备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。
一、虚拟系统与跟系统互访理论介绍
虚拟系统与跟系统互访可分为虚拟系统访问根系统和跟系统访问虚拟系统。
1、虚拟系统访问跟系统
如下图所示,虚拟系统vsysa下10.3.0.0/24网段的用户通过根系统的公网接口GE0/0/1访问Internet服务器3.3.3.3。流程如表中所示:
具体流程如下:
(1)客户端向位于internet的服务器3.3.3.3发起访问连接;
(2)当数据到达FW的时候,基于接口分流,数据包被送往虚拟系统vsysa,vsysa按照FW转发流程对报文处理(查找路由、NAT、匹配安全策略等);如果vsysa不允许则丢弃该报文,如果允许,则转发至跟系统;
(3)跟系统的虚拟接口virtual-if0收到报文之后,按照FW转发流程对报文处理(查找路由、NAT、匹配安全策略等);如果跟系统不允许则丢弃该报文,如果允许,则从GE0/0/1接口转发至internet;
(4)报文经过路由器转发至服务器,访问流程完成。
因为虚拟系统和根系统都需要按照防火墙转发流程对报文进行处理,所以虚拟系统和根系统中要分别完成策略、路由等配置。
虚拟系统访问跟系统的安全策略配置:
虚拟系统 | 源区域 | 流量进入的接口(GE0/0/2) |
目的区域 | 虚拟系统的虚拟接口所在的安全区域(virtual-if1) | |
跟系统 | 源区域 | 虚拟接口Virtual-if0所在的安全区域。 |
目的区域 | 流量出接口所在安全区域(GE0/0/1) |
虚拟系统访问跟系统的路由配置:
虚拟系统:
去程路由:前往internet的路由,因为要经过跟系统才可以到达internet,因此需要配置虚拟系统到达跟系统的路由信息
注意事项:虚拟系统到达跟系统的路由只能是静态(不需要配置出接口和下一条)
配置方式:ip route-static 0.0.0.0 0.0.0.0 public
回程路由:到达内网的路由(任何协议均可)
Ip route-static 10.3.0.0 24 10.1.1.2
跟系统:
去程路由:到达internet的路由(任何协议均可)
Ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
回程路由:跟系统不需要针对internet回应内网客户的报文配置路由,匹配会话表会直接转发到虚拟系统中。
2、跟系统访问虚拟系统
如下图所示,公网用户通过根系统的公网接口GE0/0/1访问虚拟系统vsysa下的服务器。
报文先进入根系统处理,然后再进入虚拟系统处理。
根系统访问虚拟系统时,虚拟系统和根系统策略的源和目的安全区域如下:
跟系统 | 源区域 | 流量入接口所在安全区域(G0/0/1) |
目的区域 | 虚拟接口virtual-if0所在的区域 | |
虚拟系统 | 源区域 | 虚拟接口virtual-if1所在区域 |
目的区域 | 流量出接口所在区域(G0/0/2) |
根系统访问虚拟系统时,虚拟系统和根系统路由的配置方法如下:
跟系统:
去程路由:到内网服务器的路由。因为报文要经过虚拟系统发送到服务器,所以要配置根系统到虚拟系统的路由。根系统到虚拟系统的路由只能是静态路由。和一般的静态路由不同,这条静态路由不需要配置下一跳或者出接口,而是要指定目的虚拟系统为服务器所在虚拟系统。
Ip route-static 10.3.0.0 24 vpn-instance vsysa
回程路由:前往internet的路由
Ip route-static 0.0.0.0 0 1.1.1.254
虚拟系统:
去程路由:到内网服务器的路由。可以是动态路由(如OSPF),也可以是静态路由。
Ip route-static 10.3.0.0 24 10.3.0.254
回程路由:虚拟系统中不需要针对服务器回应的报文配置回程路由。服务器回应的报文在虚拟系统中匹配会话表后,直接发送到根系统中处理
二、实验组网说明
设备部署在网络A与Internet之间,虚拟系统vsysa作为网络A的网关设备对网络A进行隔离和保护。设备通过根系统下的公网接口GE1/0/1连接到Internet。
设备中需要配置虚拟系统vsysa与根系统public通过路由表互访,实现网络A与Internet之间的互访。并且AR1身后的8.8.8.8可以从ftp服务器下载文件
三、组网架构
四、具体操作步骤
1.路由器AR1的配置
<Huawei>sys
[Huawei]sysname R1
[R1]int GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.1.12.2 24
[R1-GigabitEthernet0/0/0]qu
[R1]int loop0
[R1-LoopBack0]ip address 8.8.8.8 32
[R1-LoopBack0]qu
[R1]ip route-static 192.168.10.0 24 10.1.12.1
2.防火墙FW的配置
防火墙跟系统配置:
防火墙虚拟系统配置:
五、查看会话表并测试
查看跟系统中的会话表
查看虚拟系统中的会话表
在PC1上面ping测试8.8.8.8
在AR1上面登录ftp并下载名称为test.txt的文档
此时,从上述图片中是没有test.txt的文件的
登录ftp服务器
查看FTP服务器上面的文件
从FTP服务器下载文件:
查看路由器上面是否已经从FTP服务器获取到名称为test.txt的文件