VSYS虚拟防火墙

  1. 拓扑设计

VSYS虚拟防火墙_第1张图片

  1. 拓扑介绍

LY集团 山东分公司网络拓扑如上。现有财务部,研发部与服务器区域。为了保证内网安全需要为每个区域布置不同的流量检测或杀毒模块。所有到达区域的流量都需要经过杀毒检测区域检测流量是否安全合法才可进入区域,又因资金有限所以杀毒检测区域只有一台服务器,现需要合理配置FW实现为3个区域的流量进行检测。

  1. 数据配置

SW配置

vlan batch 10 20 30 40 50

#

ip -instance vlan10    //创建实例

 ipv4-family

#

ip -instance vlan20

 ipv4-family

#

interface Vlanif1

#

interface Vlanif10

 ip binding -instance vlan10

 ip address 192.168.10.1 255.255.255.0

 ospf enable 1 area 0.0.0.0

#

interface Vlanif20

 ip binding -instance vlan20

 ip address 192.168.20.1 255.255.255.0

 ospf enable 2 area 0.0.0.0

#

interface Vlanif30

 ip address 192.168.30.1 255.255.255.0

 ospf enable 3 area 0.0.0.0

#

interface Vlanif40

 ip address 192.168.40.1 255.255.255.0

 ospf enable 3 area 0.0.0.0

#

interface Vlanif50

 ip address 192.168.50.1 255.255.255.0

 ospf enable 3 area 0.0.0.0

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 10

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 20

#

interface GigabitEthernet0/0/3

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

#

interface GigabitEthernet0/0/4

 port link-type access

 port default vlan 50

#

ospf 1 -instance vlan10

 area 0.0.0.0

#

ospf 2 -instance vlan20

 area 0.0.0.0

#

ospf 3

 area 0.0.0.0

FW配置

vlan batch 10 20 30 40

int vlan 10

int vlan 20

int vlan 30

int vlan 40

#

vsys name vlan10    //创建虚拟防火墙并分配资源

 assign vlan 10

 assign vlan 30

#

vsys name vlan20

 assign vlan 20

 assign vlan 40

#

switch  vsys  vlan10

firewall zone trust

 set priority 85

 add interface Vlanif10

 add interface Vlanif30

#

security-policy

 rule name 1t2

  action permit

#

switch  vsys  vlan20

firewall zone trust

 set priority 85

 add interface Vlanif20

 add interface Vlanif40

#

security-policy

 rule name 1t2

  action permit

#

ospf 1 -instance vlan10

area 0

#

ospf 1 -instance vlan20

area 0

#

interface Vlanif10

 ip binding -instance vlan10

 ip address 192.168.10.2 255.255.255.0

 ospf enable 1 area 0.0.0.0

service-manage all permit

#

interface Vlanif20

 ip binding -instance vlan20

 ip address 192.168.20.2 255.255.255.0

 ospf enable 2 area 0.0.0.0

service-manage all permit

#

interface Vlanif30

 ip binding -instance vlan10

 ip address 192.168.30.2 255.255.255.0

 ospf enable 1 area 0.0.0.0

service-manage all permit

#

interface Vlanif40

 ip binding -instance vlan20

 ip address 192.168.40.2 255.255.255.0

 ospf enable 2 area 0.0.0.0

service-manage all permit

service-manage http permit

service-manage https permit

service-manage ping permit

service-manage ssh permit

service-manage telnet permit

  1. 查看现象
  • 财务部Tracert研发部

VSYS虚拟防火墙_第2张图片

查看上图,可以看到财务部门访问研发部时,流量会经过杀毒区域进行检测。符合预期

  • 研发部Tracert财务部

VSYS虚拟防火墙_第3张图片

查看上图,可以看到财务部门访问研发部时,流量会经过杀毒区域进行检测。符合预期

  • 研发部or财务部Tracert服务器区域

VSYS虚拟防火墙_第4张图片

流量转发时,经过防火墙检测是否合法再进入区域

VSYS虚拟防火墙_第5张图片

可以看到三个区域之间互访流量都会经过杀毒检测区域进行杀毒后进入区域,符合预期效果

  1. 控制平面与转发平面
  • 控制平面

VSYS虚拟防火墙_第6张图片

从控制平面来看

  1. 交换机将研发部路由通过实例B传递给FW的实例B
  2. FW的实例B继续将路由传递于交换机的全局
  3. 交换机的全局收到路由后通过路由协议将路由传递给FW的实例A
  4. FW实例A继续将路由传递于交换机的实例A
  5. 交换机的实例A收到了B的路由
  • 转发平面

VSYS虚拟防火墙_第7张图片

从转发平面来看,财务部访问研发部

  1. 流量进入交换机后,会进入A实例
  2. A实例通过OSPF将流量转发到FW的A实例
  3. FW的A实例将流量继续转发到交换机的全局
  4. 交换机全局将流量转发到FW的实例B
  5. FW实例B将流量转发到交换机的实例B
  6. 交换机现在可以把流量正常转发到研发部

  1. 配置细节

VSYS虚拟防火墙_第8张图片

如果需要流量先经过防火墙再回到交换机,那么就需要将交换机的路由表通过-instance隔离开。交换机的实例B与FW的实例B通过OSPF建立邻居,FW的实例B又与交换机的全局建立邻居关系,现在就可以实现交换机实例A发往全局的流量需要经过FW。

SW的全局与FW的B实例建立邻居关系,FW的B实例与SW的B实例建立邻居关系,这样就相当于SW的B实例与全局也建立了邻居,流量在B实例访问全局时,也会实现经过FW。

这样,SW需要运行3个OSPF进程,FW需要运行2个OSPF进程分别建立邻居来实现效果。

  1. 注意事项
  • 防火墙的三层端口要加入service-manage all permit命令
  • 防火墙的端口要配置trunk要先portswitch

你可能感兴趣的:(数据通信,网络)