CLI举例:通过虚拟系统隔离企业部门(二层接入)

CLI举例:通过虚拟系统隔离企业部门(二层接入)
设备二层接入企业网络,通过虚拟系统实现企业内不同部门的网络隔离,并为每个虚拟系统配置对应的管理员方便配置管理。
组网需求
如图1所示,某中型企业A购买一台防火墙作为网关。由于其内网员工众多,根据权限不同划分为研发部门、财经部门、行政部门三大网络。需要分别配置不同的安全策略。具体要求如下:
企业网络已经部署完成,不希望改变原来的网络拓扑,需要设备以二层模式接入网络。
财经部门禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门则全部可以访问Internet。
三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。
通过虚拟系统实现上述需求。
图1 网络隔离组网图(二层接入)

图片.png

数据规划

项目

数据

说明

vsysa

  • 虚拟系统名:vsysa
  • 公网接口:GE0/0/1
  • 公网接口所属安全区域:Untrust
  • 私网接口:GE0/0/2
  • 私网接口所属安全区域:Trust
  • 分配的VLAN:VLAN10
  • 管理员:admin@@vsysa
  • 允许访问Internet的地址范围:10.3.0.2~10.3.0.10

公网接口GE0/0/1和私网接口GE0/0/2均为Trunk接口,根据VLAN的分配情况同时分配给多个虚拟系统。

vsysb

  • 虚拟系统名:vsysb
  • 公网接口:GE0/0/1
  • 公网接口所属安全区域:Untrust
  • 私网接口:GE0/0/2
  • 私网接口所属安全区域:Trust
  • 分配的VLAN:VLAN20
  • 管理员:admin@@vsysb

-

vsysc

  • 虚拟系统名:vsysc
  • 公网接口:GE0/0/1
  • 公网接口所属安全区域:Untrust
  • 私网接口:GE0/0/2
  • 私网接口所属安全区域:Trust
  • 分配的VLAN:VLAN30
  • 管理员:admin@@vsysc

-

资源类

  • 名称:r1
  • 会话保证值:10000
  • 会话最大值:50000
  • 用户数:300
  • 用户组:10
  • 策略数:300

三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。

配置思路
配置GE0/0/1和GE0/0/2为Trunk接口,并将接口加入VLAN。
根系统管理员分别创建虚拟系统vsysa、vsysb、vsysc并为每个虚拟系统分配VLAN、分配资源和配置管理员。
研发部门的管理员登录设备,为虚拟系统vsysa配置安全策略。
财经部门的管理员登录设备,为虚拟系统vsysb配置安全策略。
行政部门的管理员登录设备,为虚拟系统vsysc配置安全策略。

操作步骤
1、配置GE0/0/1和GE0/0/2为Trunk接口,并将接口加入VLAN。
# 使用根系统管理员账号登录FW。
# 创建VLAN。
<FW> system-view
[FW] vlan 10
[FW-vlan-10] quit
[FW] vlan 20
[FW-vlan-20] quit
[FW] vlan 30
[FW-vlan-30] quit

# 配置接口。
[FW] interface GigabitEthernet 0/0/1
[FW-GigabitEthernet0/0/1] portswitch
[FW-GigabitEthernet0/0/1] port link-type trunk
[FW-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 30
[FW-GigabitEthernet0/0/1] quit
[FW] interface GigabitEthernet 0/0/2
[FW-GigabitEthernet0/0/2] portswitch
[FW-GigabitEthernet0/0/2] port link-type trunk
[FW-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20 30
[FW-GigabitEthernet0/0/2] quit

2、根系统管理员分别创建虚拟系统vsysa、vsysb和vsysc,并为其分配VLAN。
# 开启虚拟系统功能。
[FW] vsys enable
# 配置资源类。
[FW] resource-class r1
[FW-resource-class-r1] resource-item-limit session reserved-number 10000 maximum 50000
[FW-resource-class-r1] resource-item-limit policy reserved-number 300
[FW-resource-class-r1] resource-item-limit user reserved-number 300
[FW-resource-class-r1] resource-item-limit user-group reserved-number 10
[FW-resource-class-r1] quit

# 创建虚拟系统并分配资源。
[FW] vsys name vsysa
[FW-vsys-vsysa] assign resource-class r1
[FW-vsys-vsysa] assign vlan 10
[FW-vsys-vsysa] quit
[FW] vsys name vsysb
[FW-vsys-vsysb] assign resource-class r1
[FW-vsys-vsysb] assign vlan 20
[FW-vsys-vsysb] quit
[FW] vsys name vsysc
[FW-vsys-vsysc] assign resource-class r1
[FW-vsys-vsysc] assign vlan 30
[FW-vsys-vsysc] quit

3、根系统管理员为虚拟系统创建管理员。
# 根系统管理员为虚拟系统vsysa创建管理员“admin@@vsysa”。
[FW] switch vsys vsysa
<FW-vsysa> system-view
[FW-vsysa] aaa
[FW-vsysa-aaa] manager-user admin@@vsysa
[FW-vsysa-aaa-manager-user-admin@@vsysa] password
Enter Password:
Confirm Password:   
[FW-vsysa-aaa-manager-user-admin@@vsysa] service-type web telnet ssh
[FW-vsysa-aaa-manager-user-admin@@vsysa] level 15
[FW-vsysa-aaa-manager-user-admin@@vsysa] quit
[FW-vsysa-aaa] bind manager-user admin@@vsysa role system-admin
[FW-vsysa-aaa] quit
[FW-vsysa] quit
<FW-vsysa> quit
参考上述步骤为虚拟系统vsysb和vsysc创建管理员“admin@@vsysb”和“admin@@vsysc”。

