防火墙学习5---虚拟系统和跟系统通过路由表互访

最新推荐文章于 2024-07-23 14:51:29 发布
最新推荐文章于 2024-07-23 14:51:29 发布
阅读量601 收藏 18
点赞数 26
分类专栏: 网络 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48030849/article/details/138868938
版权

备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。

一、虚拟系统与跟系统互访理论介绍

虚拟系统与跟系统互访可分为虚拟系统访问根系统跟系统访问虚拟系统

1、虚拟系统访问跟系统

如下图所示,虚拟系统vsysa下10.3.0.0/24网段的用户通过根系统的公网接口GE0/0/1访问Internet服务器3.3.3.3。流程如表中所示:

具体流程如下:

(1)客户端向位于internet的服务器3.3.3.3发起访问连接;

(2)当数据到达FW的时候,基于接口分流,数据包被送往虚拟系统vsysa,vsysa按照FW转发流程对报文处理(查找路由、NAT、匹配安全策略等);如果vsysa不允许则丢弃该报文,如果允许,则转发至跟系统;

(3)跟系统的虚拟接口virtual-if0收到报文之后,按照FW转发流程对报文处理(查找路由、NAT、匹配安全策略等);如果跟系统不允许则丢弃该报文,如果允许,则从GE0/0/1接口转发至internet;

(4)报文经过路由器转发至服务器,访问流程完成。

因为虚拟系统和根系统都需要按照防火墙转发流程对报文进行处理,所以虚拟系统和根系统中要分别完成策略、路由等配置。

虚拟系统访问跟系统的安全策略配置:

虚拟系统

源区域

流量进入的接口(GE0/0/2)

目的区域

虚拟系统的虚拟接口所在的安全区域(virtual-if1)

跟系统

源区域

虚拟接口Virtual-if0所在的安全区域。

目的区域

流量出接口所在安全区域(GE0/0/1)

虚拟系统访问跟系统的路由配置:

虚拟系统:

去程路由:前往internet的路由,因为要经过跟系统才可以到达internet,因此需要配置虚拟系统到达跟系统的路由信息

注意事项:虚拟系统到达跟系统的路由只能是静态(不需要配置出接口和下一条)

配置方式:ip route-static 0.0.0.0 0.0.0.0 public

回程路由:到达内网的路由(任何协议均可)

Ip route-static 10.3.0.0 24 10.1.1.2

跟系统:

去程路由:到达internet的路由(任何协议均可)

Ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

回程路由:跟系统不需要针对internet回应内网客户的报文配置路由,匹配会话表会直接转发到虚拟系统中。

2、跟系统访问虚拟系统

如下图所示,公网用户通过根系统的公网接口GE0/0/1访问虚拟系统vsysa下的服务器。

报文先进入根系统处理,然后再进入虚拟系统处理。

根系统访问虚拟系统时,虚拟系统和根系统策略的源和目的安全区域如下:

跟系统

源区域

流量入接口所在安全区域(G0/0/1)

目的区域

虚拟接口virtual-if0所在的区域

虚拟系统

源区域

虚拟接口virtual-if1所在区域

目的区域

流量出接口所在区域(G0/0/2)

根系统访问虚拟系统时,虚拟系统和根系统路由的配置方法如下:

跟系统:

去程路由:到内网服务器的路由。因为报文要经过虚拟系统发送到服务器,所以要配置根系统到虚拟系统的路由。根系统到虚拟系统的路由只能是静态路由。和一般的静态路由不同,这条静态路由不需要配置下一跳或者出接口,而是要指定目的虚拟系统为服务器所在虚拟系统。

Ip route-static 10.3.0.0 24 vpn-instance vsysa

回程路由:前往internet的路由

Ip route-static 0.0.0.0 0 1.1.1.254

虚拟系统:

