VSYS虚拟防火墙

1. 拓扑设计

1. 拓扑介绍

LY集团 山东分公司网络拓扑如上。现有财务部，研发部与服务器区域。为了保证内网安全需要为每个区域布置不同的流量检测或杀毒模块。所有到达区域的流量都需要经过杀毒检测区域检测流量是否安全合法才可进入区域，又因资金有限所以杀毒检测区域只有一台服务器，现需要合理配置FW实现为3个区域的流量进行检测。

1. 数据配置

SW配置

vlan batch 10 20 30 40 50 # ip vpn-instance vlan10    //创建实例  ipv4-family # ip vpn-instance vlan20  ipv4-family # interface Vlanif1 # interface Vlanif10  ip binding vpn-instance vlan10  ip address 192.168.10.1 255.255.255.0  ospf enable 1 area 0.0.0.0 # interface Vlanif20  ip binding vpn-instance vlan20  ip address 192.168.20.1 255.255.255.0  ospf enable 2 area 0.0.0.0 # interface Vlanif30  ip address 192.168.30.1 255.255.255.0  ospf enable 3 area 0.0.0.0 # interface Vlanif40  ip address 192.168.40.1 255.255.255.0  ospf enable 3 area 0.0.0.0 # interface Vlanif50  ip address 192.168.50.1 255.255.255.0  ospf enable 3 area 0.0.0.0 interface GigabitEthernet0/0/1  port link-type access  port default vlan 10 # interface GigabitEthernet0/0/2  port link-type access  port default vlan 20 # interface GigabitEthernet0/0/3  port link-type trunk  port trunk allow-pass vlan 2 to 4094 # interface GigabitEthernet0/0/4  port link-type access  port default vlan 50 # ospf 1 vpn-instance vlan10  area 0.0.0.0 # ospf 2 vpn-instance vlan20  area 0.0.0.0 # ospf 3  area 0.0.0.0

FW配置

vlan batch 10 20 30 40 int vlan 10 int vlan 20 int vlan 30 int vlan 40 # vsys name vlan10    //创建虚拟防火墙并分配资源  assign vlan 10  assign vlan 30 # vsys name vlan20  assign vlan 20  assign vlan 40 # switch  vsys  vlan10 firewall zone trust  set priority 85  add interface Vlanif10  add interface Vlanif30 # security-policy  rule name 1t2   action permit # switch  vsys  vlan20 firewall zone trust  set priority 85  add interface Vlanif20  add interface Vlanif40 # security-policy  rule name 1t2   action permit # ospf 1 vpn-instance vlan10 area 0 # ospf 1 vpn-instance vlan20 area 0 # interface Vlanif10  ip binding vpn-instance vlan10  ip address 192.168.10.2 255.255.255.0  ospf enable 1 area 0.0.0.0 service-manage all permit # interface Vlanif20  ip binding vpn-instance vlan20  ip address 192.168.20.2 255.255.255.0  ospf enable 2 area 0.0.0.0 service-manage all permit # interface Vlanif30  ip binding vpn-instance vlan10  ip address 192.168.30.2 255.255.255.0  ospf enable 1 area 0.0.0.0 service-manage all permit # interface Vlanif40  ip binding vpn-instance vlan20  ip address 192.168.40.2 255.255.255.0  ospf enable 2 area 0.0.0.0 service-manage all permit service-manage http permit service-manage https permit service-manage ping permit service-manage ssh permit service-manage telnet permit

1. 查看现象

• 财务部Tracert研发部

查看上图，可以看到财务部门访问研发部时，流量会经过杀毒区域进行检测。符合预期

• 研发部Tracert财务部

查看上图，可以看到财务部门访问研发部时，流量会经过杀毒区域进行检测。符合预期

• 研发部or财务部Tracert服务器区域

流量转发时，经过防火墙检测是否合法再进入区域

可以看到三个区域之间互访流量都会经过杀毒检测区域进行杀毒后进入区域，符合预期效果

1. 控制平面与转发平面

• 控制平面

从控制平面来看

1. 交换机将研发部路由通过实例B传递给FW的实例B
2. FW的实例B继续将路由传递于交换机的全局
3. 交换机的全局收到路由后通过路由协议将路由传递给FW的实例A
4. FW实例A继续将路由传递于交换机的实例A
5. 交换机的实例A收到了B的路由

• 转发平面

从转发平面来看，财务部访问研发部

1. 流量进入交换机后，会进入A实例
2. A实例通过OSPF将流量转发到FW的A实例
3. FW的A实例将流量继续转发到交换机的全局
4. 交换机全局将流量转发到FW的实例B
5. FW实例B将流量转发到交换机的实例B
6. 交换机现在可以把流量正常转发到研发部

1. 配置细节

如果需要流量先经过防火墙再回到交换机，那么就需要将交换机的路由表通过vpn-instance隔离开。交换机的实例B与FW的实例B通过OSPF建立邻居，FW的实例B又与交换机的全局建立邻居关系，现在就可以实现交换机实例A发往全局的流量需要经过FW。

SW的全局与FW的B实例建立邻居关系，FW的B实例与SW的B实例建立邻居关系，这样就相当于SW的B实例与全局也建立了邻居，流量在B实例访问全局时，也会实现经过FW。

这样，SW需要运行3个OSPF进程，FW需要运行2个OSPF进程分别建立邻居来实现效果。

1. 注意事项

• 防火墙的三层端口要加入service-manage all permit命令
• 防火墙的端口要配置trunk要先portswitch