防火墙上存在两种类型的虚拟系统:
根系统(Public)
缺省即存在的一个特殊虚拟系统。缺省时,管理员对防火墙进行配置等同于对根系统进行配置。
虚拟系统(VSYS)
虚拟系统实在防火墙上划分出来的,独立运行的逻辑设备。
实验topo
1.实验需求
在防火墙上配置虚拟子系统,让PC1能访问PC2
[FW1]vsys enable ##使能虚拟系统的功能
[FW1]vsys name vsysa ##创建虚拟系统vsysa
[FW1-vsys-vsysa]assign interface g1/0/0 ##将给接口G1/0/0绑定到虚拟系统vsysa
[FW1-vsysa]interface g1/0/0
[FW1-vsysa-GigabitEthernet1/0/0]ip add 11.1.1.1 24
[FW1-vsysa]firewall zone trust
[FW1-vsysa-zone-trust]add interface g1/0/0
[FW1]interface Virtual-if 1 ##进入到虚拟接口1
[FW1-Virtual-if1]ip add 10.0.1.2 24
[FW1-vsysa]firewall zone dmz
[FW1-vsysa-zone-dmz]add interface Virtual-if 1
[FW1]vsys name vsysb
[FW1-vsysb]int g1/0/1
[FW1-vsysb-GigabitEthernet1/0/1]ip add 12.1.1.1 24
[FW1-vsys-vsysb]assign interface g1/0/1
[FW1-vsysb]firewall zone trust
[FW1-vsysb-zone-trust]add interface g1/0/1
[FW1]interface Virtual-if2
[FW1-Virtual-if2]ip add 10.0.2.3 24
[FW1]switch vsys vsysb
[FW1-vsysb]firewall zone dmz
[FW1-vsysb-zone-dmz]add interface Virtual-if 2
[FW1]ip route-static vpn-instance vsysa 12.1.1.0 24 vpn-instance vsysb ##配置静态路由
可以看到下面的vsysa的路由表下多了去12.1.1.0的这个网段的静态路由
[FW1]ip route-static vpn-instance vsysb 11.1.1.0 24 vpn-instance vsysa
可以看到下面的vsysa的路由表下多了去11.1.1.0的这个网段的静态路由
配置vsysa的防火墙策略
[FW1-vsysa]security-policy
[FW1-vsysa-policy-security]rule name trust_dmz
[FW1-vsysa-policy-security-rule-trust_dmz]source-zone trust
[FW1-vsysa-policy-security-rule-trust_dmz]destination-zone dmz
[FW1-vsysa-policy-security-rule-trust_dmz]action permit
配置vsysb的防火墙策略
[FW1-vsysb]security-policy
[FW1-vsysb-policy-security]rule name dmz-trust
[FW1-vsysb-policy-security-rule-dmz-trust]source-zone dmz
[FW1-vsysb-policy-security-rule-dmz-trust]destination-zone trust
[FW1-vsysb-policy-security-rule-dmz-trust]action permit
测试pc1能ping通pc2
620
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
