防火墙VSYS

本文涉及的产品
云防火墙,500元 1000GB
简介: 使用防火墙的虚拟系统,可以让路由来回绕

一、实验设

现有防火墙和交换机两台设备,交换机连接三台 PC,现在要求交换机与防火墙使用 OSPF 进行通信,并且要求流量走向为:交换机-防火墙-交换机-防火墙-交换机。

例如:A-B,要求 A的路径为,A走到交换机,再走到防火墙虚墙,再从防火墙虚墙出来到交换机,再到防火墙虚墙,再从防火墙虚墙出来到交换机,完成通信。


二、拓扑设

image.png


假设:在交换机上创建VLAN 10 20 30 40,其中VLAN10,20 分别对应到响应的VRF上,而VLAN30,40 则为全局VLAN。在防火墙上创建两个虚拟系统防火墙vsys1 和 vsys2对应到交换机的VLAN 10,20达到的目的为:

PC1->PC2 时,路径为:PC1-交换机VLAN10-防火墙 vsys1-交换机全局VLAN30-防火墙 vsys2-交换机VLAN20-PC2。至此完成 PC1->PC2 的通信。

PC2->PC1 时,路径为:PC1-交换机VLAN20-防火墙 vsys2-交换机全局VLAN40-防火墙 vsys1-交换机VLAN10-PC1。至此完成 PC1->PC2 的通信。

PC1->PC3 时,路径为:PC1-交换机 VLAN10-防火墙 vsys1-交换机全局 VLAN30- PC3。至此完成PC1->PC3 的通信。

PC2->PC3 时,路径为:PC1-交换机VLAN20-防火墙 vsys2-交换机全局VLAN40-换机全局VLAN30-PC3。至此完成 PC2->PC3 的通信。

三、配置脚

交换机配置

 

VLAN的划

vlan 10 20 30 40vlan10vpn10 vlan20vpn20 vlan30,40:全局

 

OSPF

 

vlan10: OSPF 10 RID10.1.1.1       --vpn10实例

vlan20: OSPF 20 RID20.1.1.1       --vpn20实例

vlan30,40: OSPF 1 RID30.1.1.1    --



交换机配置

vlanbatch10203040#ipvpn-instancevpn10ipv4-family#ipvpn-instancevpn20ipv4-family#interfaceVlanif10ipbindingvpn-instancevpn10ipaddress192.168.10.1255.255.255.0ospfenable10area0.0.0.0#interfaceVlanif20ipbindingvpn-instancevpn20ipaddress192.168.20.1255.255.255.0ospfenable20area0.0.0.0#interfaceVlanif30ipaddress192.168.30.1255.255.255.0ospfenable1area0.0.0.0#interfaceVlanif40ipaddress192.168.40.1255.255.255.0ospfenable1area0.0.0.0#interfaceMEth0/0/1#interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10203040#interfaceGigabitEthernet0/0/2portlink-typeaccessportdefaultvlan10#interfaceGigabitEthernet0/0/3portlink-typeaccessportdefaultvlan20#interfaceGigabitEthernet0/0/4portlink-typeaccessportdefaultvlan30#ospf1router-id30.1.1.1area0.0.0.0#ospf10router-id10.1.1.1vpn-instancevpn10area0.0.0.0#ospf20router-id20.1.1.1vpn-instancevpn20area0.0.0.0

防火墙配置

 

FW1

FWVSYS

vsys1接口:.10.30 vsys2接口:.20.40

 

子接口的划分:

.10192.168.10.224

.20192.168.20.224

.30192.168.30.224

.40192.168.40.224


OSPF

1vsys1RID100.1.1.1

2vsys2RID2.2.2.2

 

 

区域的划分:

vsys1

trustg1/0/0.10 g1/0/0.30 untrustvirtual-if 1

 

vsys2

trustg1/0/0.20 g1/0/0.40 untrustvirtual-if 2

 

安全策略:

ospf的:

源目区域为trustuntrustlocal源目IP192.168.0.0 16

服务类型为ospf

 

 

vsys1trust-untrust vsys2trust-untrust

vsysenable#vsysnamevsys11assigninterfaceGigabitEthernet1/0/0.10assigninterfaceGigabitEthernet1/0/0.30#vsysnamevsys22assigninterfaceGigabitEthernet1/0/0.20assigninterfaceGigabitEthernet1/0/0.40//创建vsys,并分配接口#ipvpn-instancevsys1ipv4-familyipv6-family#ipvpn-instancevsys2ipv4-familyipv6-family#interfaceGigabitEthernet1/0/0undoshutdown#interfaceGigabitEthernet1/0/0.10vlan-typedot1q10ipbindingvpn-instancevsys1ipaddress192.168.10.2255.255.255.0ospfenable1area0.0.0.0service-managepingpermit#interfaceGigabitEthernet1/0/0.20vlan-typedot1q20ipbindingvpn-instancevsys2ipaddress192.168.20.2255.255.255.0ospfenable2area0.0.0.0service-managepingpermit#interfaceGigabitEthernet1/0/0.30vlan-typedot1q30ipbindingvpn-instancevsys1ipaddress192.168.30.2255.255.255.0ospfenable1area0.0.0.0service-managepingpermit#interfaceGigabitEthernet1/0/0.40vlan-typedot1q40ipbindingvpn-instancevsys2ipaddress192.168.40.2255.255.255.0ospfenable2area0.0.0.0service-managepingpermit#ospf1router-id100.1.1.1vpn-instancevsys1area0.0.0.0#ospf2router-id2.2.2.2vpn-instancevsys2area0.0.0.0#switchvsysvsys1//虚拟系统vsys1的配置#interfaceGigabitEthernet1/0/0.10vlan-typedot1q10ipbindingvpn-instancevsys1ipaddress192.168.10.2255.255.255.0ospfenable1area0.0.0.0service-managepingpermit#interfaceGigabitEthernet1/0/0.30vlan-typedot1q30ipbindingvpn-instancevsys1ipaddress192.168.30.2255.255.255.0ospfenable1area0.0.0.0service-managepingpermit#firewallzonetrustsetpriority85addinterfaceGigabitEthernet1/0/0.10addinterfaceGigabitEthernet1/0/0.30#firewallzoneuntrustsetpriority5addinterfaceVirtual-if1#security-policy//vsys1的安全策略rulenameospf1source-zonelocalsource-zonetrustsource-zoneuntrustdestination-zonelocaldestination-zonetrustdestination-zoneuntrustserviceospfactionpermitrulenamet-usource-zonetrustdestination-zoneuntrustsource-address192.168.0.0mask255.255.0.0destination-address192.168.0.0mask255.255.0.0serviceicmpactionpermit#switchvsysvsys2//虚拟系统vsys2的配置#interfaceGigabitEthernet1/0/0.20vlan-typedot1q20ipbindingvpn-instancevsys2ipaddress192.168.20.2255.255.255.0ospfenable2area0.0.0.0service-managepingpermit#interfaceGigabitEthernet1/0/0.40vlan-typedot1q40ipbindingvpn-instancevsys2ipaddress192.168.40.2255.255.255.0ospfenable2area0.0.0.0service-managepingpermit#firewallzonetrustsetpriority85addinterfaceGigabitEthernet1/0/0.20addinterfaceGigabitEthernet1/0/0.40#firewallzoneuntrustsetpriority5addinterfaceVirtual-if2#security-policy//vsys2的安全策略rulenameospf20source-zonelocalsource-zonetrustsource-zoneuntrustdestination-zonelocaldestination-zonetrustdestination-zoneuntrustsource-address192.168.0.0mask255.255.0.0destination-address192.168.0.0mask255.255.0.0serviceospfactionpermitrulenamet-usource-zonetrustdestination-zoneuntrustsource-address192.168.0.0mask255.255.0.0destination-address192.168.0.0mask255.255.0.0serviceicmpactionpermit


四、实验总


PC1--->PC2

image.png

符合要求

VLAN10-防火墙虚墙 1-VLAN30-防火墙虚墙 2-PC2

 


PC2--->PC1

image.png

符合要求

VLAN20-防火墙虚墙 2-VLAN40-防火墙虚墙 1-PC1


PC1--->PC3

image.png

符合要求

VLAN10-防火墙虚墙 1-VLAN30-PC3

 



PC2--->PC3

image.png

符合要求

VLAN20-防火墙虚墙 2-VLAN40-PC3

 

 

 

 

注:在有防火墙的场景下,tracert路径时,如果有星号,是因为防火墙默认未开启

tracert命令。如要开启,可以尝试输入命令:

icmp ttl-exceeded send

icmp host-unreachable send

undo firewall defendicmp-unreachable enable

undo firewall defend tracert enable


 

相关文章
|
6月前
|
数据采集 安全 网络安全
WAF防火墙
WAF防火墙
75 0
|
3月前
|
安全 应用服务中间件 网络安全
包过滤防火墙
【8月更文挑战第17天】
83 1
|
3月前
|
监控 安全 网络安全
什么是防火墙?为什么要使用它?
【8月更文挑战第31天】
123 0
|
6月前
|
安全 网络协议 网络安全
防火墙之安全策略
防火墙之安全策略
96 7
|
6月前
|
监控 安全 网络安全
防火墙详细讲解
防火墙是一种结合硬件和软件的隔离技术,用于保护内部网络免受外部非法用户的攻击。它由服务访问规则、验证工具、包过滤和应用网关组成,所有进出网络的数据流需经过防火墙过滤,只有符合规则的才能通过。防火墙通常包括包过滤路由器(在网络层工作)和应用级网关(在应用层通过代理服务控制)。其主要目的是确保内部资源的安全并建立安全边界。
78 3
|
6月前
|
安全 网络安全
SimpleWall简单防火墙
SimpleWall是一款小巧的防火墙软件,可以自定义拦截程序联网,对于一些修改软件特别有效.一些恶意的网络操作,因此有了这款工具让用户可以非常详细的了解目前那些程序或者进程进行了网络访问操作并加以控制。Simplewall的使用也非常的简单,比如打开程序后进入设置选择过滤模式为过滤模式:白名单 (允许所选),然后在程序界面中勾选安全需要有联网操作的进程就可以了,非勾选的进程会连不上网络。
147 0
|
供应链 安全 网络安全
防火墙是什么,服务器里面的防火墙要开启吗?
随着近年来网络攻击频发,网络安全问题越来越受到人们的重视,许多用户都开始选择使用安全防护产品来防护或者是预防网络攻击。“防火墙”这个听到都比较多,但可能对具体的就不太了解,今天我们就来简单了解下什么是防火墙。
|
安全 网络安全 数据安全/隐私保护
值不值买之阿里云防火墙
当然值得买!
3024 0
|
网络安全 网络虚拟化 安全
防火墙
DDos攻击:http://www.freebuf.com/articles/network/183182.html#comment-255907 ensp常用命令 system-viem #启动,进入用户视图 sysname NY #主机命名 d...
1389 0
|
网络安全 内存技术 数据安全/隐私保护