当前位置:首页>微思动态 > >详情
全国热线电话 400-881-4699

在线留言

【华为】配置虚拟系统与根系统通过路由表互

发布作者:微思网络   发布时间:2024-11-01   浏览量:0

组网需求

如图6-2所示,设备部署在网络A与Internet之间,虚拟系统vsysa作为网络A的网关设备对网络A进行隔离和保护。设备通过根系统下的公网接口interface1连接到Internet。

设备中需要配置虚拟系统vsysa与根系统public通过路由表互访,实现网络A与Internet之间的互访。

本例中interface1和interface2分别代表GE0/0/1和GE0/0/2。

图片

图6-2 虚拟系统与根系统通过路由表互访

配置思路

采用如下思路配置虚拟系统与根系统通过路由表互访:

  1. 开启虚拟系统功能,创建虚拟系统vsysa并为其分配资源。

  2. 在根系统和虚拟系统vsysa下分别配置接口,并将接口加入安全区域。

  3. 在根系统和虚拟系统vsysa下分别配置路由,对网络A和Internet之间互访的流量进行引流。

  4. 在根系统和虚拟系统vsysa下分别配置安全策略,放行网络A和Internet之间互访的流量。

操作步骤

  1. 开启虚拟系统功能。

<HUAWEI> system-view
[HUAWEI] sysname Device
[Device] vsys enable

  1. 创建虚拟系统vsysa并为其分配接口GE0/0/2。

[Device] vsys name vsysa
[Device-vsys-vsysa] assign interface ge 0/0/2
[Device-vsys-vsysa] quit

  1. 配置根系统下的接口并将接口加入安全区域。

[Device] interface ge 0/0/1
[Device-GE0/0/1] ip address 1.1.1.1 24
[Device-GE0/0/1] quit
[Device] interface Virtual-if 0
[Device-Virtual-if0] ip address 172.16.0.1 24
[Device-Virtual-if0] quit
[Device] firewall zone trust
[Device-zone-trust] add interface Virtual-if 0
[Device-zone-trust] quit
[Device] firewall zone untrust
[Device-zone-untrust] add interface ge 0/0/1
[Device-zone-untrust] quit

  1. 配置根系统下的路由。

# 配置根系统到Internet的路由,将网络A中的用户主动访问Internet的去程流量,或Internet中的用户主动访问网络A的回程流量引入Internet。其中,1.1.1.254是根系统到Internet的下一跳。

[Device] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

# 配置根系统到虚拟系统vsysa的路由,将Internet中的用户主动访问网络A的去程流量引入虚拟系统vsysa。

[Device] ip route-static 10.3.0.0 255.255.255.0 vpn-instance vsysa

  1. 配置根系统下的安全策略。

# 配置trust到untrust的安全策略,放行网络A中的用户主动访问Internet的流量。

[Device] security-policy
[Device-policy-security] rule name trust_to_untrust      
[Device-policy-security-rule-trust_to_untrust] source-zone trust  
[Device-policy-security-rule-trust_to_untrust] destination-zone untrust      
[Device-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24
[Device-policy-security-rule-trust_to_untrust] action permit    
[Device-policy-security-rule-trust_to_untrust] quit

# 配置untrust到trust的安全策略,放行Internet中的用户主动访问网络A的流量。

[Device-policy-security] rule name untrust_to_trust      
[Device-policy-security-rule-untrust_to_trust] source-zone untrust  
[Device-policy-security-rule-untrust_to_trust] destination-zone trust      
[Device-policy-security-rule-untrust_to_trust] destination-address 10.3.0.0 24      
[Device-policy-security-rule-untrust_to_trust] action permit    
[Device-policy-security-rule-untrust_to_trust] quit    
[Device-policy-security] quit

  1. 切换到虚拟系统vsysa的系统视图。

[Device] switch vsys vsysa
<Device-vsysa> system-view

  1. 配置虚拟系统vsysa下的接口并将接口加入安全区域。

[Device-vsysa] interface ge 0/0/2
[Device-vsysa-GE0/0/2] ip address 10.3.0.1 24
[Device-vsysa-GE0/0/2] quit
[Device-vsysa] interface Virtual-if 1
[Device-vsysa-Virtual-if1] ip address 172.16.1.1 24
[Device-vsysa-Virtual-if1] quit
[Device-vsysa] firewall zone trust
[Device-vsysa-zone-trust] add interface ge 0/0/2
[Device-vsysa-zone-trust] quit
[Device-vsysa] firewall zone untrust
[Device-vsysa-zone-untrust] add interface Virtual-if 1
[Device-vsysa-zone-untrust] quit

  1. 配置虚拟系统vsysa下的路由。

# 配置虚拟系统vsysa到根系统的路由,将网络A中的用户主动访问Internet的去程流量引入根系统。

[Device-vsysa] ip route-static 0.0.0.0 0.0.0.0 public

# 配置虚拟系统vsysa到网络A的路由,将网络A中的用户主动访问Internet的回程流量,或Internet中的用户主动访问网络A的去程流量引入网络A。其中,10.3.0.254是虚拟系统vsysa到网络A的下一跳。

[Device-vsysa] ip route-static 10.3.0.0 255.255.255.0 10.3.0.254

  1. 配置虚拟系统vsysa下的安全策略。

# 配置trust到untrust的安全策略,放行网络A中的用户主动访问Internet的流量。

[Device-vsysa] security-policy
[Device-vsysa-policy-security] rule name vsysa_trust_to_untrust      
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] source-zone trust  
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] destination-zone untrust    
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] source-address 10.3.0.0 24
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] action permit    
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] quit

