Huawei ファイアウォール仮想システム間の相互アクセス

Huawei ファイアウォール仮想システム間の相互アクセス

ネットワーク要件

次の図に示すように、FW はアクセス ゲートウェイとしてエンタープライズ キャンパスに展開されます。部門ごとにネットワークを研究開発部門と営業部門に分け、それぞれの部門ごとに別のファイアウォール仮想システムを用意しており、具体的な要件は次のとおりです。

研究開発部門と営業部門の両方がインターネットにアクセスできます。

研究開発部門と非研究開発部門は隔離されていますが、両部門間の特定の従業員は相互に訪問することができます。

研究開発部門と営業部門は業務量が同程度であるため、同じ仮想システムリソースが割り当てられます。

仮想システム間の相互アクセスのネットワーク図

データプランニング

プロジェクト	データプランニング
ルートシステム	仮想インターフェイス: virtual-if 0 仮想インターフェイスのIPアドレス: 172.16.0.1/24 仮想インターフェイスが属するセキュリティ ゾーン: trust 外部ネットワークインターフェイス: GE1/0/1 外部ネットワークインターフェイスのIPアドレス: 10.1.1.8/24 外部ネットワーク インターフェイスが属するセキュリティ ゾーン: untrust
vsys_a	仮想システム名: vsys_a 仮想インターフェイス: virtual-if 1 仮想インターフェイスのIPアドレス: 172.16.1.1/24 仮想インターフェイスが属するセキュリティ ゾーン: untrust プライベートネットワークインターフェース: GE1/0/3 プライベートネットワークインターフェースのIPアドレス: 10.3.0.1/24 プライベートネットワークアドレス範囲: 10.3.0.0/24 プライベート ネットワーク インターフェイスが属するセキュリティ ゾーン: trust インターネットへのアクセスが許可されるアドレス範囲: 10.3.0.0/24 vsys_b が vsys_a のアドレス範囲にアクセスできるようにします。 vsys_b：10.3.1.101--254 vsys_a：10.3.0.101--254
vsys_b	仮想システム名: vsys_b 仮想インターフェイス: virtual-if 2 仮想インターフェイスのIPアドレス: 172.16.2.1/24 仮想インターフェイスが属するセキュリティ ゾーン: untrust プライベートネットワークインターフェース: GE1/0/4 プライベートネットワークインターフェースのIPアドレス: 10.3.1.1/24 プライベートネットワークアドレス範囲: 10.3.1.0/24 プライベート ネットワーク インターフェイスが属するセキュリティ ゾーン: trust インターネットへのアクセスが許可されるアドレス範囲: 10.3.1.0/24 vsys_a が vsys_b のアドレス範囲にアクセスできるようにします。 vsys_a：10.3.1.101—254 vsys_b：10.3.1.101--254
リソース	名前: r1 セッション保証値：500 最大セッション数: 1000 ユーザー数: 100 ユーザーグループ: 10 戦略数: 100 最大帯域幅: 5M

構成のアイデア

ルート システム管理者は、ルート システムで vsys 機能を有効にし、リソース クラスを作成します。

ルート システム管理者は、ルート システムの下に仮想システム vsysa およ​​び vsysb を作成し、各仮想システムにリソースを割り当てます。

根系统管理员在根系统下为vsys间互访的员工配置路由。

根系统管理员在根系统下配置访问外网的路由和安全策略和NAT策略

根系统管理员为虚拟系统vsysa配置IP地址、路由和安全策略。

根系统管理员为虚拟系统vsysb配置IP地址、路由和安全策略。

操作步骤 1 在根系统下

1、根系统管理员分别创建虚拟系统vsysa和vsysb，并为其分配资源。

#开启虚拟系统功能。

<FW> system-view

[FW] vsys enable

# 配置资源类。

[FW] resource-class r1

[FW-resource-class-r1] resource-item-limit session reserved-number 500 maximum 1000

[FW-resource-class-r1] resource-item-limit policy reserved-number 100

[FW-resource-class-r1] resource-item-limit user reserved-number 100

[FW-resource-class-r1] resource-item-limit user-group reserved-number 10

[FW-resource-class-r1] resource-item-limit bandwidth 5 outbound

[FW-resource-class-r1] quit

说明：

只有配置了公共接口，资源类中的带宽资源配置才会生效。本示例中，没有配置虚拟系统访问公网的公共接口，所以不会生效，因为虚拟系统访问公网是通过根系统的外网口来访问外网的。

#分配资源

[FW] vsys name vsys_a

[FW-vsys-vsys_a] assign resource-class r1

[FW-vsys-vsys_a] assign interface GigabitEthernet 1/0/3

[FW-vsys-vsys_a] quit

[FW] vsys name vsys_b

[FW-vsys-vsys_b] assign resource-class r1

[FW-vsys-vsys_b] assign interface GigabitEthernet 1/0/4

[FW-vsys-vsys_b] quit

2、配置根系统的接口，并将接口加入对应安全区域。Virtual-if0接口上的IP地址可设置为任意值，保证不与其他接口上的IP地址冲突即可。

[FW] interface Virtual-if 0

[FW-Virtual-if0] ip address 172.16.0.1 24

[FW-Virtual-if0] quit

[FW-GigabitEthernet1/0/1] ip address 10.1.1.8 255.255.255.0

[FW] firewall zone trust

[FW-zone-trust] add interface Virtual-if 0

[FW-zone-trust] quit

[FW] firewall zone untrust

[FW-zone-trust] add interface GigabitEthernet1/0/1

[FW-zone-trust] quit

3、配置访问外网的安全策略，允许的网段为10.3.0.0/24，10.3.1.0/24。

[FW] security-policy

[FW-policy-security] rule name trust_untrust

[FW-policy-security] source-zone trust

[FW-policy-security] destination-zone untrust

[FW-policy-security-rule-trust_untrust] source-address 10.3.0.0 24

[FW-policy-security-rule-trust_untrust] source-address 10.3.1.0 24

[FW-policy-security-rule-trust_untrust] destination-address any

[FW-policy-security] action permit

4、配置访问外网的NAT策略，允许的网段为10.3.0.0/24，10.3.1.0/24。

[FW]nat-policy

[FW-policy-nat] rule name trust_untrust

[FW-policy-nat] source-zone trust

[FW-policy-nat] destination-zone untrust

[FW-policy-nat-rule-trust_untrust] source-address 10.3.0.0 24

[FW-policy-nat-rule-trust_untrust] source-address 10.3.1.0 24

[FW-policy-nat] action source-nat easy-ip

5、为虚拟系统vsys间互访的员工配置路由。

[FW] ip route-static 10.3.0.0 24 vpn-instance vsysa

[FW] ip route-static 10.3.1.0 24 vpn-instance vsysb

6、配置访问Internet的静态路由。

[FW] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

操作步骤 2 在虚拟系统vsys_a下

1、进入虚拟系统vsys_a

[FW] switch vsys vsys_a

<FW-vsys_a> sys

2、配置虚拟系统vsys_a的接口，并将接口加入对应安全区域。Virtual-if 1接口上的IP地址可设置为任意值，保证不与其他接口上的IP地址冲突即可。

[FW] interface Virtual-if 1

[FW-Virtual-if0] ip address 172.16.1.1 24

[FW-Virtual-if0] quit

[FW-vsys_a] interface GigabitEthernet 1/0/3

[FW-vsys_a-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0

[FW-vsys_a-GigabitEthernet1/0/3] quit

[FW-vsys_a] firewall zone trust

[FW-vsys_a -zone-trust] add interface GigabitEthernet1/0/3

[FW-vsys_a -zone-trust] quit

[FW-vsys_a] firewall zone untrust

[FW-vsys_a -zone-untrust] add interface Virtual-if 0

[FW-vsys_a -zone-untrust] quit

3、配置vsys_a访问外网的安全策略，允许的源ip地址为10.3.0.0/24

[FW-vsys_a] security-policy

[FW-vsys_a-policy-security] rule name trust_untrust

[FW-vsys_a-policy-security-rule-trust_untrust] source-zone trust

[FW-vsys_a-policy-security-rule-trust_untrust] destination-zone untrust

[FW-vsys_a-policy-security-rule-trust_untrust] source-address 10.3.0.0 24

[FW-vsys_a-policy-security-rule-trust_untrust] destination-address any

[FW-vsys_a-policy-security-rule-trust_untrust] action permit

4、配置vsys_b访问本虚拟系统vsys_a的安全策略，只允许源ip地址为10.3.1.101—10.3.1.254访问10.3.0.101-- 10.3.0.254这些主机

[FW-vsys_a] security-policy

[FW-vsys_a-policy-security] rule name untrust_trust

[FW-vsys_a-policy-security-rule-untrust_trust] source-zone untrust

[FW-vsys_a-policy-security-rule-untrust_trust] destination-zone trust

[FW-vsys_a-policy-security-rule-untrust_trust] source-address range 10.3.1.101 10.3.1.254

[FW-vsys_a-policy-security-rule-untrust_trust] destination-address range 10.3.0.101 10.3.0.254

