华为防火墙::通过虚拟系统隔离企业部门(三层接入,虚拟系统有独立公网接口)
华为防火墙::通过虚拟系统隔离企业部门(三层接入,虚拟系统有独立公网接口)
配置思路
根系统管理员分别创建虚拟系统vsysa、vsysb并为每个虚拟系统分配资源。
根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略和NAT策略。
根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略和NAT策略。
(1)物理拓扑图
(2)逻辑拓扑图
(3)使用根系统管理员账号登录FW,开启虚拟系统功能与配置相关参数。
[FW] vsys enable
# 配置资源类。
resource-class r1
resource-item-limit session reserved-number 10000 maximum 50000
resource-item-limit policy reserved-number 300
resource-item-limit user reserved-number 300
resource-item-limit user-group reserved-number 10
resource-item-limit bandwidth 20 outbound
quit
# 创建虚拟系统并分配资源。
vsys name vsysa
assign resource-class r1
assign interface GigabitEthernet 0/0/1
assign interface GigabitEthernet 0/0/3
quit
vsys name vsysb
assign resource-class r1
assign interface GigabitEthernet 0/0/2
assign interface GigabitEthernet 0/0/4
quit
# 配置公共接口。
interface GigabitEthernet 0/0/1
set public-interface
quit
interface GigabitEthernet 0/0/2
set public-interface
quit
(4)根系统管理员为虚拟系统vsysa配置接口相关参数。
switch vsys vsysa
system-view
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.3.0.254 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/3
undo shutdown
ip address 10.1.1.8 255.255.255.0
service-manage ping permit
set public-interface
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/3
#实验测试,直接permit any any
security-policy
rule name permitany
action permit
(5)根系统管理员为虚拟系统vsysb配置接口相关参数。
switch vsys vsysb
system-view
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.3.1.254 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 10.1.1.9 255.255.255.0
service-manage ping permit
set public-interface
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#实验测试,直接permit any any
security-policy
rule name permitany
action permit
(5)测试
(5)虚拟系统创建管理用户
如果用户名不符合规范,会有提示:“用户名:用户名必须带后缀(@@虚拟系统名称)”
aaa
manager-user admin@@vsysa
password cipher xxx
service-type web telnet ssh
level 15
authentication-scheme admin_local
测试登录:
知识点:
如果根系统的管理员帐号登录系统,可以在右上角处选择切换到虚拟系统的配置界面:默认界面是public
如果需要在命令行切换配置界面:如切换到vsysa的配置界面:使用命令 switch vsys vsysa
接口的配置:根的管理员帐号可以同时看到各个虚拟系统的接口
疑问:如果在物理防火墙的保存配置,那虚拟机上的配置也会保存吗?
答案:会
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为防火墙::通过虚拟系统隔离企业部门(三层接入,虚拟系统有独立公网接口)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm