配置华为防火墙虚拟系统

实验目的:

如图所示,在防火墙上创建两个虚拟系统,分别命名为vsysa、vsysb,PC1属于vsysa、PC2属于vsysb,最终实现PC1和PC2能够互相访问。

实验拓扑:

配置华为防火墙虚拟系统_第1张图片

实验步骤:

步骤1:创建虚拟系统,并且将虚拟系统、根系统都视为独立的设备,将虚拟接口视为设备之间通信对应的接口,通过划分到对应的虚拟系统。

FW1的配置:

[FW1]vsys enable

[FW1]vsys name vsysa//创建虚拟系统,名字为vsysa

[FW1-vsys-vsysa] assign interface GigabitEthernet1/0/0//将G0/0/0口划分到vsysa

[FW1-vsys-vsysa] quit

[FW1]vsys name vsysb //创建虚拟系统,名字为vsysa

[FW1-vsys-vsysb] assign interface GigabitEthernet1/0/1/将虚拟接口加入G0/0/1口划分到vsysb

[FW1-vsys-vsysb] quit

步骤2:进入虚拟系统视图,配置接口ip地址,并且将接口划分到安全区域并按照。

1)配置vsysa的ip地址

[FW1]switch vsys vsysa



[FW1-vsysa]display  inter br

Interface                   PHY   Protocol  InUti OutUti   inErrors  outErrors

GigabitEthernet1/0/0        up    up           0%     0%          0          0

Virtual-if1                 up    up(s)        --     --          0          0

通过以上输出可以发现,设备为vsysa分配了一个虚拟接口virtual-if1,用于与其他虚拟系统通信。

[FW1-vsysa]interface GigabitEthernet1/0/0

[FW1-vsysa-GigabitEthernet1/0/0]ip address 11.1.1.1 255.255.255.0

[FW1-vsysa-GigabitEthernet1/0/0]q

[FW1-vsysa]interface Virtual-if1

[FW1-vsysa-Virtual-if1] ip address 172.16.1.1 255.255.255.255

2)将vsysa的接口划分到安全区域

[FW1-vsysa]firewall zone trust

[FW1-vsysa-zone-trust]add interface GigabitEthernet1/0/0

[FW1-vsysa-zone-trust]q

[FW1-vsysa]firewall zone dmz

[FW1-vsysa-zone-dmz]add interface Virtual-if1

3)配置一般设备间互访vsysb的思路ip地址(配置前注意退出到根系统)

[FW1]switch vsys vsysb



[FW1-vsysb]display  int br

Interface                   PHY   Protocol  InUti OutUti   inErrors  outErrors

GigabitEthernet1/0/1        up    up           0%     0%          0          0

Virtual-if2                 up    up(s)        --     --          0          0

通过以上输出可以发现,设备为vsysa分配了一个虚拟接口virtual-if2,用于与其他虚拟系统通信。

[FW1-vsysb]interface GigabitEthernet1/0/1

[FW1-vsysb-GigabitEthernet1/0/1]ip address 12.1.1.1 255.255.255.0

[FW1-vsysb-GigabitEthernet1/0/1]q

[FW1-vsysb]interface Virtual-if2

[FW1-vsysb-Virtual-if2] ip address 172.16.2.1 255.255.255.255

4)将vsysb的接口划分到安全区域

[FW1-vsysb]firewall zone trust

[FW1-vsysb-zone-trust]add interface GigabitEthernet1/0/1

[FW1-vsysb-zone-trust]q

[FW1-vsysb]firewall zone dmz

[FW1-vsysb-zone-dmz]add interface Virtual-if2

查看设备的实例

[FW1]display  ip -instance

2023-12-02 03:21:57.000

 Total VPN-Instances configured      : 3

 Total IPv4 VPN-Instances configured : 3

 Total IPv6 VPN-Instances configured : 2

  VPN-Instance Name               RD                    Address-family

  default                                               IPv4

  vsysa                                                 IPv4

  vsysa                                                 IPv6

  vsysb                                                 IPv4

  vsysb                                                 IPv6

通过以上输出可知,创建了虚拟系统vsysa和vsysb的同时,设备上会自动创建两个同名的实例。虚拟之间的通信则查询对应的实例路由表即可。

步骤3:配置静态路由和策略,就能实现,实现路由可达,不同的虚拟系统通信,需要通过virtual-if接口通信,因此静态路由的下一跳,写虚拟系统的实例即可。

[FW1]ip route-static -instance  vsysa 12.1.1.0 24 -instance vsysb

[FW1]ip route-static -instance  vsysb 11.1.1.0 24 -instance vsysa

查询路由表:

[FW1]display  ip routing-table -instance vsysa

2023-12-02 03:23:27.090

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: vsysa

         Destinations : 4        Routes : 4



Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface



       11.1.1.0/24  Direct  0    0           D   11.1.1.1        GigabitEthernet1/0/0

       11.1.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet1/0/0

       12.1.1.0/24  Static  60   0           D   172.16.2.1      Virtual-if2

     172.16.1.1/32  Direct  0    0           D   127.0.0.1       Virtual-if1



[FW1]display  ip routing-table -instance vsysb

2023-12-02 03:23:29.040

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: vsysb

         Destinations : 4        Routes : 4



Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface



       11.1.1.0/24  Static  60   0           D   172.16.1.1      Virtual-if1

       12.1.1.0/24  Direct  0    0           D   12.1.1.1        GigabitEthernet1/0/1

       12.1.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet1/0/1

     172.16.2.1/32  Direct  0    0           D   127.0.0.1       Virtual-if2

通过以上输出可知,vsysa、vsysb两个实例有去往对端业务网段的路由,并且下一跳为对端虚拟系统的vritual-if接口。

步骤4:配置两个虚拟系统和根系统的的安全策略。

配置vsysa的安全策略,放行PC1访问PC2的流量以及PC2访问PC1的流量。

[FW1]switch vsys vsysa

sys

Enter system view, return user view with Ctrl+Z.

[FW1-vsysa]security-policy

[FW1-vsysa-policy-security] rule name trust_dmz

[FW1-vsysa-policy-security-rule-trust_dmz]  source-zone dmz

[FW1-vsysa-policy-security-rule-trust_dmz]  source-zone trust

[FW1-vsysa-policy-security-rule-trust_dmz]  destination-zone dmz

[FW1-vsysa-policy-security-rule-trust_dmz]  destination-zone trust

[FW1-vsysa-policy-security-rule-trust_dmz]  action permit



[FW1]switch vsys vsysb

sys

Enter system view, return user view with Ctrl+Z.

[FW1-vsysb]security-policy

[FW1-vsysb-policy-security] rule name trust_dmz

[FW1-vsysb-policy-security-rule-trust_dmz]  source-zone dmz

[FW1-vsysb-policy-security-rule-trust_dmz]  source-zone trust

[FW1-vsysb-policy-security-rule-trust_dmz]  destination-zone dmz

[FW1-vsysb-policy-security-rule-trust_dmz]  destination-zone trust

[FW1-vsysb-policy-security-rule-trust_dmz]  action permit

测试:

使用PC1访问PC2

配置华为防火墙虚拟系统_第2张图片

使用PC2访问PC1

配置华为防火墙虚拟系统_第3张图片

你可能感兴趣的:(华为认证datacom实验,网络)