一、复习:
虚拟系统 Virtual System 是在一台物理设备上划分出的多台相互独立的逻辑设备,FW上有根墙 Public、虚墙 VSys 两种类型的设备,通过虚接口 Virtual-if 互访,Public 中虚接口是 Virtual-if0,其他的虚接口为Virtual-ifx
接口手工分配,类型有三层物理口,三层物理子接口、三层Eth-Trunk口、三层Eth-Trunk子接口、POS接口、IP-Trunk接口、Tunnel口,Virtual-Template接口;
二层接口、VLanif、Vbdif、管理口不支持直接分配给 VSys
分流可以基于接口、VLan、VNI 三种方式
虚拟系统互访有:VSys 和 Public、VSys 和 VSys 直接互访、VSys 和 VSys 跨 Public 互访、VSys 和 VSys 跨 VSys 互访 4 种类型 。或者简单分为标准互访和扩展互访问(Shared-vsys)
VSys 通过虚拟接口 Virtual-if 互访,路由采用静态路由方式
二、名词:
根墙:public
虚墙:vsys
虚接口:virtual-ifx(x范围:0–4095,但根墙虚接口只能是 virtual-if0)
引流表:引流表:在虚拟系统和根系统互访的场景中,通过配置引流表,解决两个系统双向建立会话表引起的资源消耗,当报文命中引流表时,根系统不再按照防火墙转发流程处理报文,而是按路由表或引流表直接转发报文
区域:firewall zone X,默认有 local、trust、untrust、dmz、自定义区域名
安全策略:security-policy
公网地址:global-ip
三、防火墙两端的地址通过两个虚墙互访拓扑:
需求:让 AR1 的业务地址 10.0.1.1 能通过防火墙的两个虚墙 ping 通对端的 AR2 上的业务 IP 10.0.4.1
四、配置过程:
1、AR1 :
配置 Loo0 地址,为 10.0.1.1/24;
AR1 配置直连到防火墙的地址:10.0.12.2/24;
2、AR2 :
配置 Loo0 地址,为 10.0.4.1/24;
AR2 配置直连到防火墙的地址:10.0.34.6/24;
3、FW2 基础配置 :
1、全局环境下,开启虚墙能力:
vsys enable
2、配置根墙的虚接口地址:
interface virtual-if0
ip addr 172.16.0.1/24
3、配置虚墙 vsys A、vsys B:
vsys name A
这个配置完,会自动生成同名 VRF 实例;
4、进入虚墙 A,进入接口 G1/0/0,绑定 VRF 实例 A,开启允许的服务:
switch vsys A
sys
int G1/0/0
ip binding vpn-instance A
ip addr 10.0.12.1 24
service-manager ping permit
回到根墙,看到 vsys A 下,绑定了这个接口资源:
vsys name A 1
assign interface GigabitEthernet1/0/0
5、进入虚墙 A 的 虚接口,配置 IP:
int virtual-if1
ip addr 172.16.1.1/24;
6、在 trust 区域中,将 G1/0/0 加入:
firewall zone trust
add interface G1/0/0
7、在untrust区域中,将虚接口 Virtual-if1 加入:
firewall zone untrust
add interface virtual-if1
8、配置安全策略,允许从 trust–>untrust、untrust–>trust,允许通行:
security-policy
rule name toR1
source-zone trust
destination-zone untrust
action permit
rule name toR2
source-zone untrust
destination-zone trust
action permit
#
9、重复在虚墙 B 中,做 4–8 步骤;
10、在根墙下,配置安全策略:
security-policy
rule name AB
source-zone trust
destination-zone untrust
action permit
rule name BA
source-zone untrust
action permit
#
4、FR2 路由配置:
1、让两个虚墙互通,这样,VPN 实例中,都有了对端的业务 IP,下一跳为对方的虚接口:
···
ip route-static vpn-instance A 10.0.4.0 255.255.255.0 vpn-instance B
ip route-static vpn-instance B 10.0.1.0 255.255.255.0 vpn-instance A
···
(如果是下一跳是根墙,那么 vpn-instance 就用 public )
注意:根墙在这里也相当于一个虚墙,我们查看 Public 路由表,只有直连路由:
2、 进入 vsys A,给 AR1 的业务地址配置回程路由,下一跳是直连 VPN 实例的对端 IP:
ip route-static 10.0.1.0 255.255.255.0 10.0.12.2
在 vsys B 中,做相同操作
五、测试:
ping 一下,通的:
跟踪一下,防火墙默认禁止跟踪:
实验拓扑下载