[FW-vsys_a-policy-security-rule-untrust_trust] action permit

5、配置访问本虚拟系统vsys_a外的静态路由。

[FW-vsys_a] ip route-static 0.0.0.0 0.0.0.0 public

操作步骤 3 在虚拟系统vsys_b下

根系统管理员为虚拟系统vsysb配置IP地址、路由、安全策略。

具体配置过程与vsys_a类似，主要有以下几点区别。

内网接口以及虚拟接口的IP地址不同。

安全策略中访问本虚拟系统的源目IP地址不同

结果验证

1. 验证代表销售部门的虚拟系统vsys_b的安全策略是否正确

#从研发部门代表10.3.0.2-100的PC1去ping销售部门的PC3和PC4，访问不通，访问结果符合预期

正在上传…重新上传取消

#从研发部门代表10.3.0.101-254的PC2去ping销售部门的PC3，访问不通，访问结果符合预期，ping PC4，访问通，访问结果符合预期。

正在上传…重新上传取消

2、验证代表研发部门的虚拟系统vsys_a的安全策略是否正确

#从销售部门代表10.3.1.2-100的PC3去ping研发部门的PC1和PC2，访问不通，访问结果符合预期

正在上传…重新上传取消

#从研发部门代表10.3.1.101-254的PC4去ping销售部门的PC1，访问不通，访问结果符合预期，ping PC2，访问通，访问结果符合预期。

正在上传…重新上传取消

配置脚本

根系统的配置脚本

[FW]dis current-configuration

sysname FW

#

vsys enable

resource-class r0

resource-class r1

 resource-item-limit session reserved-number 500 maximum 1000

 resource-item-limit bandwidth 5 outbound

 resource-item-limit policy reserved-number 100

 resource-item-limit user reserved-number 100

 resource-item-limit user-group reserved-number 10

#

vsys name vsys_a 1

 assign interface GigabitEthernet1/0/3

 assign resource-class r1

#

vsys name vsys_b 2

 assign interface GigabitEthernet1/0/4

 assign resource-class r1

#

ip vpn-instance vsys_a

 ipv4-family

 ipv6-family

#

ip vpn-instance vsys_b

 ipv4-family

 ipv6-family

#

interface GigabitEthernet0/0/0

 undo shutdown

 ip binding vpn-instance default

 ip address 192.168.0.1 255.255.255.0

 alias GE0/METH

 service-manage http permit

 service-manage https permit

 service-manage ping permit

 service-manage ssh permit

 service-manage snmp permit

 service-manage telnet permit

#

interface GigabitEthernet1/0/1

 undo shutdown

 ip address 10.1.1.8 255.255.255.0

 service-manage ping permit

#

interface GigabitEthernet1/0/3

 undo shutdown

 ip binding vpn-instance vsys_a

 ip address 10.3.0.1 255.255.255.0

#

interface GigabitEthernet1/0/4

 undo shutdown

 ip binding vpn-instance vsys_b

 ip address 10.3.1.1 255.255.255.0

 service-manage ping permit

#

interface Virtual-if0

 ip address 172.16.0.1 255.255.255.0

#

interface Virtual-if1

 ip address 172.16.1.1 255.255.255.0

#

interface Virtual-if2

 ip address 172.16.2.1 255.255.255.0

#

firewall zone trust

 set priority 85

 add interface GigabitEthernet0/0/0

 add interface Virtual-if0

#

firewall zone untrust

 set priority 5

 add interface GigabitEthernet1/0/1

#

ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

ip route-static 10.3.0.0 255.255.255.0 vpn-instance vsys_a

ip route-static 10.3.1.0 255.255.255.0 vpn-instance vsys_b

#

security-policy

 rule name trust_untrust

  source-zone trust

  destination-zone untrust

  source-address 10.3.0.0 mask 255.255.255.0

  source-address 10.3.1.0 mask 255.255.255.0

  action permit

#

nat-policy

 rule name trust_untrust

  source-zone trust

  destination-zone untrust

  source-address 10.3.0.0 mask 255.255.255.0

  source-address 10.3.1.0 mask 255.255.255.0

  action source-nat easy-ip

#

虚拟系统vsys_a的配置脚本

[FW-vsys_a]dis current-configuration

#

switch vsys vsys_a

#

interface GigabitEthernet1/0/3

 undo shutdown

 ip binding vpn-instance vsys_a

 ip address 10.3.0.1 255.255.255.0

#

interface Virtual-if1

 ip address 172.16.1.1 255.255.255.0

#

firewall zone trust

 set priority 85

 add interface GigabitEthernet1/0/3

#

firewall zone untrust

 set priority 5

 add interface Virtual-if1

#

security-policy

 rule name trust_untrust

  source-zone trust

  destination-zone untrust

  action permit

 rule name untrust_trust

  source-zone untrust

  destination-zone trust

  source-address range 10.3.1.101 10.3.1.254

  destination-address range 10.3.0.101 10.3.0.254

  action permit

#

ip route-static 0.0.0.0 0.0.0.0 public

#

虚拟系统vsys_b的配置脚本

[FW-vsys_b]dis current-configuration

#

switch vsys vsys_b

#

interface GigabitEthernet1/0/4

 undo shutdown

 ip binding vpn-instance vsys_b

 ip address 10.3.1.1 255.255.255.0

 service-manage ping permit

#

interface Virtual-if2

 ip address 172.16.2.1 255.255.255.0

#

firewall zone trust

 set priority 85

 add interface GigabitEthernet1/0/4

#

firewall zone untrust

 set priority 5

 add interface Virtual-if2

#

security-policy

 rule name trust_untrust

  source-zone trust

  destination-zone untrust

  action permit

 rule name untrust_trust

  source-zone untrust

  destination-zone trust

  source-address range 10.3.0.101 10.3.0.254

  destination-address 0.0.0.1 10.3.1.254

  action permit

#

ip route-static 0.0.0.0 0.0.0.0 public

#