CLI举例：通过虚拟系统隔离企业部门（三层接入，虚拟系统共用根系统公网接口）

CLI举例：通过虚拟系统隔离企业部门（三层接入，虚拟系统共用根系统公网接口）

企业内划分为多个部门，各部门间职能和权责划分明确，需要制定不同的网络管理策略，导致配置复杂。FW作为企业网络的出口网关，通过虚拟系统功能实现对不同部门网络的区分管理，降低配置难度。
组网需求
如图1所示，某中型企业A购买一台防火墙作为网关。由于其内网员工众多，根据权限不同划分为研发部门、财经部门、行政部门三大网络。需要分别配置不同的安全策略。具体要求如下：
由于只有一个公网IP和公网接口，公司内网所有部门都需要借用同一个接口访问Internet。
财经部门禁止访问Internet，研发部门只有部分员工可以访问Internet，行政部门则全部可以访问Internet。
三个部门的业务量差不多，所以为它们分配相同的虚拟系统资源。
通过虚拟系统实现上述需求。
图1 网络隔离组网图（三层接入，虚拟系统共用根系统公网接口）

数据规划

配置思路
根系统管理员分别创建虚拟系统vsysa、vsysb、vsysc并为每个虚拟系统分配资源和配置管理员。
根系统管理员为内网用户访问Internet配置路由和NAT策略。
研发部门的管理员登录设备，为虚拟系统vsysa配置IP地址、路由和安全策略。
财经部门的管理员登录设备，为虚拟系统vsysb配置IP地址、路由和安全策略。
行政部门的管理员登录设备，为虚拟系统vsysc配置IP地址、路由和安全策略。

操作步骤
1、根系统管理员分别创建虚拟系统vsysa、vsysb和vsysc，并为其分配资源。
# 使用根系统管理员账号登录FW。
# 开启虚拟系统功能。
<FW> system-view
[FW] vsys enable
# 配置资源类。
[FW] resource-class r1
[FW-resource-class-r1] resource-item-limit session reserved-number 10000 maximum 50000
[FW-resource-class-r1] resource-item-limit policy reserved-number 300
[FW-resource-class-r1] resource-item-limit user reserved-number 300
[FW-resource-class-r1] resource-item-limit user-group reserved-number 10
[FW-resource-class-r1] resource-item-limit bandwidth 20 outbound
[FW-resource-class-r1] quit
# 创建虚拟系统并分配资源。
[FW] vsys name vsysa
[FW-vsys-vsysa] assign resource-class r1
[FW-vsys-vsysa] assign interface GigabitEthernet 0/0/3
[FW-vsys-vsysa] quit
[FW] vsys name vsysb
[FW-vsys-vsysb] assign resource-class r1
[FW-vsys-vsysb] assign interface GigabitEthernet 0/0/4
[FW-vsys-vsysb] quit
[FW] vsys name vsysc
[FW-vsys-vsysc] assign resource-class r1
[FW-vsys-vsysc] assign interface GigabitEthernet 0/0/5
[FW-vsys-vsysc] quit

2、根系统管理员为虚拟系统创建管理员。
# 根系统管理员为虚拟系统vsysa创建管理员“admin@@vsysa”。
[FW] switch vsys vsysa
<FW-vsysa> system-view
[FW-vsysa] aaa
[FW-vsysa-aaa] manager-user admin@@vsysa
[FW-vsysa-aaa-manager-user-admin@@vsysa] password
Enter Password:  
Confirm Password:
[FW-vsysa-aaa-manager-user-admin@@vsysa] service-type web telnet ssh
[FW-vsysa-aaa-manager-user-admin@@vsysa] level 15
[FW-vsysa-aaa-manager-user-admin@@vsysa] quit
[FW-vsysa-aaa] bind manager-user admin@@vsysa role system-admin
[FW-vsysa-aaa] quit
[FW-vsysa] quit
<FW-vsysa> quit
参考上述步骤为虚拟系统vsysb和vsysc创建管理员“admin@@vsysb”和“admin@@vsysc”。

3、根系统管理员为内网用户访问Internet配置路由、安全策略和NAT策略。
# 配置接口，并将接口加入安全区域。Virtual-if0接口上的IP地址可设置为任意值，保证不与其他接口上的IP地址冲突即可。
[FW] interface GigabitEthernet 0/0/1
[FW-GigabitEthernet0/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet0/0/1] quit
[FW] interface Virtual-if 0
[FW-Virtual-if0] ip address 172.16.0.1 24
[FW-Virtual-if0] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 0/0/1
[FW-zone-untrust] quit
[FW] firewall zone trust
[FW-zone-trust] add interface Virtual-if 0
[FW-zone-trust] quit

