两个虚拟系统之间直接互访
两个虚拟系统之间直接互访
FW的虚拟系统之间默认是互相隔离的,不同虚拟系统下的主机不能通信。如果两个虚拟系统下主机有通信的需求,就需要配置策略和路由,使不同虚拟系统能够互访。
如图1所示,通过配置虚拟系统间互访,虚拟系统vsysa下10.3.0.0/24网段的用户可以访问虚拟系统vsysb下服务器10.3.1.3。
图1 两个虚拟系统间的互访示意图
该场景是虚拟系统vsysa向虚拟系统vsysb发起访问。报文先进入虚拟系统vsysa,虚拟系统vsysa按照防火墙转发流程对报文进行处理。然后报文进入虚拟系统vsysb,虚拟系统vsysb再次按照防火墙转发流程对报文进行处理。具体过程如下。
(1)客户端向服务器发起连接。
(2)首包到达FW后,基于接口分流,被送入虚拟系统vsysa。vsysa按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、做NAT、匹配安全策略等等。如果vsysa不允许转发报文,则丢弃报文,流程结束;如果vsysa允许转发报文,则将报文送入vsysb中处理。同时,vsysa会为这条连接建立如下会话。
(3)vsysb的虚拟接口Virtual-if2收到报文后,vsysb按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、做NAT、匹配安全策略等等。如果vsysb不允许转发报文,则丢弃报文,流程结束;如果vsysb允许转发报文,则将报文发往服务器。同时,vsysb会为这条连接建立如下会话。
(4)报文经过路由转发后,到达目的服务器。
因为两个虚拟系统都需要按照防火墙转发流程对报文进行处理,所以两个虚拟系统中要分别完成策略、路由等配置。
a、策略配置的关键在于确定源和目的安全区域。
b、两个虚拟系统的路由配置方法如下。
vsysa的去程路由
vsysa的回程路由
vsysb的去程路由
vsysb的回程路由
vsysb中不需要针对服务器回应的报文配置回程路由。服务器回应的报文在vsysb中匹配会话表后,直接发送到vsysa中处理。这点和同虚拟系统内转发场景下路由的配置有所不同。
按上述方法配置,只能实现vsysa到vsysb的单向通信,即只能是vsysa中主机主动向vsysb中主机发起访问,vsysb中主机不能主动向vsysa中主机发起访问。
如果vsysb中主机有主动访问vsysa中主机的需求,则需要配置vsysb到vsysa的路由。
如图1中,允许vsysb中主机访问vsysa中IP地址为10.3.0.3的主机,路由配置命令为ip route-static vpn-instance vsysb 10.3.0.3 255.255.255.255 vpn-instance vsysa。同时,也需要配置策略。策略的源和目的安全区域与vsysa访问vsysb时相反。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 两个虚拟系统之间直接互访
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm