购物网站开发教程 视频网站网址查询工具

一、复习：

虚拟系统 Virtual System 是在一台物理设备上划分出的多台相互独立的逻辑设备，FW上有根墙 Public、虚墙 VSys 两种类型的设备，通过虚接口 Virtual-if 互访，Public 中虚接口是 Virtual-if0，其他的虚接口为Virtual-ifx
接口手工分配，类型有三层物理口，三层物理子接口、三层Eth-Trunk口、三层Eth-Trunk子接口、POS接口、IP-Trunk接口、Tunnel口，Virtual-Template接口；
二层接口、VLanif、Vbdif、管理口不支持直接分配给 VSys
分流可以基于接口、VLan、VNI 三种方式
虚拟系统互访有：VSys 和 Public、VSys 和 VSys 直接互访、VSys 和 VSys 跨 Public 互访、VSys 和 VSys 跨 VSys 互访 4 种类型 。或者简单分为标准互访和扩展互访问（Shared-vsys）
VSys 通过虚拟接口 Virtual-if 互访，路由采用静态路由方式

二、名词：

根墙：public
虚墙：vsys
虚接口：virtual-ifx（x范围：0–4095，但根墙虚接口只能是 virtual-if0）
引流表：引流表：在虚拟系统和根系统互访的场景中，通过配置引流表，解决两个系统双向建立会话表引起的资源消耗，当报文命中引流表时，根系统不再按照防火墙转发流程处理报文，而是按路由表或引流表直接转发报文
区域：firewall zone X，默认有 local、trust、untrust、dmz、自定义区域名
安全策略：security-policy
公网地址：global-ip

三、防火墙两端的地址通过两个虚墙互访拓扑：

需求：让 AR1 的业务地址 10.0.1.1 能通过防火墙的两个虚墙 ping 通对端的 AR2 上的业务 IP 10.0.4.1

四、配置过程：

1、AR1 ：

配置 Loo0 地址，为 10.0.1.1/24；
AR1 配置直连到防火墙的地址：10.0.12.2/24；

2、AR2 ：

配置 Loo0 地址，为 10.0.4.1/24；
AR2 配置直连到防火墙的地址：10.0.34.6/24；

3、FW2 基础配置 ：

1、全局环境下，开启虚墙能力：

vsys enable

2、配置根墙的虚接口地址：

interface virtual-if0
ip addr 172.16.0.1/24

3、配置虚墙 vsys A、vsys B：

vsys name A

这个配置完，会自动生成同名 VRF 实例；
4、进入虚墙 A，进入接口 G1/0/0，绑定 VRF 实例 A，开启允许的服务：

switch vsys A 
sys
int G1/0/0ip binding vpn-instance Aip addr 10.0.12.1 24service-manager ping permit

回到根墙，看到 vsys A 下，绑定了这个接口资源：

vsys name A 1assign interface GigabitEthernet1/0/0

5、进入虚墙 A 的 虚接口，配置 IP：

int virtual-if1ip addr 172.16.1.1/24；

6、在 trust 区域中，将 G1/0/0 加入：

firewall zone trustadd interface G1/0/0

7、在untrust区域中，将虚接口 Virtual-if1 加入：

firewall zone untrustadd interface virtual-if1

8、配置安全策略，允许从 trust–>untrust、untrust–>trust，允许通行：

security-policyrule name toR1source-zone trustdestination-zone untrustaction permitrule name toR2source-zone untrustdestination-zone trustaction permit
#

9、重复在虚墙 B 中，做 4–8 步骤；
10、在根墙下，配置安全策略：

security-policyrule name ABsource-zone trustdestination-zone untrustaction permitrule name BAsource-zone untrustaction permit
#

4、FR2 路由配置：

1、让两个虚墙互通，这样，VPN 实例中，都有了对端的业务 IP，下一跳为对方的虚接口：
···
ip route-static vpn-instance A 10.0.4.0 255.255.255.0 vpn-instance B
ip route-static vpn-instance B 10.0.1.0 255.255.255.0 vpn-instance A
···
（如果是下一跳是根墙，那么 vpn-instance 就用 public )

注意：根墙在这里也相当于一个虚墙，我们查看 Public 路由表，只有直连路由：

2、 进入 vsys A，给 AR1 的业务地址配置回程路由，下一跳是直连 VPN 实例的对端 IP：

ip route-static 10.0.1.0 255.255.255.0 10.0.12.2

在 vsys B 中，做相同操作

五、测试：

ping 一下，通的：

跟踪一下，防火墙默认禁止跟踪：

实验拓扑下载