华为防火墙虚拟系统间互访
组网需求
如下图所示,某企业园区部署了一台FW作为接入网关。根据部门不同,网络划分为研发部门和销售部门,且为这两个部门单独划分一个防火墙虚拟系统,具体需求如下:
研发部门和销售部门都可以访问Internet。
研发部门和非研发部门之间相互隔离,但是两个部门之间特定的员工可以互访。
研发部门和销售部门的业务量差不多,所以为它们分配相同的虚拟系统资源。
虚拟系统间互访组网图
数据规划
项目 |
数据规划 |
根系统 |
虚拟接口:virtual-if 0 虚拟接口IP地址:172.16.0.1/24 虚拟接口所属安全区域:trust 外网接口:GE1/0/1 外网接口IP地址:10.1.1.8/24 外网接口所属安全区域:untrust |
vsys_a |
虚拟系统名:vsys_a 虚拟接口:virtual-if 1 虚拟接口IP地址:172.16.1.1/24 虚拟接口所属安全区域:untrust 私网接口:GE1/0/3 私网接口IP地址:10.3.0.1/24 私网地址范围:10.3.0.0/24 私网接口所属安全区域:trust 允许访问Internet的地址范围:10.3.0.0/24 允许vsys_b访问vsys_a的地址范围: vsys_b:10.3.1.101--254 vsys_a:10.3.0.101--254 |
vsys_b |
虚拟系统名:vsys_b 虚拟接口:virtual-if 2 虚拟接口IP地址:172.16.2.1/24 虚拟接口所属安全区域:untrust 私网接口:GE1/0/4 私网接口IP地址:10.3.1.1/24 私网地址范围:10.3.1.0/24 私网接口所属安全区域:trust 允许访问Internet的地址范围:10.3.1.0/24 允许vsys_a访问vsys_b的地址范围: vsys_a:10.3.1.101—254 vsys_b:10.3.1.101--254 |
资源类 |
名称:r1 会话保证值:500 会话最大值:1000 用户数:100 用户组:10 策略数:100 最大带宽:5M |
配置思路
根系统管理员在根系统下开启vsys能力并创建资源类
根系统管理员在根系统下分别创建虚拟系统vsysa、vsysb并为每个虚拟系统分配资源。
根系统管理员在根系统下为vsys间互访的员工配置路由。
根系统管理员在根系统下配置访问外网的路由和安全策略和NAT策略
根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略。
根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略。
操作步骤 1 在根系统下
1、根系统管理员分别创建虚拟系统vsysa和vsysb,并为其分配资源。
#开启虚拟系统功能。
<FW> system-view
[FW] vsys enable
# 配置资源类。
[FW] resource-class r1
[FW-resource-class-r1] resource-item-limit session reserved-number 500 maximum 1000
[FW-resource-class-r1] resource-item-limit policy reserved-number 100
[FW-resource-class-r1] re