两个虚拟系统之间直接互访

两个虚拟系统之间直接互访
FW的虚拟系统之间默认是互相隔离的，不同虚拟系统下的主机不能通信。如果两个虚拟系统下主机有通信的需求，就需要配置策略和路由，使不同虚拟系统能够互访。
如图1所示，通过配置虚拟系统间互访，虚拟系统vsysa下10.3.0.0/24网段的用户可以访问虚拟系统vsysb下服务器10.3.1.3。
图1 两个虚拟系统间的互访示意图

该场景是虚拟系统vsysa向虚拟系统vsysb发起访问。报文先进入虚拟系统vsysa，虚拟系统vsysa按照防火墙转发流程对报文进行处理。然后报文进入虚拟系统vsysb，虚拟系统vsysb再次按照防火墙转发流程对报文进行处理。具体过程如下。
（1）客户端向服务器发起连接。
（2）首包到达FW后，基于接口分流，被送入虚拟系统vsysa。vsysa按照防火墙转发流程对报文进行处理，包括匹配黑名单、查找路由、做NAT、匹配安全策略等等。如果vsysa不允许转发报文，则丢弃报文，流程结束；如果vsysa允许转发报文，则将报文送入vsysb中处理。同时，vsysa会为这条连接建立如下会话。

（3）vsysb的虚拟接口Virtual-if2收到报文后，vsysb按照防火墙转发流程对报文进行处理，包括匹配黑名单、查找路由、做NAT、匹配安全策略等等。如果vsysb不允许转发报文，则丢弃报文，流程结束；如果vsysb允许转发报文，则将报文发往服务器。同时，vsysb会为这条连接建立如下会话。

（4）报文经过路由转发后，到达目的服务器。
因为两个虚拟系统都需要按照防火墙转发流程对报文进行处理，所以两个虚拟系统中要分别完成策略、路由等配置。
a、策略配置的关键在于确定源和目的安全区域。

b、两个虚拟系统的路由配置方法如下。
vsysa的去程路由

vsysa的回程路由

vsysb的去程路由

vsysb的回程路由

vsysb中不需要针对服务器回应的报文配置回程路由。服务器回应的报文在vsysb中匹配会话表后，直接发送到vsysa中处理。这点和同虚拟系统内转发场景下路由的配置有所不同。

按上述方法配置，只能实现vsysa到vsysb的单向通信，即只能是vsysa中主机主动向vsysb中主机发起访问，vsysb中主机不能主动向vsysa中主机发起访问。
如果vsysb中主机有主动访问vsysa中主机的需求，则需要配置vsysb到vsysa的路由。
如图1中，允许vsysb中主机访问vsysa中IP地址为10.3.0.3的主机，路由配置命令为ip route-static vpn-instance vsysb 10.3.0.3 255.255.255.255 vpn-instance vsysa。同时，也需要配置策略。策略的源和目的安全区域与vsysa访问vsysb时相反。