锐捷防火墙（WEB）——混合模式（VDOM）场景

目录

Ⅰ  开启VDOM（混合模式部署）

Ⅱ  混合模式VDOM

Ⅲ  VDOM-link

---

 

Ⅰ  开启VDOM（混合模式部署）

一、VDOM功能介绍

虚拟域(VDOM)，可以理解为虚拟防火墙，是一种将一个RG-WALL设备分为两个或两个以上虚拟设备的技术，它能起到多个独立设备的作用。VDOM可提供单独防火墙策略，在NAT/路由模式下，它可完全分开配置，从而为各连通网络或组织提供路由或VPN服务，同时VDOM之间也可以互访。设备的系统资源可以手动分配给不同的VDOM。一般常用于需要完成独立分割的多个网络，比如云环境；由于NGFW只能切换成nat和透明的其中一种模式，所以在既有透明又有nat路由的混合环境下必须使用VDOM模式来实施”

二、VDOM配置要点

1、开启VDOM功能

2、添加VDOM

3、为VDOM添加接口

4、为VDOM分配资源（可选）

5、为VDOM分配管理员账号（可选）

三、VDOM配置步骤

1、开启VDOM功能

进入 系统管理--面板--状态，在系统信息中找到虚拟域，如下图

点击虚拟域 的“开启”后，系统要求重新登录，登陆后，可以看到虚拟域状态为开启。

2、添加VDOM     

      添加VDOM的操作都是在【全局设置】下完成的，当启用VDOM后，系统重新登录后，默认进入【全局设置】

进入 系统管理--VDOM--VDOM，可以看到root域，root域为系统默认自带的域，点击 “新建”，在弹出的对话框中输入虚拟域的名字VDOM，点击确认。

说明：如果选择操作模式为透明模式，配置管理ip地址及缺省网关

注意：当添加透明模式的VDOM时，会有管理IP/掩码和缺省网关的选项；在P1版本中，这两项必须填写，否则透明模式VDOM无法创建；在最新版本P2中，无需设置也可创建透明模式VDOM；

3、为VDOM添加接口

对于新建立的虚拟域，需要为其添加接口资源，即将相应的接口划入虚拟域中，接口可包括物理接口和虚拟接口。

进入 系统管理--网络--接口，对接口进行编辑，如下是将internal和wan1划入VDOM。

4、为VDOM分配资源

为VDOM分配资源为可选项，不是必须要设置的，即为每个VDOM划分系统资源，比如会话数，vpn通道数等。

进入  系统管理--VDOM--VDOM，双击要分配资源的的VDOM名字VDOM1

弹出资源分配页面，如下图，对VDOM资源进行配置，0 为不做任何限制，在每项的右边配置最大值和保证值。

           

最大值：VDOM能够使用的设备资源的最大值，如“本地用户”设置为10，则该VDOM下最多只能创建10个用户；

            保证值：VDOM能够至少使用的设备资源值，如“本地用户”设置为10，则该VDOM下至少能创建10个用户

5、为VDOM分配管理员账号

进入 系统管理--管理员设置--管理员，点击新建，如下图

说明：如果管理员不具备某VDOM的管理权限，是无法登录VDOM（属于VDOM接口的IP上登陆）的。而超级管理员admin是具备所有VDOM权限，可以登录任何VDOM

在弹出的新建管理员页面中，填写相关信息，选择虚拟域VDOM1

四、进入VDOM

在菜单导航栏的最下面，增加了当前VDOM选项，选择需要登陆的的VDOM1，即可对其所属的端口、防火墙策略进行配置。

添加完VDOM后，如要继续添加VDOM，需记得切换到【全局设置】再执行添加动作

五、命令行注意事项

        当要在VDOM下配置命令行时，例如配置与某个vdom有关的接口IP，防火墙策略、打开相应UTM日志记录功能时，需通过CLI命令行进入具体VDOM，再进行配置

         RG-WALL # config vdom

         RG-WALL (vdom) # edit nattest  //nattest为具体设置的vdom名

         current vf=nattest:3

         RG-WALL (nattest) # config ips senso

         当要查看系统全局的运行状态、或者是CPU、内存占用率时，或者涉及防火墙系统重启、恢复出厂等全局操作时，需在命令行下进入全局（global），再输入相应命令行：

          RG-WALL # config global

          RG-WALL (global) # get system performance status

          CPU states: 0% user 0% system 0% nice 100% idle

---

Ⅱ  混合模式VDOM

一、组网需求

通过vdom功能，将防火墙配置为混合模式，即有的vdom工作在nat模式，有的工作在透明模式，来完成如下需求。

1）把防火墙配置成两个vdom，一个vdom1，配置成透明模式，一个root，配置成nat模式

2）透明模式串接在互联网出口路由器和内网webserver服务器之间，通过虚拟域vdom1来保护服务器，允许外网和vdom root访问webserver

3） OA服务器100.1.1.2需要映射到公网地址为202.1.1.3，提供公网访问。

二、网络拓扑

上图中的vdom之间的链路可以是是软配置的vlink ，也可以是硬件npu-vlink，或者直接使用物理线路连接。优先使用后2者，本例以软vlink为例。

三、配置要点

1、开启vdom功能，

2、添加vdom vdom1

3、建立vlink

4、划分接口到vdom

5、配置虚拟域vdom1

6、配置虚拟域root

四、操作步骤

1、开启vdom功能

进入 系统管理--面板--状态，在系统信息中找到虚拟域，如下图

点击虚拟域 的“开启”后，系统要求重新登录，登陆后，可以看到虚拟域状态为开启。

2、添加vdom vdom1

进入 系统管理--VDOM--VDOM，可以看到root域，root域为系统默认自带的域，点击 “新建”，在弹出的对话框中输入虚拟域的名字vom1，选择操作模式为透明模式。

配置管理ip地址及缺省网关，点击确认。

3、创建vlink

进入 系统管理--网络--接口，点击 “新建”右边的下拉箭头，选择“虚拟域链接”如下图

弹出vlink界面，输入vlink名称，分配vlink接口的虚拟域及ip地址

说明：vlink0连接vdom1，属于透明模式，所以这里不配置ip地址，vlink1连接root域，ip地址202.1.1.3

如果web界面无法配置vlink接口属于vdom1域，可以通过命令行配置

RG-WALL #config system global

RG-WALL (global) # config sys int

RG-WALL (interface) # edit vlink0

RG-WALL (vlink0) # set vdom vdom1

Warning: "vdom1" is a Transparent Mode VDOM. VDOM link type for "vlink" must bechanged fromthe default PPP to Ethernet so that NAT mode and Transparent  mode VDOMs can communicate.     //当接口处在PPPoE模式下时，系统将提示需将接口模式更改为以太网，才能执行加入VDOM的动作

By choosing to continue, type of VDOM link "vlink" will be changed from PPP to Ethernet.

Do you want to continue? (y/n)y

RG-WALL (vlink0) #

进入 系统管理--网络--接口 查看新建的vlink接口

4、划分接口到vdom

1）添加接口到虚拟域vom1

进入全局配置 系统管理--网络--接口，编辑 internal及wan1接口，把internal和wan1接口加入到vdom1域。

2）添加接口到虚拟域root

把wan2口划入到root域，所有接口默认都在root域，

5、配置虚拟域vdom1

在菜单栏地下，选择vdom1，进入到vdom1域

1）添加地址对象

web服务器地址对象：名称：webserver202.1.1.2，ip：202.1.1.2

oa服务器地址对象：  名称：OA server100.1.1.2，ip：202.1.1.3（root中映射的公网IP）

具体配置参考 路由模式典型功能--静态地址线路上网配置

2）添加策略

a、允许外部网络访问web server  202.1.1.2

b、允许vdom root访问web server  202.1.1.2

c、允许vdom root访问互联网

d、允许互联网访问vdom root的OA server的映射地址202.1.1.3

策略配置完后，结果如下：

6、配置虚拟域root

在菜单栏底下，选择root，进入到域root

1）配置虚拟ip         

进入  防火墙--虚拟IP--虚拟IP，点击 新建，添加OA server的虚拟ip映射

说明：外部接口选择为vlink1

2）配置路由

说明：设备选择vlink1

3）配置策略

a、允许外部访问ＯＡserver

b、允许wan2上互联网

五、验证效果

1、通过外网访问服务器正常WEB Server http://202.1.1.2   和OA Server  http://202.1.1.3

2、root下的内网用户可正常访问http://202.1.1.2

3、WEB Server202.1.1.2正常访问OA Server；

---

Ⅲ  VDOM-link

一、VDOM link功能

如上图所示，当Vdom1（port1-port10）要和Vdom2（port11-port20）之间进行链路连接通信时，可以通过一个网线将两个vdom中其中一个口相连，来实现2个虚拟防火墙（vdom）之间的通信。还有一种办法，通过在防火墙内部建立虚拟链路Vlink，将2个Vdom在防火墙墙内部通过逻辑的虚拟链路进行连接。高端型号支持硬件npu-vlink来连接vdom。

二、VDOM link类型

1、手动建立虚拟域链路vlink。

进入 系统管理--网络--接口，点击“新建”按钮盘的倒三角图标， 在弹出菜单中选择 虚拟域链接。

在弹出页面中，添加虚拟链路，虚拟链路由2个端口组成，如链路名字为vlink，则链路的2个接口分别为vlink0  vlink1.

名称： 任意字符串，用于标识作用。

虚拟域：  该虚拟域链路接口所属vdom虚拟域，只用2个接口属于2个不同的虚拟域才有意义。

完成配置后，会在接口菜单中看如如下2个新增的网络接口：

2、内置硬件速的vdomlink（优选）

内置的npu0-vlink,npu1-vlink,每条link有2个接口，如npu0-vlink0和npu0-vlink1，可以将这2个接口分化划入不同的虚拟域来实现虚拟域的通信。

硬件是加速的虚拟域链路上的数据会被NP芯片加速， 而手工添加的普通vdom link上的数据则需要CPU来处理。所以优先使用硬件的vdomlink。

该功能尽在高端型号上支持。