网络拓扑如上
需求:
实现虚拟操作系统(用虚拟防火墙1模拟)被虚拟防火墙保护起来的目的
防火墙可以部署为NAT模式,或者透明模式
1.NAT模式部署步骤:
1.1虚拟机部署
设置两张网卡分别对应两张物理网卡vmnic0和vmnic1
(vmware workstaticon 里面的设定)
虚拟交换机1,底下接了两台设备,属于同一个网段(10.10.10.0/24)
虚拟交换机2,同样接了两台设备,属于另一个网段(192.168.1.0/24)
1.2虚拟防火墙配置
虚拟防火墙配置里配置两个物理口,分别对应要保护的虚拟机的lan口和对接外网的wan口
配置策略,允许ICMP报文通过
测试:用内网的虚拟防火墙(模拟虚拟操作系统)ping 114.114.114.114
可以ping 通 114.114.114.114
动作改为拒绝
发现ping不通,策略生效了
2.透明模式部署步骤:
使用虚拟接口对部署透明模式
先恢复出厂设置,防止bug
再添加一个虚拟网卡,否则无法网管到设备
将2口和3口分别接到2个虚拟交换机网络中
新建虚拟对策略允许所有流量通过
测试:
失败,虚拟防火墙无法获取192.168.1.0/24网段的IP地址,无法ping通外网
抓包3口,未看到arp报文
查看arp表象,未获取到MAC地址,无法进行二层封装
查看日志
只有本地流量,没有转发流量,arp广播报文上送CPU,未转发给NP芯片导致学不到ARP表象。
结论:VM虚拟机版本的防火墙不支持配置二层透明模式