CLI举例:通过虚拟系统隔离企业部门(二层接入)
CLI举例:通过虚拟系统隔离企业部门(二层接入)
设备二层接入企业网络,通过虚拟系统实现企业内不同部门的网络隔离,并为每个虚拟系统配置对应的管理员方便配置管理。
组网需求
如图1所示,某中型企业A购买一台防火墙作为网关。由于其内网员工众多,根据权限不同划分为研发部门、财经部门、行政部门三大网络。需要分别配置不同的安全策略。具体要求如下:
企业网络已经部署完成,不希望改变原来的网络拓扑,需要设备以二层模式接入网络。
财经部门禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门则全部可以访问Internet。
三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。
通过虚拟系统实现上述需求。
图1 网络隔离组网图(二层接入)
数据规划
项目 | 数据 | 说明 |
---|---|---|
vsysa |
| 公网接口GE0/0/1和私网接口GE0/0/2均为Trunk接口,根据VLAN的分配情况同时分配给多个虚拟系统。 |
vsysb |
| - |
vsysc |
| - |
资源类 |
| 三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。 |
配置思路
配置GE0/0/1和GE0/0/2为Trunk接口,并将接口加入VLAN。
根系统管理员分别创建虚拟系统vsysa、vsysb、vsysc并为每个虚拟系统分配VLAN、分配资源和配置管理员。
研发部门的管理员登录设备,为虚拟系统vsysa配置安全策略。
财经部门的管理员登录设备,为虚拟系统vsysb配置安全策略。
行政部门的管理员登录设备,为虚拟系统vsysc配置安全策略。
操作步骤
1、配置GE0/0/1和GE0/0/2为Trunk接口,并将接口加入VLAN。
# 使用根系统管理员账号登录FW。
# 创建VLAN。
<FW> system-view
[FW] vlan 10
[FW-vlan-10] quit
[FW] vlan 20
[FW-vlan-20] quit
[FW] vlan 30
[FW-vlan-30] quit
# 配置接口。
[FW] interface GigabitEthernet 0/0/1
[FW-GigabitEthernet0/0/1] portswitch
[FW-GigabitEthernet0/0/1] port link-type trunk
[FW-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 30
[FW-GigabitEthernet0/0/1] quit
[FW] interface GigabitEthernet 0/0/2
[FW-GigabitEthernet0/0/2] portswitch
[FW-GigabitEthernet0/0/2] port link-type trunk
[FW-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20 30
[FW-GigabitEthernet0/0/2] quit
2、根系统管理员分别创建虚拟系统vsysa、vsysb和vsysc,并为其分配VLAN。
# 开启虚拟系统功能。
[FW] vsys enable
# 配置资源类。
[FW] resource-class r1
[FW-resource-class-r1] resource-item-limit session reserved-number 10000 maximum 50000
[FW-resource-class-r1] resource-item-limit policy reserved-number 300
[FW-resource-class-r1] resource-item-limit user reserved-number 300
[FW-resource-class-r1] resource-item-limit user-group reserved-number 10
[FW-resource-class-r1] quit
# 创建虚拟系统并分配资源。
[FW] vsys name vsysa
[FW-vsys-vsysa] assign resource-class r1
[FW-vsys-vsysa] assign vlan 10
[FW-vsys-vsysa] quit
[FW] vsys name vsysb
[FW-vsys-vsysb] assign resource-class r1
[FW-vsys-vsysb] assign vlan 20
[FW-vsys-vsysb] quit
[FW] vsys name vsysc
[FW-vsys-vsysc] assign resource-class r1
[FW-vsys-vsysc] assign vlan 30
[FW-vsys-vsysc] quit
3、根系统管理员为虚拟系统创建管理员。
# 根系统管理员为虚拟系统vsysa创建管理员“admin@@vsysa”。
[FW] switch vsys vsysa
<FW-vsysa> system-view
[FW-vsysa] aaa
[FW-vsysa-aaa] manager-user admin@@vsysa
[FW-vsysa-aaa-manager-user-admin@@vsysa] password
Enter Password:
Confirm Password:
[FW-vsysa-aaa-manager-user-admin@@vsysa] service-type web telnet ssh
[FW-vsysa-aaa-manager-user-admin@@vsysa] level 15
[FW-vsysa-aaa-manager-user-admin@@vsysa] quit
[FW-vsysa-aaa] bind manager-user admin@@vsysa role system-admin
[FW-vsysa-aaa] quit
[FW-vsysa] quit
<FW-vsysa> quit
参考上述步骤为虚拟系统vsysb和vsysc创建管理员“admin@@vsysb”和“admin@@vsysc”。
4、研发部门的管理员为虚拟系统vsysa配置安全区域和安全策略。
# 使用虚拟系统vsysa管理员账号“admin@@vsysa”登录设备,登录后先修改密码,然后再进行下面的操作。
# 配置安全区域。
<vsysa> system-view
[vsysa] firewall zone trust
[vsysa-zone-trust] add interface GigabitEthernet 0/0/2
[vsysa-zone-trust] quit
[vsysa] firewall zone untrust
[vsysa-zone-untrust] add interface GigabitEthernet 0/0/1
[vsysa-zone-untrust] quit
# 配置地址组。
[vsysa] ip address-set ipaddress1 type object
[vsysa-object-address-set-ipaddress1] address range 10.3.0.2 10.3.0.10
[vsysa-object-address-set-ipaddress1] quit
# 配置安全策略,这条安全策略的作用是允许特定网段的员工访问Internet。
[vsysa] security-policy
[vsysa-policy-security] rule name to_internet
[vsysa-policy-security-rule-to_internet] source-zone trust
[vsysa-policy-security-rule-to_internet] destination-zone untrust
