【华为】配置虚拟系统与根系统通过路由表互
发布作者:微思网络 发布时间:2024-11-01 浏览量:0次
组网需求
如图6-2所示,设备部署在网络A与Internet之间,虚拟系统vsysa作为网络A的网关设备对网络A进行隔离和保护。设备通过根系统下的公网接口interface1连接到Internet。
设备中需要配置虚拟系统vsysa与根系统public通过路由表互访,实现网络A与Internet之间的互访。
本例中interface1和interface2分别代表GE0/0/1和GE0/0/2。
图6-2 虚拟系统与根系统通过路由表互访
配置思路
采用如下思路配置虚拟系统与根系统通过路由表互访:
开启虚拟系统功能,创建虚拟系统vsysa并为其分配资源。
在根系统和虚拟系统vsysa下分别配置接口,并将接口加入安全区域。
在根系统和虚拟系统vsysa下分别配置路由,对网络A和Internet之间互访的流量进行引流。
在根系统和虚拟系统vsysa下分别配置安全策略,放行网络A和Internet之间互访的流量。
操作步骤
开启虚拟系统功能。
<HUAWEI> system-view
[HUAWEI] sysname Device
[Device] vsys enable
创建虚拟系统vsysa并为其分配接口GE0/0/2。
[Device] vsys name vsysa
[Device-vsys-vsysa] assign interface ge 0/0/2
[Device-vsys-vsysa] quit
配置根系统下的接口并将接口加入安全区域。
[Device] interface ge 0/0/1
[Device-GE0/0/1] ip address 1.1.1.1 24
[Device-GE0/0/1] quit
[Device] interface Virtual-if 0
[Device-Virtual-if0] ip address 172.16.0.1 24
[Device-Virtual-if0] quit
[Device] firewall zone trust
[Device-zone-trust] add interface Virtual-if 0
[Device-zone-trust] quit
[Device] firewall zone untrust
[Device-zone-untrust] add interface ge 0/0/1
[Device-zone-untrust] quit
配置根系统下的路由。
# 配置根系统到Internet的路由,将网络A中的用户主动访问Internet的去程流量,或Internet中的用户主动访问网络A的回程流量引入Internet。其中,1.1.1.254是根系统到Internet的下一跳。
[Device] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
# 配置根系统到虚拟系统vsysa的路由,将Internet中的用户主动访问网络A的去程流量引入虚拟系统vsysa。
[Device] ip route-static 10.3.0.0 255.255.255.0 vpn-instance vsysa
配置根系统下的安全策略。
# 配置trust到untrust的安全策略,放行网络A中的用户主动访问Internet的流量。
[Device] security-policy
[Device-policy-security] rule name trust_to_untrust
[Device-policy-security-rule-trust_to_untrust] source-zone trust
[Device-policy-security-rule-trust_to_untrust] destination-zone untrust
[Device-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24
[Device-policy-security-rule-trust_to_untrust] action permit
[Device-policy-security-rule-trust_to_untrust] quit
# 配置untrust到trust的安全策略,放行Internet中的用户主动访问网络A的流量。
[Device-policy-security] rule name untrust_to_trust
[Device-policy-security-rule-untrust_to_trust] source-zone untrust
[Device-policy-security-rule-untrust_to_trust] destination-zone trust
[Device-policy-security-rule-untrust_to_trust] destination-address 10.3.0.0 24
[Device-policy-security-rule-untrust_to_trust] action permit
[Device-policy-security-rule-untrust_to_trust] quit
[Device-policy-security] quit
切换到虚拟系统vsysa的系统视图。
[Device] switch vsys vsysa
<Device-vsysa> system-view
配置虚拟系统vsysa下的接口并将接口加入安全区域。
[Device-vsysa] interface ge 0/0/2
[Device-vsysa-GE0/0/2] ip address 10.3.0.1 24
[Device-vsysa-GE0/0/2] quit
[Device-vsysa] interface Virtual-if 1
[Device-vsysa-Virtual-if1] ip address 172.16.1.1 24
[Device-vsysa-Virtual-if1] quit
[Device-vsysa] firewall zone trust
[Device-vsysa-zone-trust] add interface ge 0/0/2
[Device-vsysa-zone-trust] quit
[Device-vsysa] firewall zone untrust
[Device-vsysa-zone-untrust] add interface Virtual-if 1
[Device-vsysa-zone-untrust] quit
配置虚拟系统vsysa下的路由。
# 配置虚拟系统vsysa到根系统的路由,将网络A中的用户主动访问Internet的去程流量引入根系统。
[Device-vsysa] ip route-static 0.0.0.0 0.0.0.0 public
# 配置虚拟系统vsysa到网络A的路由,将网络A中的用户主动访问Internet的回程流量,或Internet中的用户主动访问网络A的去程流量引入网络A。其中,10.3.0.254是虚拟系统vsysa到网络A的下一跳。
[Device-vsysa] ip route-static 10.3.0.0 255.255.255.0 10.3.0.254
配置虚拟系统vsysa下的安全策略。
# 配置trust到untrust的安全策略,放行网络A中的用户主动访问Internet的流量。
[Device-vsysa] security-policy
[Device-vsysa-policy-security] rule name vsysa_trust_to_untrust
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] source-zone trust
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] destination-zone untrust
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] source-address 10.3.0.0 24
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] action permit
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] quit