# 配置untrust到trust的安全策略,放行Internet中的用户主动访问网络A的流量。

[Device-vsysa-policy-security] rule name vsysa_untrust_to_trust      
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] source-zone untrust  
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] destination-zone trust
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] destination-address 10.3.0.0 24
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] action permit    
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] quit    
[Device-vsysa-policy-security] quit

检查配置结果

  • 网络A中的用户可以主动访问Internet,同时,虚拟系统vsysa和根系统中分别建立如下会话。

   说明: 3.3.3.3是网络A中的用户访问的Internet中服务器的IP地址;10.3.0.2是网络A中用户主机的IP地址。

根系统中的会话:

<Device> display firewall session table verbose destination global 3.3.3.3
Current Total Sessions : 1
icmp  VPN: public --> public  ID: xxxxxxxxxxxxxxxxxxxxxx
Zone: trust --> untrust  TTL: xx:xx:xx  Left: xx:xx:xx
Interface: GE0/0/1  NextHop: 1.1.1.254  MAC: xxxx-xxxx-xxxx
<--packets: xxx bytes: xxx --> packets: xxx bytes: xxx
10.3.0.2:43999 --> 3.3.3.3:2048 PolicyName: trust_to_untrust

虚拟系统vsysa中的会话:

<Device> display firewall session table verbose vsys vsysa destination global 3.3.3.3
Current Total Sessions : 1
icmp  VPN: vsysa --> public  ID: xxxxxxxxxxxxxxxxxxxxxx
Zone: trust --> untrust  TTL: xx:xx:xx  Left: xx:xx:xx
Interface: Virtual-if1  NextHop: 0.0.0.0  MAC: xxxx-xxxx-xxxx
<--packets: xxx bytes: xxx --> packets: xxx bytes: xxx
10.3.0.2:43999 --> 3.3.3.3:2048 PolicyName: vsysa_trust_to_untrust

  • Internet中的用户可以主动访问网络A,同时,虚拟系统vsysa和根系统中分别建立如下会话。

说明:10.3.0.3是Internet中的用户访问的网络A中服务器的IP地址;2.2.2.2是Internet中用户主机的IP地址。

根系统中的会话:

<Device> display firewall session table verbose destination global 10.3.0.3
Current Total Sessions : 1
icmp  VPN: public --> vsysa  ID: xxxxxxxxxxxxxxxxxxxxxx
Zone: untrust --> trust  TTL: xx:xx:xx  Left: xx:xx:xx
Interface: Virtual-if0  NextHop: 0.0.0.0  MAC: xxxx-xxxx-xxxx
<--packets: xxx bytes: xxx --> packets: xxx bytes: xxx
2.2.2.2:2048 --> 10.3.0.3:43999 PolicyName: untrust_to_trust

虚拟系统vsysa中的会话:

<Device> display firewall session table verbose vsys vsysa destination global 10.3.0.3
Current Total Sessions : 1
icmp  VPN: vsysa --> vsysa  ID: xxxxxxxxxxxxxxxxxxxxxx
Zone: untrust --> trust  TTL: xx:xx:xx  Left: xx:xx:xx
Interface: GE0/0/2  NextHop: 10.3.0.254  MAC: xxxx-xxxx-xxxx
<--packets: xxx bytes: xxx --> packets: xxx bytes: xxx
2.2.2.2:2048 --> 10.3.0.3:43999 PolicyName: vsysa_untrust_to_trust

配置脚本

  • 根系统public

#
sysname Device
#
vsys enable
#
vsys name vsysa 1
assign interface GE0/0/2
#
interface GE0/0/1
ip address 1.1.1.1 255.255.255.0  
#
interface Virtual-if0  
ip address 172.16.0.1 255.255.255.0      
#
firewall zone trust
set priority 85  
add interface Virtual-if0
#
firewall zone untrust    
set priority 5  
add interface GE0/0/1
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 10.3.0.0 255.255.255.0 vpn-instance vsysa
#
security-policy  
rule name trust_to_untrust
 source-zone trust  
 destination-zone untrust
 source-address 10.3.0.0 mask 255.255.255.0
 action permit
rule name untrust_to_trust
 source-zone untrust  
 destination-zone trust
 destination-address 10.3.0.0 mask 255.255.255.0
 action permit
#
return

  • 虚拟系统vsysa

#
interface GE0/0/2  
ip address 10.3.0.1 255.255.255.0  
#
interface Virtual-if 1  
ip address 172.16.1.1 255.255.255.0      
#
firewall zone trust
set priority 85  
add interface GE0/0/2    
#
firewall zone untrust
set priority 5  
add interface Virtual-if1      
#
ip route-static 0.0.0.0 0.0.0.0 public
ip route-static 10.3.0.0 255.255.255.0 10.3.0.254
#
security-policy  
rule name vsysa_trust_to_untrust
 source-zone trust  
 destination-zone untrust    
 source-address 10.3.0.0 mask 255.255.255.0
 action permit
rule name vsysa_untrust_to_trust
 source-zone untrust  
 destination-zone trust
 destination-address 10.3.0.0 mask 255.255.255.0
 action permit    
#
return


点击查看:
华为HCIA课程介绍

华为HCIP课程介绍

华为HCIE课程介绍

华为近期开班

图片



返回顶部