# 配置缺省路由，下一跳是1.1.1.254。
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

# 配置安全策略，这条安全策略的作用是允许内网的员工访问Internet。虚拟系统管理员可以针对内网员工的IP地址配置严格的安全策略，所以根系统管理员在配置策略时不需要详细指定地址范围。
[FW] security-policy
[FW-policy-security] rule name to_internet  
[FW-policy-security-rule-to_internet] source-zone trust
[FW-policy-security-rule-to_internet] destination-zone untrust   
[FW-policy-security-rule-to_internet] action permit
[FW-policy-security-rule-to_internet] quit
[FW-policy-security] quit

# 配置NAT策略。
[FW] nat-policy
[FW-policy-nat] rule name nat1
[FW-policy-nat-rule-nat1] source-zone trust
[FW-policy-nat-rule-nat1] egress-interface GigabitEthernet 0/0/1
[FW-policy-nat-rule-nat1] source-address 10.3.0.0 16
[FW-policy-nat-rule-nat1] action source-nat easy-ip
[FW-policy-nat-rule-nat1] quit
[FW-policy-nat] quit

4、研发部门的管理员为虚拟系统vsysa配置IP地址、路由和安全策略。
# 使用虚拟系统vsysa管理员账号“admin@@vsysa”登录设备，登录后先修改密码，然后再进行下面的操作。
# 配置接口，并将接口加入安全区域。Virtual-if1接口上的IP地址可设置为任意值，保证不与其他接口上的IP地址冲突即可。
Virtual-if的编号会根据系统中ID占用情况自动分配。所以实际配置时，可能不是Virtual-if1。
<vsysa> system-view
[vsysa] interface GigabitEthernet 0/0/3
[vsysa-GigabitEthernet0/0/3] ip address 10.3.0.1 24
[vsysa-GigabitEthernet0/0/3] quit
[vsysa] interface Virtual-if 1
[vsysa-Virtual-if1] ip address 172.16.1.1 24
[vsysa-Virtual-if1] quit
[vsysa] firewall zone trust
[vsysa-zone-trust] add interface GigabitEthernet 0/0/3
[vsysa-zone-trust] quit
[vsysa] firewall zone untrust
[vsysa-zone-untrust] add interface Virtual-if 1
[vsysa-zone-untrust] quit

# 配置静态路由，这条静态路由的作用是将vsysa内员工访问Internet的流量引入根系统。
在本例中，对网络拓扑和路由配置进行了简化。假设vsysa只有私网跟Internet的通信需求，所以在路由配置中将“目的地址/掩码”配置为了0.0.0.0 0.0.0.0，即缺省所有报文都送往根系统。实际配置时，为了保证路由信息的准确，应该将“目的地址/掩码”配置为特定的允许访问的Internet地址范围。错误配置路由可能导致vsysa所连接的多个私网无法正常通信。
[vsysa] ip route-static 0.0.0.0 0.0.0.0 public

# 配置静态路由，这条静态路由的作用是将vsysa内员工访问Internet的回程流量引入内网。
[vsysa] ip route-static 10.3.0.0 255.255.255.0 10.3.0.254

# 配置地址组。
[vsysa] ip address-set ipaddress1 type object
[vsysa-object-address-set-ipaddress1] address range 10.3.0.2 10.3.0.10
[vsysa-object-address-set-ipaddress1] quit

# 配置安全策略，这条安全策略的作用是允许特定网段的员工访问Internet。
[vsysa-policy-security] rule name to_internet  
[vsysa-policy-security-rule-to_internet] source-zone trust
[vsysa-policy-security-rule-to_internet] destination-zone untrust  
[vsysa-policy-security-rule-to_internet] source-address address-set ipaddress1
[vsysa-policy-security-rule-to_internet] action permit
[vsysa-policy-security-rule-to_internet] quit

# 配置安全策略，这条安全策略的作用是禁止所有员工访问Internet的策略。这条策略的优先级将比前一条低，所以不需要详细指定地址范围。
[vsysa-policy-security] rule name to_internet2  
[vsysa-policy-security-rule-to_internet2] source-zone trust
[vsysa-policy-security-rule-to_internet2] destination-zone untrust  
[vsysa-policy-security-rule-to_internet2] action deny
[vsysa-policy-security-rule-to_internet2] quit  
[vsysa-policy-security] quit

5、财经部门和行政部门的管理员分别使用管理员账号“admin@@vsysb”和“admin@@vsysc”登录设备，为虚拟系统vsysb、vsysc配置IP地址、安全区域及策略。
具体配置过程与研发部门类似，主要有以下几点区别。
内网接口的IP地址不同。
财经部门无需创建地址范围，直接配置一条禁止所有地址范围访问Internet的安全策略即可。
行政部门无需创建地址范围，直接配置一条禁止所有地址范围访问研发部门网络的安全策略，以及一条允许所有地址范围访问Internet的安全策略即可。

