两个虚拟系统之间跨共享虚拟系统(Shared-vsys)互访

两个虚拟系统之间跨共享虚拟系统(Shared-vsys)互访
除了两个虚拟系统之间进行直接互访以外,FW还支持两个虚拟系统之间跨虚拟系统进行间接互访,即在两个虚拟系统间增加一个共享虚拟系统(Shared-vsys)作为路由中转,实现两个虚拟系统之间的互访。
配置此场景下的虚拟系统间互访之前,需要先在根系统的系统视图下执行命令firewall forward cross-vsys extended,配置虚拟系统的互访模式为扩展模式。
在扩展模式下,设备引入了共享虚拟系统(Shared-vsys)的概念,通过在FW中创建一个配置为扩展模式的共享虚拟系统作为路由中转,实现两个虚拟系统跨Shared-vsys间接互访,如图1所示。vsysa和vsysb之间的报文通过Shared-vsys转发,由于将FW配置为扩展模式,报文从vsysa发出经过Shared-vsys转发到vsysb时不会被丢弃,同一报文最多可以进行三次转发流程处理。同时,Shared-vsys可对外连接到某一局域网或云上,与网络A、网络B形成“总部-分支”或“云服务供应商-租户”的关系,网络A与网络B之间传递的报文将在其所属的网络或云内进行转发,实现与外网的隔离。
图1 扩展模式下两个虚拟系统跨共享虚拟系统(Shared-vsys)互访

图片.png

在两个虚拟系统之间跨Shared-vsys间接互访的场景下,报文先从网络A的客户端发出,进入虚拟系统vsysa,虚拟系统vsysa按照防火墙转发流程对报文进行处理,然后报文进入共享虚拟系统Shared-vsys,共享虚拟系统Shared-vsys作为路由中转,按照防火墙转发流程对报文进行处理,并将报文转发到虚拟系统vsysb,虚拟系统vsysb再次按照防火墙转发流程处理报文,并最终将报文转发到网络B中的服务器。具体过程如下。
(1)网络A中的客户端向网络B中的服务器发起连接。
(2)首包到达FW后,基于接口分流,被送入虚拟系统vsysa。vsysa按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、做NAT、匹配安全策略等等。如果vsysa不允许转发报文,则丢弃报文,流程结束;如果vsysa允许转发报文,则将报文送入Shared-vsys中处理。同时,vsysa会为这条连接建立如下会话。
 <FW> display firewall session table verbose vsys vsysa destination global 10.3.1.3

图片.png

(3)Shared-vsys的虚拟接口Virtual-if3收到报文后,按照防火墙转发流程对报文进行处理。如果Shared-vsys不允许转发报文,则丢弃报文,流程结束;如果Shared-vsys允许转发报文,则将报文送入vsysb中处理。同时,Shared-vsys会为这条连接建立如下会话。

图片.png

(4)vsysb的虚拟接口Virtual-if2收到报文后,按照防火墙转发流程对报文进行处理。如果vsysb不允许转发报文,则丢弃报文,流程结束;如果vsysb允许转发报文,则将报文发往服务器。同时,vsysb会为这条连接建立如下会话。

图片.png

(5)报文经过路由转发后,最终到达目的服务器。
因为三个虚拟系统都需要按照防火墙转发流程对报文进行处理,所以需要分别完成策略、路由等的配置。
a、策略配置的关键在于确定源和目的安全区域。
图片.png

b、三个虚拟系统的路由配置方法如下。
vsysa的去程路由
图片.png
vsysa的回程路由
图片.png


vsysb的去程路由
图片.png
vsysb的回程路由
vsysb中不需要针对服务器回应的报文配置回程路由。服务器回应的报文在vsysb中匹配会话表后,直接发送到Shared-vsys中处理。这点和同虚拟系统内转发场景下路由的配置有所不同。


Shared-vsys的去程路由
图片.png
Shared-vsys的回程路由
Shared-vsys中不需要针对vsysb回应的报文配置回程路由。vsysb回应的报文在Shared-vsys中匹配会话表后,直接发送到vsysa中处理。这点和同虚拟系统内转发场景下路由的配置有所不同。


说明:
按上述方法配置,只能实现vsysa到vsysb的单向通信,即只能是vsysa中主机主动向vsysb中服务器发起访问,vsysb中主机不能主动向vsysa中主机发起访问。
如果vsysb中主机有主动访问vsysa中主机的需求,则需要配置vsysb到vsysa的路由。如图1中,允许vsysb中主机通过Shared-vsys访问vsysa中IP地址为10.3.0.3的主机,vsysb的路由配置命令为ip route-static vpn-instance vsysb 10.3.0.0 255.255.255.0 vpn-instance Shared_vsys,Shared-vsys的路由配置命令为ip route-static vpn-instance Shared_vsys 10.3.0.0 255.255.255.0 vpn-instance vsysa。同时,也需要配置策略。策略的源和目的安全区域与vsysa访问vsysb时相反。


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 两个虚拟系统之间跨共享虚拟系统(Shared-vsys)互访

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!