华为防火墙虚拟系统间互访

最新推荐文章于 2024-07-05 15:34:41 发布
最新推荐文章于 2024-07-05 15:34:41 发布
阅读量2.1k 收藏 11
点赞数 3
分类专栏: 网络设计与配置 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tony_long7483/article/details/118530810
版权

在这里插入图片描述

1.配置trust区域
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1-GigabitEthernet1/0/2]ip add 10.1.2.1 24
[FW1-GigabitEthernet1/0/2]service-manage ping permit
[FW1]firewall zone trust
[FW1-zone-trust]add interface g1/0/1
[FW1-zone-trust]add interface g1/0/2
在这里插入图片描述
在这里插入图片描述

2.配置untrust区域
[FW1-GigabitEthernet1/0/0]ip add 20.1.1.1 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g1/0/0
[AR1-GigabitEthernet0/0/0]ip add 20.1.1.2 24
[AR1-GigabitEthernet0/0/1]ip add 20.1.2.2 24
在这里插入图片描述

3.配置访问外网
[FW1]ip route-static 0.0.0.0 0.0.0.0 20.1.1.2
[FW1]ip route-static vpn-instance vsys1 10.1.2.0 24 vpn-instance vsys2
[FW1]ip route-static vpn-instance vsys2 10.1.1.0 24 vpn-instance vsys1
[FW1]security-policy
[FW1-policy-security]rule name out
[FW1-policy-security-rule-out]source-zone trust
[FW1-policy-security-rule-out]source-address range 10.1.1.2 10.1.1.10
[FW1-policy-security-rule-out]source-address 10.1.2.0 24
[FW1-policy-security-rule-out]destination-zone untrust
[FW1-policy-security-rule-out]action permit
[FW1]nat-policy
[FW1-policy-nat]rule name source_nat
[FW1-policy-nat-rule-source_nat]source-zone trust
[FW1-policy-nat-rule-source_nat]destination-zone untrust
[FW1-policy-nat-rule-source_nat]action source-nat easy-ip
4.使能虚拟系统功能
[FW1]vsys enable //使能虚拟系统
[FW1]vsys name vsys1
[FW1-vsys-vsys1]assign interface g1/0/1
[FW1]vsys name vsys2
[FW1-vsys-vsys2]assign interface g1/0/2
5.配置资源类
[FW1]resource-class r0 //开启虚拟系统功能后默认生成
[FW1]resource-class r1 //进入资源类视图
[FW1-resource-class-r1]resource-item-limit session reserved-number 1000 maximum 3000 //指定会话的保证值和最大值
[FW1-resource-class-r1]resource-item-limit policy reserved-number 500 //指定策略保证值
[FW1-resource-class-r1]resource-item-limit ssl-vpn-concurrent reserved-number 30 //指定ssl vpn并发用户的保证值
[FW1-resource-class-r1]resource-item-limit user reserved-number 100 //指定用户保证值
[FW1-resource-class-r1]resource-item-limit user-group reserved-number 30 //指定用户组保证值
[FW1]resource-class r2
[FW1-resource-class-r2]resource-item-limit session reserved-number 1000 maximum 3000
[FW1-resource-class-r2]resource-item-limit policy reserved-number 100
[FW1-resource-class-r2]resource-item-limit user reserved-number 100
6.为虚拟系统分配资源
[FW1]vsys name vsys1
[FW1-vsys-vsys1]assign resource-class r1
[FW1]vsys name vsys2
[FW1-vsys-vsys2]assign resource-class r2
7.配置虚拟系统
[FW1]switch vsys vsys1 //转入虚拟系统
[FW1-vsys1]ip address-set to_internet type group
[FW1-vsys1-group-address-set-to_internet]address 0 range 10.1.1.2 10.1.1.10
[FW1-vsys1]time-range worktime
[FW1-vsys1-time-range-worktime]period-range 8:00:00 to 18:00:00 working-day
[FW1-vsys1-GigabitEthernet1/0/1]ip address 10.1.1.1 24
[FW1-vsys1-GigabitEthernet1/0/1]service-manage ping permit
[FW1]firewall zone trust
[FW1-zone-trust]add interface Virtual-if0
[FW1-vsys1]firewall zone trust
[FW1-vsys1-zone-trust]add interface g1/0/1
[FW1-vsys1]firewall zone untrust
[FW1-vsys1-zone-untrust]add interface Virtual-if1
[FW1]switch vsys vsys2
[FW1-vsys2]time-range worktime
[FW1-vsys2-time-range-worktime]period-range 8:00:00 to 18:00:00 working-day
[FW1-vsys2]interface g1/0/2
[FW1-vsys2-GigabitEthernet1/0/2]ip add 10.1.2.1 24
[FW1-vsys2]firewall zone trust
[FW1-vsys2-zone-trust]add interface g1/0/2
[FW1-vsys2]firewall zone untrust
[FW1-vsys2-zone-untrust]add interface Virtual-if2
8.虚拟系统访问外网
[FW1-vsys1]ip route-static 0.0.0.0 0.0.0.0 public
[FW1-vsys1]security-policy
[FW1-vsys1-policy-security]rule name out
[FW1-vsys1-policy-security-rule-out]source-zone trust
[FW1-vsys1-policy-security-rule-out]source-address range 10.1.1.2 10.1.1.10
[FW1-vsys1-policy-security-rule-out]destination-zone untrust
[FW1-vsys1-policy-security-rule-out]action permit
[FW1-vsys2]ip route-static 0.0.0.0 0.0.0.0 public
[FW1-vsys2]security-policy
[FW1-vsys2-policy-security]rule name out
[FW1-vsys2-policy-security-rule-out]source-zone trust
[FW1-vsys2-policy-security-rule-out]source-address 10.1.2.0 24
[FW1-vsys2-policy-security-rule-out]destination-zone untrust
[FW1-vsys2-policy-security-rule-out]action permit
9.虚拟系统互访
[FW1]switch vsys vsys1
sys
[FW1-vsys1]security-policy
[FW1-vsys1-policy-security]rule name to_vsys2
[FW1-vsys1-policy-security-rule-to_vsys2]source-zone trust
[FW1-vsys1-policy-security-rule-to_vsys2]source-address range 10.1.1.20 10.1.1.30
[FW1-vsys1-policy-security-rule-to_vsys2]destination-zone untrust
[FW1-vsys1-policy-security-rule-to_vsys2]destination-address range 10.1.2.20 10.1.2.30
[FW1-vsys1-policy-security-rule-to_vsys2]action permit
[FW1-vsys1-policy-security]rule name in
[FW1-vsys1-policy-security-rule-in]source-zone untrust
[FW1-vsys1-policy-security-rule-in]source-address range 10.1.2.20 10.1.2.30
[FW1-vsys1-policy-security-rule-in]destination-zone trust
[FW1-vsys1-policy-security-rule-in]destination-address range 10.1.1.20 10.1.1.30
[FW1-vsys1-policy-security-rule-in]action permit
[FW1-vsys2]security-policy
[FW1-vsys2-policy-security]rule name to_vsys1
[FW1-vsys2-policy-security-rule-to_vsys1]source-zone trust
[FW1-vsys2-policy-security-rule-to_vsys1]source-address range 10.1.2.20 10.1.2.30
[FW1-vsys2-policy-security-rule-to_vsys1]destination-zone untrust
[FW1-vsys2-policy-security-rule-to_vsys1]destination-address range 10.1.1.20 10.1.1.30
[FW1-vsys2-policy-security-rule-to_vsys1]action permit
[FW1-vsys2-policy-security]rule name in
[FW1-vsys2-policy-security-rule-in]source-zone untrust
[FW1-vsys2-policy-security-rule-in]source-address range 10.1.1.20 10.1.1.30
[FW1-vsys2-policy-security-rule-in]destination-zone trust
[FW1-vsys2-policy-security-rule-in]destination-address range 10.1.2.20 10.1.2.30
[FW1-vsys2-policy-security-rule-in]action permit
[FW1-GigabitEthernet1/0/0]set public-interface //设置公网接口
10.验证
PC1中只有10.1.1.2-10.1.1.10网段可以访问外网
在这里插入图片描述

PC2都可以访问外网
在这里插入图片描述

将PC1和PC2的地址改到可以互访的网段内,才能互访
在这里插入图片描述

Tony_long7483
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
华为防火墙实现单点登录方式.docx
01-04
在实验中,需要用到华为ensp、VM虚拟机,里面要安装Windows server和一个能加域的PC,可以使用Windows server 2012和Windows 10,两台虚拟机使用同一块网卡,通过cloud2桥接上来,cloud1桥接防火墙管理口,方便进行...
华为防火墙虚拟系统实验
Ddfgxfgg的博客
10-26 2202
华为防火墙配置虚拟系统
路由器虚拟化之VRF(vpn-instance)和动态路由配置实例
最新发布
07-05 508
在CE和PE之间,PE接入有多个客户,常会启用VRF,可以使得与CE之间的路由限制在一定范围内,既充分利用了PE的资源,又得以限制私网路由在公网上的传播。
防火墙虚拟系统——租户隔离
SSR_ZZ的博客
12-29 1069
从上图可以看出,我们想的没错,OSPF的LSDB中确实收到了100网段的3类LSA,但是并没有去计算路由,因为在FW和SW1上开启了VPN-Instance,从而触发了OSPF多实例下的3类LSA防环,只是将3类LSA放到了LSDB中,并未计算路由,因此,FW和SW1关闭VPN实例防环检测。上面的实验实现最优路径,配置的是32位的主机路由,有的小伙伴会问,如果我配置成24位掩码的静态路由可不可以.....当然也是可以的,但是配置会稍微复杂一些。
防火墙学习7---虚拟系统之间互访
weixin_48030849的博客
05-17 664
虚拟系统之间互访分为直接互访互访。1.直接互访:报文先进入虚拟系统vsysa,虚拟系统vsysa按照防火墙转发流程对报文进行处理。然后报文进入虚拟系统vsysb,虚拟系统vsysb再次按照防火墙转发流程对报文进行处理。具体过程如下。(1)客户端向服务器发起连接;(2)首包到达FW后,基于接口分流,被送入虚拟系统vsysa。vsysa按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、做NAT、匹配安全策略等等。如果vsysa不允许转发报文,则丢弃报文,流程结束;
华为虚拟防火墙互通和访问外网
baidu_41701694的博客
09-06 2221
可以使用resource-item-limit 设置 bandwidth、 ipsec-tunnel、l2tp-tunnel、 online-user 、security-group、 policy、session-rate 、session、 ssl-vpn-concurren、traffic-policy、user 、 user-group
华为防火墙实战指南-14730681.pdf
12-03
华为防火墙实战指南-14730681.pdf
华为防火墙 USG6300 zabbix模版
05-04
此模板实现了华为防火墙USG6300系列的 功率 风扇 cpu 内存 温度 吞吐量 会话的监控 此模板实现了华为防火墙USG6300系列的 功率 风扇 cpu 内存 温度 吞吐量 会话的监控
华为防火墙实战指南》
01-12
华为防火墙实战指南》
华为防火墙nat端口映射
06-07
对应主页文章名称
华为防火墙配置虚拟防火墙举例(路由模式)
11-19
本文详细描述了华为防火墙路由模式下配置虚拟防火墙的用途和配置命令及命令的用途
防火墙虚拟系统互访配置实例
永远是少年
07-29 2857
今天继续给大家介绍华为USG6000系列防火墙。本文主要是以华为eNSP模拟器,介绍了华为下一代防火墙虚拟系统之间互访的配置实例。 阅读本文,您需要有一定的华为防火墙基础知识,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获。 文章链接: 防火墙虚拟化技术详解(上) 防火墙虚拟化技术详解(下) 防火墙虚拟系统资源分配配置实例 一、实验要求及拓扑 实验拓扑如上所示,要求为公司两个部门之间配置虚拟系统,并把相应接口划分为相应的虚拟系统。最后配置实现防火墙虚拟系统之间互访,实现公司的两
华为防火墙vsys之虚拟防火墙配置
IT技术
01-11 2809
华为防火墙vsys之虚拟防火墙配置
华为防火墙vsys高级用法
IT技术
04-22 1398
华为防火墙vsys高级用法
防火墙虚拟系统配置
Mario_Ti的博客
03-02 607
本文介绍防火墙虚拟系统基础配置、虚拟系统互访虚拟系统通过根系统访问互联网、引流表。
配置华为防火墙虚拟系统
2301_76769137的博客
12-29 818
步骤3:配置静态路由和策略,就能实现,实现路由可达,不同的虚拟系统通信,需要通过virtual-if接口通信,因此静态路由的下一跳,写虚拟系统的vpn实例即可。如图所示,在防火墙上创建两个虚拟系统,分别命名为vsysa、vsysb,PC1属于vsysa、PC2属于vsysb,最终实现PC1和PC2能够互相访问。步骤1:创建虚拟系统,并且将虚拟系统、根系统都视为独立的设备,将虚拟接口视为设备之间通信对应的接口,通过划分到对应的虚拟系统。3)配置一般设备互访vsysb的思路ip地址(配置前注意退出到根系统
HCIE-防火墙高级特性
qq_33794290的博客
06-09 1132
双机热备需要两台硬件和软件配置均相同的防火墙组成双机热备系统防火墙之间通过独立的链路连接(心跳线),通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPsec SA等)。当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。部署要求目前只支持两台设备进行双机热备。主备设备的产品型号和版本必须相同。主备设备业务板和接口卡的位置、类型和数目都须相同,否则会出现主用设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题。
华为ENSP之防火墙虚墙实际运用
m0_73406895的博客
09-25 2266
a.交换机创建VLAN,VLANif,配置接口类型,绑定实例。实例OA内用户流量去PC1,走防火墙过滤。b.防火墙放通VLAN,创建虚墙,绑定实例,放通虚墙策略。此时交换机全局下有1.1.1.0/24路由。2.2.2.0/24的路由在实例OA里。c.通过ospf互通路由。上下联路由都在虚墙上。都学到了对方的路由。
华为防火墙配置
10-14
华为防火墙的域配置需要进行以下步骤: 1. 创建安全域 2. 配置安全策略 3. 配置NAT 4. 配置路由 具体步骤如下: 1. 创建安全域 在华为防火墙上创建两个安全域,分别为内部安全域和外部安全域。内部安全域用于...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值