4、研发部门的管理员为虚拟系统vsysa配置安全区域和安全策略。
# 使用虚拟系统vsysa管理员账号“admin@@vsysa”登录设备,登录后先修改密码,然后再进行下面的操作。
# 配置安全区域。
<vsysa> system-view
[vsysa] firewall zone trust
[vsysa-zone-trust] add interface GigabitEthernet 0/0/2
[vsysa-zone-trust] quit
[vsysa] firewall zone untrust
[vsysa-zone-untrust] add interface GigabitEthernet 0/0/1
[vsysa-zone-untrust] quit
# 配置地址组。
[vsysa] ip address-set ipaddress1 type object
[vsysa-object-address-set-ipaddress1] address range 10.3.0.2 10.3.0.10
[vsysa-object-address-set-ipaddress1] quit
# 配置安全策略,这条安全策略的作用是允许特定网段的员工访问Internet。
[vsysa] security-policy
[vsysa-policy-security] rule name to_internet  
[vsysa-policy-security-rule-to_internet] source-zone trust
[vsysa-policy-security-rule-to_internet] destination-zone untrust  
[vsysa-policy-security-rule-to_internet] source-address address-set ipaddress1
[vsysa-policy-security-rule-to_internet] action permit
[vsysa-policy-security-rule-to_internet] quit
# 配置安全策略,这条安全策略的作用是禁止所有员工访问Internet的策略。这条策略的优先级将比前一条低,所以不需要详细指定地址范围。
[vsysa-policy-security] rule name to_internet2  
[vsysa-policy-security-rule-to_internet2] source-zone trust
[vsysa-policy-security-rule-to_internet2] destination-zone untrust  
[vsysa-policy-security-rule-to_internet2] action deny
[vsysa-policy-security-rule-to_internet2] quit  
[vsysa-policy-security] quit

5、财经部门和行政部门的管理员分别使用管理员账号“admin@@vsysb”和“admin@@vsysc”登录设备,为虚拟系统vsysb、vsysc配置IP地址、安全区域及策略。
具体配置过程与研发部门类似,主要有以下几点区别。
财经部门直接配置一条禁止10.3.1.2~10.3.1.254地址段访问Internet的安全策略即可。
行政部门直接配置一条允许10.3.2.2~10.3.2.254地址段访问Internet的安全策略即可。

结果验证
从研发部门的内网选择一台允许访问Internet的主机,和一台不允许访问Internet的主机,如果访问结果符合预期,说明vsysa的安全策略的配置正确。
从财经部门的内网主动访问Internet,如果访问失败,说明vsysb的安全策略配置正确。
从行政部门的内网主动访问Internet,如果能够访问成功,说明vsysc安全策略配置正确。


配置脚本
根系统的配置脚本
#
 sysname FW
#   
vlan batch 10 20 30
#   
 vsys enable
#   
resource-class r1   
 resource-item-limit session reserved-number 10000 maximum 50000
 resource-item-limit policy reserved-number 300
 resource-item-limit user reserved-number 300   
 resource-item-limit user-group reserved-number 10
#   
vsys name vsysa 1   
 assign vlan 10
 assign resource-class r1   
#   
vsys name vsysb 2   
 assign vlan 20
 assign resource-class r1   
#   
vsys name vsysc 3   
 assign vlan 30
 assign resource-class r1
#   
interface GigabitEthernet0/0/1
 portswitch
 undo shutdown  
 port link-type trunk  
 undo port trunk allow-pass vlan 1   
 port trunk allow-pass vlan 10 20 30
#   
interface GigabitEthernet0/0/2
 portswitch
 undo shutdown  
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20 30
#
return

虚拟系统vsysa的配置脚本
#   
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/2  
#   
firewall zone untrust   
 set priority 5
 add interface GigabitEthernet0/0/1  
#   
aaa
 manager-user admin@@vsysa   
  password cipher %@%@@~QEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]X%@%@  
  service-type web telnet ssh   
  level 15  

 bind manager-user admin@@vsysa role system-admin
#   
ip address-set ipaddress1 type object   
 address 0 range 10.3.0.2 10.3.0.10   
#   
security-policy
 rule name to_internet  
  source-zone trust
  destination-zone untrust  
  source-address address-set ipaddress1
  action permit
 rule name to_internet2
  source-zone trust
  destination-zone untrust  
  action deny
#   
return

虚拟系统vsysb的配置脚本
#   
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/2  
#   
firewall zone untrust   
 set priority 5
 add interface GigabitEthernet0/0/1  
#   
aaa
 manager-user admin@@vsysb   
  password cipher %@%@zG{;O|!gEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]  
  service-type web telnet ssh   
  level 15  

 bind manager-user admin@@vsysb role system-admin
#
ip address-set ipaddress1 type object   
 address 0 range 10.3.1.2 10.3.1.254
#   
security-policy
 rule name to_internet  
  source-zone trust
  destination-zone untrust
  source-address address-set ipaddress1  
  action deny   
#   
return

虚拟系统vsysc的配置脚本
#   
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/2  
#   
firewall zone untrust   
 set priority 5
 add interface GigabitEthernet0/0/1  
#   
aaa
 manager-user admin@@vsysc   
  password cipher %@%@zG{;x|!gEN5"Db/6dvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]  
  service-type web telnet ssh   
  level 15  
 bind manager-user admin@@vsysc role system-admin
#
ip address-set ipaddress1 type object   
 address 0 range 10.3.2.2 10.3.2.254
#   
security-policy
 rule name to_internet  
  source-zone trust
  destination-zone untrust
  source-address address-set ipaddress1  
  action permit
#   
return


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » CLI举例:通过虚拟系统隔离企业部门(二层接入)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!