# 配置untrust到trust的安全策略,放行Internet中的用户主动访问网络A的流量。
[Device-vsysa-policy-security] rule name vsysa_untrust_to_trust
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] source-zone untrust
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] destination-zone trust
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] destination-address 10.3.0.0 24
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] action permit
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] quit
[Device-vsysa-policy-security] quit
检查配置结果
网络A中的用户可以主动访问Internet,同时,虚拟系统vsysa和根系统中分别建立如下会话。
说明: 3.3.3.3是网络A中的用户访问的Internet中服务器的IP地址;10.3.0.2是网络A中用户主机的IP地址。
根系统中的会话:
<Device> display firewall session table verbose destination global 3.3.3.3
Current Total Sessions : 1
icmp VPN: public --> public ID: xxxxxxxxxxxxxxxxxxxxxx
Zone: trust --> untrust TTL: xx:xx:xx Left: xx:xx:xx
Interface: GE0/0/1 NextHop: 1.1.1.254 MAC: xxxx-xxxx-xxxx
<--packets: xxx bytes: xxx --> packets: xxx bytes: xxx
10.3.0.2:43999 --> 3.3.3.3:2048 PolicyName: trust_to_untrust
虚拟系统vsysa中的会话:
<Device> display firewall session table verbose vsys vsysa destination global 3.3.3.3
Current Total Sessions : 1
icmp VPN: vsysa --> public ID: xxxxxxxxxxxxxxxxxxxxxx
Zone: trust --> untrust TTL: xx:xx:xx Left: xx:xx:xx
Interface: Virtual-if1 NextHop: 0.0.0.0 MAC: xxxx-xxxx-xxxx
<--packets: xxx bytes: xxx --> packets: xxx bytes: xxx
10.3.0.2:43999 --> 3.3.3.3:2048 PolicyName: vsysa_trust_to_untrust
Internet中的用户可以主动访问网络A,同时,虚拟系统vsysa和根系统中分别建立如下会话。
说明:10.3.0.3是Internet中的用户访问的网络A中服务器的IP地址;2.2.2.2是Internet中用户主机的IP地址。
根系统中的会话:
<Device> display firewall session table verbose destination global 10.3.0.3
Current Total Sessions : 1
icmp VPN: public --> vsysa ID: xxxxxxxxxxxxxxxxxxxxxx
Zone: untrust --> trust TTL: xx:xx:xx Left: xx:xx:xx
Interface: Virtual-if0 NextHop: 0.0.0.0 MAC: xxxx-xxxx-xxxx
<--packets: xxx bytes: xxx --> packets: xxx bytes: xxx
2.2.2.2:2048 --> 10.3.0.3:43999 PolicyName: untrust_to_trust
虚拟系统vsysa中的会话:
<Device> display firewall session table verbose vsys vsysa destination global 10.3.0.3
Current Total Sessions : 1
icmp VPN: vsysa --> vsysa ID: xxxxxxxxxxxxxxxxxxxxxx
Zone: untrust --> trust TTL: xx:xx:xx Left: xx:xx:xx
Interface: GE0/0/2 NextHop: 10.3.0.254 MAC: xxxx-xxxx-xxxx
<--packets: xxx bytes: xxx --> packets: xxx bytes: xxx
2.2.2.2:2048 --> 10.3.0.3:43999 PolicyName: vsysa_untrust_to_trust
配置脚本
根系统public
#
sysname Device
#
vsys enable
#
vsys name vsysa 1
assign interface GE0/0/2
#
interface GE0/0/1
ip address 1.1.1.1 255.255.255.0
#
interface Virtual-if0
ip address 172.16.0.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface Virtual-if0
#
firewall zone untrust
set priority 5
add interface GE0/0/1
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 10.3.0.0 255.255.255.0 vpn-instance vsysa
#
security-policy
rule name trust_to_untrust
source-zone trust
destination-zone untrust
source-address 10.3.0.0 mask 255.255.255.0
action permit
rule name untrust_to_trust
source-zone untrust
destination-zone trust
destination-address 10.3.0.0 mask 255.255.255.0
action permit
#
return
虚拟系统vsysa
#
interface GE0/0/2
ip address 10.3.0.1 255.255.255.0
#
interface Virtual-if 1
ip address 172.16.1.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GE0/0/2
#
firewall zone untrust
set priority 5
add interface Virtual-if1
#
ip route-static 0.0.0.0 0.0.0.0 public
ip route-static 10.3.0.0 255.255.255.0 10.3.0.254
#
security-policy
rule name vsysa_trust_to_untrust
source-zone trust
destination-zone untrust
source-address 10.3.0.0 mask 255.255.255.0
action permit
rule name vsysa_untrust_to_trust
source-zone untrust
destination-zone trust
destination-address 10.3.0.0 mask 255.255.255.0
action permit
#
return
点击查看:
华为HCIA课程介绍
华为近期开班