今天继续给大家介绍华为USG6000系列防火墙配置。本文使用华为eNSP模拟器,实现了华为防火墙在透明模式下基于VLAN对虚拟系统的划分。
阅读本文,您需要有一定的华为防火墙基础知识,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获。
文章链接:
防火墙虚拟化技术详解(上)
防火墙虚拟化技术详解(下)
防火墙虚拟系统资源分配配置实例
防火墙虚拟系统互访配置实例
一、实验拓扑及要求
实验拓扑如上所示,现在要求防火墙配置为透明模式,并且根据公司部门的VLAN划分,配置虚拟系统。并配置实现部门1只有PC1可以访问外网,部门2都可以访问外网。
二、实验配置命令
(一)根系统安全策略和安全区域配置
在本实验中,由于我们需要把VLAN10和VLAN20分配给虚拟系统管理,因此即使根系统不对G1/0/0和G1/0/1做任何区域划分,并且不配置任何安全策略,也不会对实验产生影响。究其原因,还是在把相应的VLAN划分给相应的虚拟系统后,所有该VLAN的数据包就分流给该虚拟系统处理。因此,在根系统上,不需要做审核安全策略和安全区域配置。
(二)虚拟系统资源分配
根据题目需要,给两个虚拟系统划分资源,相关配置如下:
vsys name A 1
assign vlan 10
#
vsys name B 2
assign vlan 20
(三)虚拟系统安全区域和安全策略配置
在虚拟系统上,需要配置安全区域和安全策略的命令,以虚拟系统A为例,相关配置命令如下所示:
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
security-policy
rule name 1
source-zone trust
destination-zone untrust
source-address 192.168.10.1 mask 255.255.255.255
action permit
三、实验现象
(一)PC1可以访问R1
(二)PC2不能访问R1
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119222243