华为防火墙::通过虚拟系统隔离企业部门(三层接入,虚拟系统有独立公网接口)

华为防火墙::通过虚拟系统隔离企业部门(三层接入,虚拟系统有独立公网接口)

配置思路
    根系统管理员分别创建虚拟系统vsysa、vsysb并为每个虚拟系统分配资源。
    根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略和NAT策略。
    根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略和NAT策略。

(1)物理拓扑图

图片.png

(2)逻辑拓扑图

图片.png

(3)使用根系统管理员账号登录FW,开启虚拟系统功能与配置相关参数。
[FW] vsys enable

# 配置资源类。
resource-class r1
     resource-item-limit session reserved-number 10000 maximum 50000
     resource-item-limit policy reserved-number 300
     resource-item-limit user reserved-number 300
     resource-item-limit user-group reserved-number 10
     resource-item-limit bandwidth 20 outbound
     quit
图片.png

# 创建虚拟系统并分配资源。
vsys name vsysa
     assign resource-class r1
     assign interface GigabitEthernet 0/0/1
     assign interface GigabitEthernet 0/0/3
     quit
vsys name vsysb
     assign resource-class r1
     assign interface GigabitEthernet 0/0/2
     assign interface GigabitEthernet 0/0/4
     quit

图片.png

 # 配置公共接口。
interface GigabitEthernet 0/0/1
     set public-interface
     quit
interface GigabitEthernet 0/0/2
     set public-interface
     quit

图片.png


(4)根系统管理员为虚拟系统vsysa配置接口相关参数。
switch vsys vsysa
   system-view
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 10.3.0.254 255.255.255.0
 service-manage ping permit               
#
interface GigabitEthernet1/0/3
 undo shutdown
 ip address 10.1.1.8 255.255.255.0
 service-manage ping permit
 set public-interface
图片.png

firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/3
 #实验测试,直接permit any any
security-policy
 rule name permitany
  action permit
 
  (5)根系统管理员为虚拟系统vsysb配置接口相关参数。
switch vsys vsysb
   system-view
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.3.1.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.1.1.9 255.255.255.0
 service-manage ping permit
 set public-interface                     
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
 
 #实验测试,直接permit any any
security-policy
 rule name permitany
  action permit


  (5)测试

图片.png

图片.png

  (5)虚拟系统创建管理用户

如果用户名不符合规范,会有提示:“用户名:用户名必须带后缀(@@虚拟系统名称)”

图片.png

图片.png

aaa
  manager-user admin@@vsysa
     password cipher xxx
    service-type web telnet ssh
    level 15
    authentication-scheme admin_local

测试登录:

图片.png

图片.png


知识点:

如果根系统的管理员帐号登录系统,可以在右上角处选择切换到虚拟系统的配置界面:默认界面是public

如果需要在命令行切换配置界面:如切换到vsysa的配置界面:使用命令 switch vsys vsysa

图片.png


接口的配置:根的管理员帐号可以同时看到各个虚拟系统的接口

图片.png

疑问:如果在物理防火墙的保存配置,那虚拟机上的配置也会保存吗?

答案:会


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为防火墙::通过虚拟系统隔离企业部门(三层接入,虚拟系统有独立公网接口)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!