今天继续给大家介绍华为USG6000系列防火墙。本文主要是以华为eNSP模拟器,介绍了华为下一代防火墙虚拟系统之间互访的配置实例。
阅读本文,您需要有一定的华为防火墙基础知识,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获。
文章链接:
防火墙虚拟化技术详解(上)
防火墙虚拟化技术详解(下)
防火墙虚拟系统资源分配配置实例
一、实验要求及拓扑
实验拓扑如上所示,要求为公司两个部门之间配置虚拟系统,并把相应接口划分为相应的虚拟系统。最后配置实现防火墙内虚拟系统之间的互访,实现公司的两个部门之间可以互访,公司的两个部门都可以访问外部网络,但是外部网络不能够访问公司内网。
二、实验相关配置命令
(一)虚拟系统内相关配置
为了实现实验目的,首先需要在虚拟系统内配置接口IP、安全策略和安全区域,以虚拟系统VSYSA为例,在该系统下的相关配置如下:
interface GigabitEthernet1/0/1undo shutdownip binding vpn-instance VSYSAip address 192.168.10.254 255.255.255.0#interface Virtual-if1#firewall zone trustset priority 85add interface GigabitEthernet1/0/1#firewall zone untrustset priority 5add interface Virtual-if1#security-policydefault action permitrule name 1source-zone trustdestination-zone untrustaction permitrule name 2source-zone untrustdestination-zone trustaction permit#
虚拟系统VSYSB配置与之类似
根系统下相关配置如下所示:
vsys enablesecurity-policyrule name 1source-zone trustdestination-zone untrustaction permitfirewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface Virtual-if0#firewall zone untrustset priority 5add interface GigabitEthernet1/0/3interface GigabitEthernet1/0/3undo shutdownip address 150.1.1.1 255.255.255.0
(二)路由相关配置
在完成VSYSA和VSYSB的相关配制后,此时各个虚拟系统之间和虚拟系统和外部之间还没有配置路由,因此,还必须给防火墙根系统和虚拟系统之间配置路由,相关配置命令如下:
在VSYSA和VSYSB虚拟系统上:
ip route-static 0.0.0.0 0.0.0.0 public
在根系统上:
ip route-static vpn-instance VSYSA 192.168.20.0 255.255.255.0 vpn-instance VSYSBip route-static vpn-instance VSYSB 192.168.10.0 255.255.255.0 vpn-instance VSYSA
三、实验现象
(一)公司两个部门之间可以互通
(二)公司内网可以访问外网,但是外网不可以访问内网
原创不易,转载请说明出处:/weixin_40228200/article/details/119220889