去程路由:到内网服务器的路由。可以是动态路由(如OSPF),也可以是静态路由。

Ip route-static 10.3.0.0 24 10.3.0.254

回程路由:虚拟系统中不需要针对服务器回应的报文配置回程路由。服务器回应的报文在虚拟系统中匹配会话表后,直接发送到根系统中处理

二、实验组网说明

设备部署在网络A与Internet之间,虚拟系统vsysa作为网络A的网关设备对网络A进行隔离和保护。设备通过根系统下的公网接口GE1/0/1连接到Internet。
设备中需要配置虚拟系统vsysa与根系统public通过路由表互访,实现网络A与Internet之间的互访。并且AR1身后的8.8.8.8可以从ftp服务器下载文件

三、组网架构

四、具体操作步骤

1.路由器AR1的配置

<Huawei>sys
[Huawei]sysname R1
[R1]int GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.1.12.2 24
[R1-GigabitEthernet0/0/0]qu
[R1]int loop0
[R1-LoopBack0]ip address 8.8.8.8 32
[R1-LoopBack0]qu
[R1]ip route-static 192.168.10.0 24 10.1.12.1 

2.防火墙FW的配置

防火墙跟系统配置:

防火墙虚拟系统配置:

五、查看会话表并测试

查看跟系统中的会话表

查看虚拟系统中的会话表

在PC1上面ping测试8.8.8.8

在AR1上面登录ftp并下载名称为test.txt的文档

此时,从上述图片中是没有test.txt的文件的

登录ftp服务器

查看FTP服务器上面的文件

从FTP服务器下载文件:

查看路由器上面是否已经从FTP服务器获取到名称为test.txt的文件

temperature°浅陌
关注
  • 26
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2023 华为 Datacom-HCIE 真题题库 05/12--含解析
mxl00z的博客
05-24 5665
2023 华为 Datacom-HCIE 题库 05--含解析
华为防火墙虚拟系统互访
wenhe0119的博客
10-21 3020
华为防火墙虚拟系统互访配置
防火墙虚拟系统互访配置实例
永远是少年
07-29 2832
今天继续给大家介绍华为USG6000系列防火墙。本文主要是以华为eNSP模拟器,介绍了华为下一代防火墙虚拟系统之间互访的配置实例。 阅读本文,您需要有一定的华为防火墙基础知识,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获。 文章链接: 防火墙虚拟化技术详解(上) 防火墙虚拟化技术详解(下) 防火墙虚拟系统资源分配配置实例 一、实验要求及拓扑 实验拓扑如上所示,要求为公司两个部门之间配置虚拟系统,并把相应接口划分为相应的虚拟系统。最后配置实现防火墙虚拟系统之间的互访,实现公司的两
防火墙——虚拟系统理论讲解
m0_49864110的博客
04-23 5521
当根系统去访问虚拟系统时,如果目的地址匹配到引流表“Destination Address”字段,正向命中引流表,根系统就按照引流表转发报文,将报文送到对应虚拟系统。将接口与虚拟系统绑定后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。当虚拟系统未开启时,管理员对FW的配置就是对根系统的配置,FW的管理员就是根系统的管理员。当虚拟系统开启时,根系统会继承先前FW的配置,FW上已有的管理员将成为根系统的管理员。
华为DATACOM认证HCIE-891-部分试题解析-179题部分重复题目
lyhbwwk的博客
03-19 8202
华为DATACOM认证HCIE-891-部分试题解析-179题部分重复题目
防火墙学习6---引流表(跟系统虚拟系统通过引流表互访
weixin_48030849的博客
05-16 751
虚拟系统和根系统互访的场景中,虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务,虚拟系统和根系统都要配置策略、都会建立会话。这样,一方面增加了配置的复杂性,另一方面,每条连接都需要两条会话,业务量大时,会造成整机的会话资源紧张。通过配置引流表,可以解决上述问题。引流表中记录的是IP地址和虚拟系统的归属关系。如下的引流表,表示10.3.0.8这个IP地址属于虚拟系统vsysa。其中,第一个10.3.0.8是这个网段的起始地址,第二个10.3.0.8是这个网段的结束地址。
TP-link路由表和选择算法介绍
10-01
今天我们给大家介绍的是路由器的一些基础知道,路由表和路由选择算法,这是每一个网管在设置网络时必须掌握的内容,否则就无法设置好路由器,从而造成整个网络不稳定,更多这方面的内容有兴趣的网友可以参考阿尔法...
TP-link路由表导致不能路由故障的解决
10-01
该表中存有到达特定网络终端的路径,路由表不直接参与数据包的传输,而是用于生成一个小型指向表,这个指向表仅仅包含由路由算法选择的数据包传输优先路径,这个表格通常为了优化硬件存储和查找而被压缩或提前编
原创-linux6.2操作系统升级成linux6.9操作手册
03-15
在进行Linux系统的升级时,确保系统的稳定性和数据的安全性是至关重要的。本手册将详细阐述如何从Linux 6.2版本升级到Linux 6.9,以Red Hat Enterprise Linux 6.2 (RHEL 6.2)为例。以下步骤应谨慎执行: 1. **记录...
angular-demo:ng5
05-16
通过深入研究 "angular-demo:ng5" 项目,开发者可以学习到 Angular 5 的核心特性,如组件体系、依赖注入、路由、服务,以及如何利用 ngx-bootstrap 和 Webpack 3 等工具进行项目构建。此外,TypeScript 的使用也有助...
计算机网络教案10-划分子网和构造超网.docx
12-17
通过本节课的学习,学生将能够基于网络需求规划IP地址,掌握IP数据报的格式和转发算法,并了解CIDR的特点和应用。 一、划分子网和构造超网 划分子网是指将大的IP地址块分配给小的IP地址块,以满足不同的网络需求。...
华为虚拟防火墙互通和访问外网
baidu_41701694的博客
09-06 2192
可以使用resource-item-limit 设置 bandwidth、 ipsec-tunnel、l2tp-tunnel、 online-user 、security-group、 policy、session-rate 、session、 ssl-vpn-concurren、traffic-policy、user 、 user-group
华为防火墙虚拟系统的案例分析(个人总结向)
qq_47529104的博客
03-28 4260
案例一 如图整个拓扑的架构如图所示,上面蓝色的是子虚拟系统1,它分配了一个物理接口g1/0/0,在虚拟系统1上面利用实现NAPT使得内网用户可以访问外网,同时在子虚拟系统1上面实现nat server使得192.168.0.1的服务器可以对外提供服务。 下面紫色的是子虚拟系统2,它也分配了一个物理接口g1/0/1,在虚拟系统2上面同样利用NAPT使得内网的主机可以访问外网,同时在虚拟系统使用no-reverse的nat server,使得内网主机可以被外部主机访问。 根系统的出口接口是g1.
防火墙入侵与检测 day06 防火墙虚拟系统
果子哥丶的博客
05-28 1210
虚拟系统简介、 虚拟系统实现原理( 虚拟系统分流方式、 虚拟系统互访原理)、 虚拟系统配置部署、 *额外知识:GRE隧道传输
5.CSS学习(浮动)
最新发布
ShawLee0925的博客
07-23 181
css浮动——float特点
编程学习之路:从零到一的成长指南
KsuferNotes
07-22 296
在当今数字化时代,编程技能已经成为许多人职业发展的重要组成部分。不论你是已经在IT业从业多年的老手,还是刚刚起步的编程新手,这篇博客将带你走过编程学习的每一个重要阶段,从而顺利完成从零到一的华丽转变。
手写简易版Spring IOC容器02【学习
weixin_44794897的博客
07-19 577
其中applyPropertyValues用于从beanDefinition中读取属性的配置信息然后通过BeanUtil(hutool-all中提供的类)为其赋值@Overridetry {// 创建bean实例Class<?if (null!break;// 设置属性值try {// 从beanDefinition中获取property通过Resource获取文件流。
HP-UX操作系统用户命令详解(N-Z)
"HP-UX User Commands n-z.pdf 是一份详细解析惠普UNIX操作系统用户命令的手册,涵盖了从N到Z的命令集。这份文档属于HP-UX 11i Version 2系列...通过深入学习这份文档,用户可以更加高效、安全地管理他们的HP-UX系统
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值