当前位置: 首页 > 网络安全 > 安全设备 > 华为防火墙 > D1虚拟系统
cjhcjh D1虚拟系统   此文章访问量   161

华为防火墙:通过虚拟系统隔离企业部门(三层接入,虚拟系统共用根系统公网接口)虚拟系统间的路由配置

华为防火墙:通过虚拟系统隔离企业部门(三层接入,虚拟系统共用根系统公网接口)虚拟系统间的路由配置

fw1_2022.01.18.18时25分54秒.txt

r1_2022.01.18.18时26分16秒.txt

r3_2022.01.18.18时26分53秒.txt

r2_2022.01.18.18时26分33秒.txt

(1)拓扑图

图片.png

(2)根系统管理员分别创建虚拟系统vsysa和vsysb,并为其分配资源。

vsys enable
resource-class r0                         
resource-class r1
 resource-item-limit session reserved-number 10000 maximum 50000
 resource-item-limit bandwidth 20 outbound
 resource-item-limit policy reserved-number 300
 resource-item-limit user reserved-number 300
 resource-item-limit user-group reserved-number 10
#
#
vsys name vsysa 1
 assign interface GigabitEthernet1/0/1
 assign resource-class r1
#
vsys name vsysb 2
 assign interface GigabitEthernet1/0/2
 assign resource-class r1
#

(2)# 根系统管理员为虚拟系统vsysa创建管理员“admin@@vsysa”

switch vsys vsysa
aaa
 manager-user admin@@vsysa
  password cipher xxx
  service-type web telnet ssh
  level 15

(4)#根系统配置接口,并将接口加入安全区域。Virtual-if0接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。

interface Virtual-if0
 ip address 172.16.0.1 255.255.255.0
 firewall zone trust
 set priority 85                          
 add interface GigabitEthernet0/0/0
 add interface Virtual-if0

(5)配置缺省路由、安全策略、NAT策略

ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

security-policy
 rule name permitany
  action permit
#
nat-policy
 rule name nat1
  source-zone trust
  egress-interface GigabitEthernet1/0/0
  source-address 10.3.0.0 mask 255.255.0.0
  action source-nat easy-ip

图片.png


(6)为虚拟系统vsysa配置IP地址、路由和安全策略。

Virtual-if的编号会根据系统中ID占用情况自动分配。所以实际配置时,可能不是Virtual-if1。

switch vsys vsysa
interface Virtual-if1
 ip address 172.16.1.1 255.255.255.0
firewall zone untrust
 add interface Virtual-if1
 ip route-static 0.0.0.0 0.0.0.0 public
security-policy
 rule name permitany

  action permit


switch vsys vsysb
interface Virtual-if2
 ip address 172.16.2.1 255.255.255.0
firewall zone untrust
 add interface Virtual-if2
 ip route-static 0.0.0.0 0.0.0.0 public
security-policy
 rule name permitany
  action permit

(7)查看

图片.png

图片.png

图片.png

根系统上查看虚拟系统的路由表:

图片.png

虚拟系统上查看路由表:

图片.png

图片.png

图片.png

(8)测试:已经可以ping通外网

图片.png

图片.png

(9)测试:虚拟系统间的内网互ping,结果:不通

图片.png

图片.png

(10)根系统管理员为虚拟系统的内网间的通信配置路由。

图片.png

根系统:

ip route-static vpn-instance vsysa 10.3.1.0 255.255.255.0 vpn-instance vsysb
ip route-static vpn-instance vsysb 10.3.0.0 255.255.255.0 vpn-instance vsysa

图片.png

图片.png

直后display路由表是看不到刚刚配置的虚拟系统间的路由的

图片.png

测试:虚拟系统间的路由已通

图片.png

图片.png




1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为防火墙:通过虚拟系统隔离企业部门(三层接入,虚拟系统共用根系统公网接口)虚拟系统间的路由配置

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!