华为防火墙:通过虚拟系统隔离企业部门(三层接入,虚拟系统共用根系统公网接口)虚拟系统间的路由配置
华为防火墙:通过虚拟系统隔离企业部门(三层接入,虚拟系统共用根系统公网接口)虚拟系统间的路由配置
(1)拓扑图
(2)根系统管理员分别创建虚拟系统vsysa和vsysb,并为其分配资源。
vsys enable
resource-class r0
resource-class r1
resource-item-limit session reserved-number 10000 maximum 50000
resource-item-limit bandwidth 20 outbound
resource-item-limit policy reserved-number 300
resource-item-limit user reserved-number 300
resource-item-limit user-group reserved-number 10
#
#
vsys name vsysa 1
assign interface GigabitEthernet1/0/1
assign resource-class r1
#
vsys name vsysb 2
assign interface GigabitEthernet1/0/2
assign resource-class r1
#
(2)# 根系统管理员为虚拟系统vsysa创建管理员“admin@@vsysa”。
switch vsys vsysa
aaa
manager-user admin@@vsysa
password cipher xxx
service-type web telnet ssh
level 15
(4)#根系统配置接口,并将接口加入安全区域。Virtual-if0接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。
interface Virtual-if0
ip address 172.16.0.1 255.255.255.0
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface Virtual-if0
(5)配置缺省路由、安全策略、NAT策略
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
security-policy
rule name permitany
action permit
#
nat-policy
rule name nat1
source-zone trust
egress-interface GigabitEthernet1/0/0
source-address 10.3.0.0 mask 255.255.0.0
action source-nat easy-ip
(6)为虚拟系统vsysa配置IP地址、路由和安全策略。
Virtual-if的编号会根据系统中ID占用情况自动分配。所以实际配置时,可能不是Virtual-if1。
switch vsys vsysa
interface Virtual-if1
ip address 172.16.1.1 255.255.255.0
firewall zone untrust
add interface Virtual-if1
ip route-static 0.0.0.0 0.0.0.0 public
security-policy
rule name permitany
action permit
switch vsys vsysb
interface Virtual-if2
ip address 172.16.2.1 255.255.255.0
firewall zone untrust
add interface Virtual-if2
ip route-static 0.0.0.0 0.0.0.0 public
security-policy
rule name permitany
action permit
(7)查看
根系统上查看虚拟系统的路由表:
虚拟系统上查看路由表:
(8)测试:已经可以ping通外网
(9)测试:虚拟系统间的内网互ping,结果:不通
(10)根系统管理员为虚拟系统的内网间的通信配置路由。
根系统:
ip route-static vpn-instance vsysa 10.3.1.0 255.255.255.0 vpn-instance vsysb
ip route-static vpn-instance vsysb 10.3.0.0 255.255.255.0 vpn-instance vsysa
直后display路由表是看不到刚刚配置的虚拟系统间的路由的
测试:虚拟系统间的路由已通
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为防火墙:通过虚拟系统隔离企业部门(三层接入,虚拟系统共用根系统公网接口)虚拟系统间的路由配置
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm