www国产亚洲精品久久小说,在线 | 一区二区三区四区,综合成人亚洲网友偷自拍,中文字幕人妻第一区,最近中文字幕mv

微思網(wǎng)絡
全國免費電話:400-881-4699
當前位置:首頁>微思動態(tài) > >詳情
全國熱線電話 400-881-4699

在線留言

【華為】配置虛擬系統(tǒng)與根系統(tǒng)通過路由表互

發(fā)布作者:微思網(wǎng)絡   發(fā)布時間:2024-11-01   瀏覽量:0

組網(wǎng)需求

如圖6-2所示,設備部署在網(wǎng)絡A與Internet之間,虛擬系統(tǒng)vsysa作為網(wǎng)絡A的網(wǎng)關(guān)設備對網(wǎng)絡A進行隔離和保護。設備通過根系統(tǒng)下的公網(wǎng)接口interface1連接到Internet。

設備中需要配置虛擬系統(tǒng)vsysa與根系統(tǒng)public通過路由表互訪,實現(xiàn)網(wǎng)絡A與Internet之間的互訪。

本例中interface1和interface2分別代表GE0/0/1和GE0/0/2。

圖片

圖6-2 虛擬系統(tǒng)與根系統(tǒng)通過路由表互訪

配置思路

采用如下思路配置虛擬系統(tǒng)與根系統(tǒng)通過路由表互訪:

  1. 開啟虛擬系統(tǒng)功能,創(chuàng)建虛擬系統(tǒng)vsysa并為其分配資源。

  2. 在根系統(tǒng)和虛擬系統(tǒng)vsysa下分別配置接口,并將接口加入安全區(qū)域。

  3. 在根系統(tǒng)和虛擬系統(tǒng)vsysa下分別配置路由,對網(wǎng)絡A和Internet之間互訪的流量進行引流。

  4. 在根系統(tǒng)和虛擬系統(tǒng)vsysa下分別配置安全策略,放行網(wǎng)絡A和Internet之間互訪的流量。

操作步驟

  1. 開啟虛擬系統(tǒng)功能。

<HUAWEI> system-view
[HUAWEI] sysname Device
[Device] vsys enable

  1. 創(chuàng)建虛擬系統(tǒng)vsysa并為其分配接口GE0/0/2。

[Device] vsys name vsysa
[Device-vsys-vsysa] assign interface ge 0/0/2
[Device-vsys-vsysa] quit

  1. 配置根系統(tǒng)下的接口并將接口加入安全區(qū)域。

[Device] interface ge 0/0/1
[Device-GE0/0/1] ip address 1.1.1.1 24
[Device-GE0/0/1] quit
[Device] interface Virtual-if 0
[Device-Virtual-if0] ip address 172.16.0.1 24
[Device-Virtual-if0] quit
[Device] firewall zone trust
[Device-zone-trust] add interface Virtual-if 0
[Device-zone-trust] quit
[Device] firewall zone untrust
[Device-zone-untrust] add interface ge 0/0/1
[Device-zone-untrust] quit

  1. 配置根系統(tǒng)下的路由。

# 配置根系統(tǒng)到Internet的路由,將網(wǎng)絡A中的用戶主動訪問Internet的去程流量,或Internet中的用戶主動訪問網(wǎng)絡A的回程流量引入Internet。其中,1.1.1.254是根系統(tǒng)到Internet的下一跳。

[Device] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

# 配置根系統(tǒng)到虛擬系統(tǒng)vsysa的路由,將Internet中的用戶主動訪問網(wǎng)絡A的去程流量引入虛擬系統(tǒng)vsysa。

[Device] ip route-static 10.3.0.0 255.255.255.0 vpn-instance vsysa

  1. 配置根系統(tǒng)下的安全策略。

# 配置trust到untrust的安全策略,放行網(wǎng)絡A中的用戶主動訪問Internet的流量。

[Device] security-policy
[Device-policy-security] rule name trust_to_untrust      
[Device-policy-security-rule-trust_to_untrust] source-zone trust  
[Device-policy-security-rule-trust_to_untrust] destination-zone untrust      
[Device-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24
[Device-policy-security-rule-trust_to_untrust] action permit    
[Device-policy-security-rule-trust_to_untrust] quit

# 配置untrust到trust的安全策略,放行Internet中的用戶主動訪問網(wǎng)絡A的流量。

[Device-policy-security] rule name untrust_to_trust      
[Device-policy-security-rule-untrust_to_trust] source-zone untrust  
[Device-policy-security-rule-untrust_to_trust] destination-zone trust      
[Device-policy-security-rule-untrust_to_trust] destination-address 10.3.0.0 24      
[Device-policy-security-rule-untrust_to_trust] action permit    
[Device-policy-security-rule-untrust_to_trust] quit    
[Device-policy-security] quit

  1. 切換到虛擬系統(tǒng)vsysa的系統(tǒng)視圖。

[Device] switch vsys vsysa
<Device-vsysa> system-view

  1. 配置虛擬系統(tǒng)vsysa下的接口并將接口加入安全區(qū)域。

[Device-vsysa] interface ge 0/0/2
[Device-vsysa-GE0/0/2] ip address 10.3.0.1 24
[Device-vsysa-GE0/0/2] quit
[Device-vsysa] interface Virtual-if 1
[Device-vsysa-Virtual-if1] ip address 172.16.1.1 24
[Device-vsysa-Virtual-if1] quit
[Device-vsysa] firewall zone trust
[Device-vsysa-zone-trust] add interface ge 0/0/2
[Device-vsysa-zone-trust] quit
[Device-vsysa] firewall zone untrust
[Device-vsysa-zone-untrust] add interface Virtual-if 1
[Device-vsysa-zone-untrust] quit

  1. 配置虛擬系統(tǒng)vsysa下的路由。

# 配置虛擬系統(tǒng)vsysa到根系統(tǒng)的路由,將網(wǎng)絡A中的用戶主動訪問Internet的去程流量引入根系統(tǒng)。

[Device-vsysa] ip route-static 0.0.0.0 0.0.0.0 public

# 配置虛擬系統(tǒng)vsysa到網(wǎng)絡A的路由,將網(wǎng)絡A中的用戶主動訪問Internet的回程流量,或Internet中的用戶主動訪問網(wǎng)絡A的去程流量引入網(wǎng)絡A。其中,10.3.0.254是虛擬系統(tǒng)vsysa到網(wǎng)絡A的下一跳。

[Device-vsysa] ip route-static 10.3.0.0 255.255.255.0 10.3.0.254

  1. 配置虛擬系統(tǒng)vsysa下的安全策略。

# 配置trust到untrust的安全策略,放行網(wǎng)絡A中的用戶主動訪問Internet的流量。

[Device-vsysa] security-policy
[Device-vsysa-policy-security] rule name vsysa_trust_to_untrust      
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] source-zone trust  
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] destination-zone untrust    
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] source-address 10.3.0.0 24
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] action permit    
[Device-vsysa-policy-security-rule-vsysa_trust_to_untrust] quit

# 配置untrust到trust的安全策略,放行Internet中的用戶主動訪問網(wǎng)絡A的流量。

[Device-vsysa-policy-security] rule name vsysa_untrust_to_trust      
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] source-zone untrust  
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] destination-zone trust
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] destination-address 10.3.0.0 24
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] action permit    
[Device-vsysa-policy-security-rule-vsysa_untrust_to_trust] quit    
[Device-vsysa-policy-security] quit

檢查配置結(jié)果

  • 網(wǎng)絡A中的用戶可以主動訪問Internet,同時,虛擬系統(tǒng)vsysa和根系統(tǒng)中分別建立如下會話。

   說明: 3.3.3.3是網(wǎng)絡A中的用戶訪問的Internet中服務器的IP地址;10.3.0.2是網(wǎng)絡A中用戶主機的IP地址。

根系統(tǒng)中的會話:

<Device> display firewall session table verbose destination global 3.3.3.3
Current Total Sessions : 1
icmp  VPN: public --> public  ID: xxxxxxxxxxxxxxxxxxxxxx
Zone: trust --> untrust  TTL: xx:xx:xx  Left: xx:xx:xx
Interface: GE0/0/1  NextHop: 1.1.1.254  MAC: xxxx-xxxx-xxxx
<--packets: xxx bytes: xxx --> packets: xxx bytes: xxx
10.3.0.2:43999 --> 3.3.3.3:2048 PolicyName: trust_to_untrust

虛擬系統(tǒng)vsysa中的會話:

<Device> display firewall session table verbose vsys vsysa destination global 3.3.3.3
Current Total Sessions : 1
icmp  VPN: vsysa --> public  ID: xxxxxxxxxxxxxxxxxxxxxx
Zone: trust --> untrust  TTL: xx:xx:xx  Left: xx:xx:xx
Interface: Virtual-if1  NextHop: 0.0.0.0  MAC: xxxx-xxxx-xxxx
<--packets: xxx bytes: xxx --> packets: xxx bytes: xxx
10.3.0.2:43999 --> 3.3.3.3:2048 PolicyName: vsysa_trust_to_untrust

  • Internet中的用戶可以主動訪問網(wǎng)絡A,同時,虛擬系統(tǒng)vsysa和根系統(tǒng)中分別建立如下會話。

說明:10.3.0.3是Internet中的用戶訪問的網(wǎng)絡A中服務器的IP地址;2.2.2.2是Internet中用戶主機的IP地址。

根系統(tǒng)中的會話:

<Device> display firewall session table verbose destination global 10.3.0.3
Current Total Sessions : 1
icmp  VPN: public --> vsysa  ID: xxxxxxxxxxxxxxxxxxxxxx
Zone: untrust --> trust  TTL: xx:xx:xx  Left: xx:xx:xx
Interface: Virtual-if0  NextHop: 0.0.0.0  MAC: xxxx-xxxx-xxxx
<--packets: xxx bytes: xxx --> packets: xxx bytes: xxx
2.2.2.2:2048 --> 10.3.0.3:43999 PolicyName: untrust_to_trust

虛擬系統(tǒng)vsysa中的會話:

<Device> display firewall session table verbose vsys vsysa destination global 10.3.0.3
Current Total Sessions : 1
icmp  VPN: vsysa --> vsysa  ID: xxxxxxxxxxxxxxxxxxxxxx
Zone: untrust --> trust  TTL: xx:xx:xx  Left: xx:xx:xx
Interface: GE0/0/2  NextHop: 10.3.0.254  MAC: xxxx-xxxx-xxxx
<--packets: xxx bytes: xxx --> packets: xxx bytes: xxx
2.2.2.2:2048 --> 10.3.0.3:43999 PolicyName: vsysa_untrust_to_trust

配置腳本

  • 根系統(tǒng)public

#
sysname Device
#
vsys enable
#
vsys name vsysa 1
assign interface GE0/0/2
#
interface GE0/0/1
ip address 1.1.1.1 255.255.255.0  
#
interface Virtual-if0  
ip address 172.16.0.1 255.255.255.0      
#
firewall zone trust
set priority 85  
add interface Virtual-if0
#
firewall zone untrust    
set priority 5  
add interface GE0/0/1
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 10.3.0.0 255.255.255.0 vpn-instance vsysa
#
security-policy  
rule name trust_to_untrust
 source-zone trust  
 destination-zone untrust
 source-address 10.3.0.0 mask 255.255.255.0
 action permit
rule name untrust_to_trust
 source-zone untrust  
 destination-zone trust
 destination-address 10.3.0.0 mask 255.255.255.0
 action permit
#
return

  • 虛擬系統(tǒng)vsysa

#
interface GE0/0/2  
ip address 10.3.0.1 255.255.255.0  
#
interface Virtual-if 1  
ip address 172.16.1.1 255.255.255.0      
#
firewall zone trust
set priority 85  
add interface GE0/0/2    
#
firewall zone untrust
set priority 5  
add interface Virtual-if1      
#
ip route-static 0.0.0.0 0.0.0.0 public
ip route-static 10.3.0.0 255.255.255.0 10.3.0.254
#
security-policy  
rule name vsysa_trust_to_untrust
 source-zone trust  
 destination-zone untrust    
 source-address 10.3.0.0 mask 255.255.255.0
 action permit
rule name vsysa_untrust_to_trust
 source-zone untrust  
 destination-zone trust
 destination-address 10.3.0.0 mask 255.255.255.0
 action permit    
#
return


點擊查看:
華為HCIA課程介紹

華為HCIP課程介紹

華為HCIE課程介紹

華為近期開班

圖片


?
返回頂部