结果验证
从行政部门的内网主动访问Internet，如果能够访问成功，说明IP地址、vsysc的安全策略以及根系统NAT策略配置正确。
从财经部门的内网主动访问Internet，如果访问失败，说明IP地址和vsysb的安全策略配置正确。
从研发部门的内网选择一台允许访问Internet的主机，和一台不允许访问Internet的主机，如果访问结果符合预期，说明IP地址和vsysa的安全策略的配置正确。

配置脚本
根系统的配置脚本
#
 sysname FW
#
 vsys enable
#
resource-class r1
 resource-item-limit session reserved-number 10000 maximum 50000
 resource-item-limit policy reserved-number 300
 resource-item-limit user reserved-number 300  
 resource-item-limit user-group reserved-number 10  
 resource-item-limit bandwidth 20 outbound
#
vsys name vsysa 1
 assign resource-class r1   
 assign interface GigabitEthernet0/0/3
#
vsys name vsysb 2
 assign resource-class r1
 assign interface GigabitEthernet0/0/4   
#
vsys name vsysc 3
 assign resource-class r1
 assign interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/1
 ip address 1.1.1.1 255.255.255.0  
#
interface Virtual-if0
 ip address 172.16.0.1 255.255.255.0   
#  
firewall zone trust
 set priority 85  
 add interface Virtual-if0
#
firewall zone untrust  
 set priority 5   
 add interface GigabitEthernet0/0/1
#
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
#
security-policy  
 rule name to_internet
  source-zone trust
  destination-zone untrust
  action permit
#
 nat-policy
  rule name nat1
   source-zone trust
   egress-interface GigabitEthernet0/0/1
   source-address 10.3.0.0 16
   action source-nat easy-ip
#
return

虚拟系统vsysa的配置脚本
#
interface GigabitEthernet0/0/3  
 ip address 10.3.0.1 255.255.255.0
 service-manage ping permit  
#
interface Virtual-if1
 ip address 172.16.1.1 255.255.255.0   
#
firewall zone trust
 set priority 85  
 add interface GigabitEthernet0/0/3
#
firewall zone untrust
 set priority 5   
 add interface Virtual-if1  
#
aaa   
 manager-user admin@@vsysa   
  password cipher %@%@@~QEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]X%@%@  
  service-type web telnet ssh  
  level 15
 
 bind manager-user admin@@vsysa role system-admin
#
ip address-set ipaddress1 type object
 address 0 range 10.3.0.2 10.3.0.10   
#
 ip route-static 0.0.0.0 0.0.0.0 public
 ip route-static 10.3.0.0 255.255.255.0 10.3.0.254
#
security-policy   
 rule name to_admin_department
  source-zone trust  
  destination-zone untrust   
  source-address address-set ipaddress1   
  destination-address 10.3.2.0 24
  action deny
 rule name to_internet
  source-zone trust  
  destination-zone untrust   
  source-address address-set ipaddress1   
  action permit   
 rule name to_internet2
  source-zone trust  
  destination-zone untrust
  action deny
#
return

虚拟系统vsysb的配置脚本
#
interface GigabitEthernet0/0/4
 ip address 10.3.1.1 255.255.255.0
 service-manage ping permit  
#
interface Virtual-if2
 ip address 172.16.2.1 255.255.255.0   
#
firewall zone trust
 set priority 85  
 add interface GigabitEthernet0/0/4
#
firewall zone untrust
 set priority 5   
 add interface Virtual-if2  
#
aaa   
 manager-user admin@@vsysb   
  password cipher %@%@zG{;O|!gEN4"Db/xmvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]  
  service-type web telnet ssh   
  level 15
 
 bind manager-user admin@@vsysb role system-admin
#
 ip route-static 0.0.0.0 0.0.0.0 public   
 ip route-static 10.3.1.0 255.255.255.0 10.3.1.254
#
security-policy   
 rule name to_internet
  source-zone trust
  destination-zone untrust
  action deny   
#
return

虚拟系统vsysc的配置脚本
#
interface GigabitEthernet0/0/5   
 ip address 10.3.2.1 255.255.255.0
 service-manage ping permit  
#
interface Virtual-if3
 ip address 172.16.3.1 255.255.255.0   
#
firewall zone trust  
 set priority 85  
 add interface GigabitEthernet0/0/5
#
firewall zone untrust
 set priority 5   
 add interface Virtual-if3  
#
aaa   
 manager-user admin@@vsysc
  password cipher %@%@zG{;x|!gEN5"Db/6dvR'5@=5)^`WN]~h`Mwn-{BNPy#ZYE>`6`f]  
  service-type web telnet ssh
  level 15
 
 bind manager-user admin@@vsysc role system-admin
#
 ip route-static 0.0.0.0 0.0.0.0 public  
 ip route-static 10.3.2.0 255.255.255.0 10.3.2.254
#
security-policy   
 rule name to_rd_department
  source-zone trust  
  destination-zone untrust   
  destination-address 10.3.0.0 24
  action deny
 rule name to_internet
  source-zone trust
  destination-zone untrust
  action permit
#
return