[vsysa-policy-security-rule-to_internet] source-address address-set ipaddress1
[vsysa-policy-security-rule-to_internet] action permit
[vsysa-policy-security-rule-to_internet] quit
# 配置安全策略,这条安全策略的作用是禁止所有员工访问Internet的策略。这条策略的优先级将比前一条低,所以不需要详细指定地址范围。
[vsysa-policy-security] rule name to_internet2
[vsysa-policy-security-rule-to_internet2] source-zone trust
[vsysa-policy-security-rule-to_internet2] destination-zone untrust
[vsysa-policy-security-rule-to_internet2] action deny
[vsysa-policy-security-rule-to_internet2] quit
[vsysa-policy-security] quit
5、财经部门和行政部门的管理员分别使用管理员账号“admin@@vsysb”和“admin@@vsysc”登录设备,为虚拟系统vsysb、vsysc配置IP地址、安全区域及策略。
具体配置过程与研发部门类似,主要有以下几点区别。
财经部门直接配置一条禁止10.3.1.2~10.3.1.254地址段访问Internet的安全策略即可。
行政部门直接配置一条允许10.3.2.2~10.3.2.254地址段访问Internet的安全策略即可。
结果验证
从研发部门的内网选择一台允许访问Internet的主机,和一台不允许访问Internet的主机,如果访问结果符合预期,说明vsysa的安全策略的配置正确。
从财经部门的内网主动访问Internet,如果访问失败,说明vsysb的安全策略配置正确。
从行政部门的内网主动访问Internet,如果能够访问成功,说明vsysc安全策略配置正确。
配置脚本
根系统的配置脚本
#
sysname FW
#
vlan batch 10 20 30
#
vsys enable
#
resource-class r1
resource-item-limit session reserved-number 10000 maximum 50000
resource-item-limit policy reserved-number 300
resource-item-limit user reserved-number 300
resource-item-limit user-group reserved-number 10
#
vsys name vsysa 1
assign vlan 10
assign resource-class r1
#
vsys name vsysb 2
assign vlan 20
assign resource-class r1
#
vsys name vsysc 3
assign vlan 30
assign resource-class r1
#
interface GigabitEthernet0/0/1
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20 30
#
interface GigabitEthernet0/0/2
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20 30
#
return
虚拟系统vsysa的配置脚本
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/2
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
#
aaa
manager-user admin@@vsysa
password cipher %@%@@~QEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]X%@%@
service-type web telnet ssh
level 15
bind manager-user admin@@vsysa role system-admin
#
ip address-set ipaddress1 type object
address 0 range 10.3.0.2 10.3.0.10
#
security-policy
rule name to_internet
source-zone trust
destination-zone untrust
source-address address-set ipaddress1
action permit
rule name to_internet2
source-zone trust
destination-zone untrust
action deny
#
return
虚拟系统vsysb的配置脚本
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/2
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
#
aaa
manager-user admin@@vsysb
password cipher %@%@zG{;O|!gEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]
service-type web telnet ssh
level 15
bind manager-user admin@@vsysb role system-admin
#
ip address-set ipaddress1 type object
address 0 range 10.3.1.2 10.3.1.254
#
security-policy
rule name to_internet
source-zone trust
destination-zone untrust
source-address address-set ipaddress1
action deny
#
return
虚拟系统vsysc的配置脚本
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/2
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
#
aaa
manager-user admin@@vsysc
password cipher %@%@zG{;x|!gEN5"Db/6dvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]
service-type web telnet ssh
level 15
bind manager-user admin@@vsysc role system-admin
#
ip address-set ipaddress1 type object
address 0 range 10.3.2.2 10.3.2.254
#
security-policy
rule name to_internet
source-zone trust
destination-zone untrust
source-address address-set ipaddress1
action permit
#
return
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » CLI举例:通过虚拟系统隔离企业部门(二层接入)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm