Huawei ファイアウォール仮想システム間の相互アクセス
ネットワーク要件
次の図に示すように、FW はアクセス ゲートウェイとしてエンタープライズ キャンパスに展開されます。部門ごとにネットワークを研究開発部門と営業部門に分け、それぞれの部門ごとに別のファイアウォール仮想システムを用意しており、具体的な要件は次のとおりです。
研究開発部門と営業部門の両方がインターネットにアクセスできます。
研究開発部門と非研究開発部門は隔離されていますが、両部門間の特定の従業員は相互に訪問することができます。
研究開発部門と営業部門は業務量が同程度であるため、同じ仮想システムリソースが割り当てられます。
仮想システム間の相互アクセスのネットワーク図
データプランニング
プロジェクト |
データプランニング |
ルートシステム |
仮想インターフェイス: virtual-if 0 仮想インターフェイスのIPアドレス: 172.16.0.1/24 仮想インターフェイスが属するセキュリティ ゾーン: trust 外部ネットワークインターフェイス: GE1/0/1 外部ネットワークインターフェイスのIPアドレス: 10.1.1.8/24 外部ネットワーク インターフェイスが属するセキュリティ ゾーン: untrust |
vsys_a |
仮想システム名: vsys_a 仮想インターフェイス: virtual-if 1 仮想インターフェイスのIPアドレス: 172.16.1.1/24 仮想インターフェイスが属するセキュリティ ゾーン: untrust プライベートネットワークインターフェース: GE1/0/3 プライベートネットワークインターフェースのIPアドレス: 10.3.0.1/24 プライベートネットワークアドレス範囲: 10.3.0.0/24 プライベート ネットワーク インターフェイスが属するセキュリティ ゾーン: trust インターネットへのアクセスが許可されるアドレス範囲: 10.3.0.0/24 vsys_b が vsys_a のアドレス範囲にアクセスできるようにします。 vsys_b:10.3.1.101--254 vsys_a:10.3.0.101--254 |
vsys_b |
仮想システム名: vsys_b 仮想インターフェイス: virtual-if 2 仮想インターフェイスのIPアドレス: 172.16.2.1/24 仮想インターフェイスが属するセキュリティ ゾーン: untrust プライベートネットワークインターフェース: GE1/0/4 プライベートネットワークインターフェースのIPアドレス: 10.3.1.1/24 プライベートネットワークアドレス範囲: 10.3.1.0/24 プライベート ネットワーク インターフェイスが属するセキュリティ ゾーン: trust インターネットへのアクセスが許可されるアドレス範囲: 10.3.1.0/24 vsys_a が vsys_b のアドレス範囲にアクセスできるようにします。 vsys_a:10.3.1.101—254 vsys_b:10.3.1.101--254 |
リソース |
名前: r1 セッション保証値:500 最大セッション数: 1000 ユーザー数: 100 ユーザーグループ: 10 戦略数: 100 最大帯域幅: 5M |
構成のアイデア
ルート システム管理者は、ルート システムで vsys 機能を有効にし、リソース クラスを作成します。
ルート システム管理者は、ルート システムの下に仮想システム vsysa および vsysb を作成し、各仮想システムにリソースを割り当てます。
根系统管理员在根系统下为vsys间互访的员工配置路由。
根系统管理员在根系统下配置访问外网的路由和安全策略和NAT策略
根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略。
根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略。
操作步骤 1 在根系统下
1、根系统管理员分别创建虚拟系统vsysa和vsysb,并为其分配资源。
#开启虚拟系统功能。
<FW> system-view
[FW] vsys enable
# 配置资源类。
[FW] resource-class r1
[FW-resource-class-r1] resource-item-limit session reserved-number 500 maximum 1000
[FW-resource-class-r1] resource-item-limit policy reserved-number 100
[FW-resource-class-r1] resource-item-limit user reserved-number 100
[FW-resource-class-r1] resource-item-limit user-group reserved-number 10
[FW-resource-class-r1] resource-item-limit bandwidth 5 outbound
[FW-resource-class-r1] quit
说明:
只有配置了公共接口,资源类中的带宽资源配置才会生效。本示例中,没有配置虚拟系统访问公网的公共接口,所以不会生效,因为虚拟系统访问公网是通过根系统的外网口来访问外网的。
#分配资源
[FW] vsys name vsys_a
[FW-vsys-vsys_a] assign resource-class r1
[FW-vsys-vsys_a] assign interface GigabitEthernet 1/0/3
[FW-vsys-vsys_a] quit
[FW] vsys name vsys_b
[FW-vsys-vsys_b] assign resource-class r1
[FW-vsys-vsys_b] assign interface GigabitEthernet 1/0/4
[FW-vsys-vsys_b] quit
2、配置根系统的接口,并将接口加入对应安全区域。Virtual-if0接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。
[FW] interface Virtual-if 0
[FW-Virtual-if0] ip address 172.16.0.1 24
[FW-Virtual-if0] quit
[FW-GigabitEthernet1/0/1] ip address 10.1.1.8 255.255.255.0
[FW] firewall zone trust
[FW-zone-trust] add interface Virtual-if 0
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-trust] add interface GigabitEthernet1/0/1
[FW-zone-trust] quit
3、配置访问外网的安全策略,允许的网段为10.3.0.0/24,10.3.1.0/24。
[FW] security-policy
[FW-policy-security] rule name trust_untrust
[FW-policy-security] source-zone trust
[FW-policy-security] destination-zone untrust
[FW-policy-security-rule-trust_untrust] source-address 10.3.0.0 24
[FW-policy-security-rule-trust_untrust] source-address 10.3.1.0 24
[FW-policy-security-rule-trust_untrust] destination-address any
[FW-policy-security] action permit
4、配置访问外网的NAT策略,允许的网段为10.3.0.0/24,10.3.1.0/24。
[FW]nat-policy
[FW-policy-nat] rule name trust_untrust
[FW-policy-nat] source-zone trust
[FW-policy-nat] destination-zone untrust
[FW-policy-nat-rule-trust_untrust] source-address 10.3.0.0 24
[FW-policy-nat-rule-trust_untrust] source-address 10.3.1.0 24
[FW-policy-nat] action source-nat easy-ip
5、为虚拟系统vsys间互访的员工配置路由。
[FW] ip route-static 10.3.0.0 24 vpn-instance vsysa
[FW] ip route-static 10.3.1.0 24 vpn-instance vsysb
6、配置访问Internet的静态路由。
[FW] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
操作步骤 2 在虚拟系统vsys_a下
1、进入虚拟系统vsys_a
[FW] switch vsys vsys_a
<FW-vsys_a> sys
2、配置虚拟系统vsys_a的接口,并将接口加入对应安全区域。Virtual-if 1接口上的IP地址可设置为任意值,保证不与其他接口上的IP地址冲突即可。
[FW] interface Virtual-if 1
[FW-Virtual-if0] ip address 172.16.1.1 24
[FW-Virtual-if0] quit
[FW-vsys_a] interface GigabitEthernet 1/0/3
[FW-vsys_a-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-vsys_a-GigabitEthernet1/0/3] quit
[FW-vsys_a] firewall zone trust
[FW-vsys_a -zone-trust] add interface GigabitEthernet1/0/3
[FW-vsys_a -zone-trust] quit
[FW-vsys_a] firewall zone untrust
[FW-vsys_a -zone-untrust] add interface Virtual-if 0
[FW-vsys_a -zone-untrust] quit
3、配置vsys_a访问外网的安全策略,允许的源ip地址为10.3.0.0/24
[FW-vsys_a] security-policy
[FW-vsys_a-policy-security] rule name trust_untrust
[FW-vsys_a-policy-security-rule-trust_untrust] source-zone trust
[FW-vsys_a-policy-security-rule-trust_untrust] destination-zone untrust
[FW-vsys_a-policy-security-rule-trust_untrust] source-address 10.3.0.0 24
[FW-vsys_a-policy-security-rule-trust_untrust] destination-address any
[FW-vsys_a-policy-security-rule-trust_untrust] action permit
4、配置vsys_b访问本虚拟系统vsys_a的安全策略,只允许源ip地址为10.3.1.101—10.3.1.254访问10.3.0.101-- 10.3.0.254这些主机
[FW-vsys_a] security-policy
[FW-vsys_a-policy-security] rule name untrust_trust
[FW-vsys_a-policy-security-rule-untrust_trust] source-zone untrust
[FW-vsys_a-policy-security-rule-untrust_trust] destination-zone trust
[FW-vsys_a-policy-security-rule-untrust_trust] source-address range 10.3.1.101 10.3.1.254
[FW-vsys_a-policy-security-rule-untrust_trust] destination-address range 10.3.0.101 10.3.0.254
[FW-vsys_a-policy-security-rule-untrust_trust] action permit
5、配置访问本虚拟系统vsys_a外的静态路由。
[FW-vsys_a] ip route-static 0.0.0.0 0.0.0.0 public
操作步骤 3 在虚拟系统vsys_b下
根系统管理员为虚拟系统vsysb配置IP地址、路由、安全策略。
具体配置过程与vsys_a类似,主要有以下几点区别。
内网接口以及虚拟接口的IP地址不同。
安全策略中访问本虚拟系统的源目IP地址不同
结果验证
- 验证代表销售部门的虚拟系统vsys_b的安全策略是否正确
#从研发部门代表10.3.0.2-100的PC1去ping销售部门的PC3和PC4,访问不通,访问结果符合预期
正在上传…重新上传取消
#从研发部门代表10.3.0.101-254的PC2去ping销售部门的PC3,访问不通,访问结果符合预期,ping PC4,访问通,访问结果符合预期。
正在上传…重新上传取消
2、验证代表研发部门的虚拟系统vsys_a的安全策略是否正确
#从销售部门代表10.3.1.2-100的PC3去ping研发部门的PC1和PC2,访问不通,访问结果符合预期
正在上传…重新上传取消
#从研发部门代表10.3.1.101-254的PC4去ping销售部门的PC1,访问不通,访问结果符合预期,ping PC2,访问通,访问结果符合预期。
正在上传…重新上传取消
配置脚本
根系统的配置脚本
[FW]dis current-configuration
sysname FW
#
vsys enable
resource-class r0
resource-class r1
resource-item-limit session reserved-number 500 maximum 1000
resource-item-limit bandwidth 5 outbound
resource-item-limit policy reserved-number 100
resource-item-limit user reserved-number 100
resource-item-limit user-group reserved-number 10
#
vsys name vsys_a 1
assign interface GigabitEthernet1/0/3
assign resource-class r1
#
vsys name vsys_b 2
assign interface GigabitEthernet1/0/4
assign resource-class r1
#
ip vpn-instance vsys_a
ipv4-family
ipv6-family
#
ip vpn-instance vsys_b
ipv4-family
ipv6-family
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.0.1 255.255.255.0
alias GE0/METH
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.1.8 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/3
undo shutdown
ip binding vpn-instance vsys_a
ip address 10.3.0.1 255.255.255.0
#
interface GigabitEthernet1/0/4
undo shutdown
ip binding vpn-instance vsys_b
ip address 10.3.1.1 255.255.255.0
service-manage ping permit
#
interface Virtual-if0
ip address 172.16.0.1 255.255.255.0
#
interface Virtual-if1
ip address 172.16.1.1 255.255.255.0
#
interface Virtual-if2
ip address 172.16.2.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface Virtual-if0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
ip route-static 10.3.0.0 255.255.255.0 vpn-instance vsys_a
ip route-static 10.3.1.0 255.255.255.0 vpn-instance vsys_b
#
security-policy
rule name trust_untrust
source-zone trust
destination-zone untrust
source-address 10.3.0.0 mask 255.255.255.0
source-address 10.3.1.0 mask 255.255.255.0
action permit
#
nat-policy
rule name trust_untrust
source-zone trust
destination-zone untrust
source-address 10.3.0.0 mask 255.255.255.0
source-address 10.3.1.0 mask 255.255.255.0
action source-nat easy-ip
#
虚拟系统vsys_a的配置脚本
[FW-vsys_a]dis current-configuration
#
switch vsys vsys_a
#
interface GigabitEthernet1/0/3
undo shutdown
ip binding vpn-instance vsys_a
ip address 10.3.0.1 255.255.255.0
#
interface Virtual-if1
ip address 172.16.1.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface Virtual-if1
#
security-policy
rule name trust_untrust
source-zone trust
destination-zone untrust
action permit
rule name untrust_trust
source-zone untrust
destination-zone trust
source-address range 10.3.1.101 10.3.1.254
destination-address range 10.3.0.101 10.3.0.254
action permit
#
ip route-static 0.0.0.0 0.0.0.0 public
#
虚拟系统vsys_b的配置脚本
[FW-vsys_b]dis current-configuration
#
switch vsys vsys_b
#
interface GigabitEthernet1/0/4
undo shutdown
ip binding vpn-instance vsys_b
ip address 10.3.1.1 255.255.255.0
service-manage ping permit
#
interface Virtual-if2
ip address 172.16.2.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/4
#
firewall zone untrust
set priority 5
add interface Virtual-if2
#
security-policy
rule name trust_untrust
source-zone trust
destination-zone untrust
action permit
rule name untrust_trust
source-zone untrust
destination-zone trust
source-address range 10.3.0.101 10.3.0.254
destination-address 0.0.0.1 10.3.1.254
action permit
#
ip route-static 0.0.0.0 0.0.0.0 public
#