到的,而报文的目的IP是外部主机,所以我们需要放行根系统vlanif接口所在的区域到报文目的IP所在区域的流量。对于虚拟子系统来说,它要放行内部私网主机到vlanif接口所在区域的流量,这样的话就实现了内部主机NAT到外部主机的安全策略的放行。同时因为子虚拟系统的报文进行了NAT转换,所以我们要保证报文回程的时候要有相对应的路由,所以我们要在根系统上创建去往相对应地址池的静态路由。这样就实现了虚拟子系统的源NAT的功能。那么虚拟子系统的NAT server该如何实现,首先放行根系统上面去往虚拟子系统的nat server公布的公网地址的流量,然后配置去往虚拟子系统nat server公布的公网地址的静态路由。就可以了。
