- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-vSystem配置
本章节下载: 01-vSystem配置 (516.60 KB)
目 录
1.1.3 缺省vSystem用户和非缺省vSystem用户
1.12.2 通过vSystem实现企业网隔离(非缺省vSystem有公网接口)
1.12.3 通过vSystem实现企业网隔离(仅缺省vSystem有公网接口)
1.12.5 Internet用户通过非缺省vSystem的公网接口访问内部服务器
1.12.6 Internet用户通过缺省vSystem的公网接口访问内部服务器
vSystem是一种轻量级的虚拟化技术,能将一台物理设备划分为多台相互独立的逻辑设备。每个vSystem相当于一台真实的设备对外服务,拥有独立的接口、VLAN、路由表项、地址范围、策略以及用户/用户组。相比Context而言,vSystem的系统开销更小,因此设备能利用vSystem实现更多租户的网络隔离。关于Context的详细介绍请参见“虚拟化技术配置指导”中的“Context”。
如图1-1所示,LAN 1、LAN 2、LAN 3和LAN 4是四个不同的局域网,其中LAN 1和LAN 2属于企业A,LAN 3和LAN 4属于企业B,它们通过同一台设备Device连接到外网。通过虚拟化技术,能将Device划分为四台设备使用。具体做法是,在Device上创建四个vSystem(vsys 1、vsys 2、vsys 3和vsys 4),分别负责LAN 1、LAN 2、LAN 3和LAN 4的安全接入。LAN 1、LAN 2、LAN 3和LAN 4的网络管理员可以(也只能)分别登录到自己的vSystem进行配置、保存等操作,不会影响其它网络的使用,其效果等同于LAN 1、LAN 2、LAN 3和LAN 4分别通过各自的设备Device 1、Device 2、Device 3和Device 4接入Internet。
图1-1 vSystem组网示意图
设备本身被视作缺省vSystem,用户在设备内进行配置等同于对缺省vSystem进行配置。缺省vSystem无需创建、不可删除。缺省vSystem拥有设备的所有资源和权限。
用户新创建的vSystem被称为非缺省vSystem,用户可以为非缺省vSystem分配接口和VLAN资源并指定其它资源限制范围。
未分配给非缺省vSystem的接口和VLAN资源由缺省vSystem使用和管理。非缺省vSystem只能使用缺省vSystem分配给自己的资源,并在指定的资源限制范围内工作,不能抢占其他vSystem的资源。非缺省vSystem内不可再创建/删除非缺省vSystem。
在缺省vSystem内创建的用户被视作缺省vSystem用户,缺省vSystem用户可以登录到设备内任一非缺省vSystem进行业务配置。
在非缺省vSystem内创建的用户被称为非缺省vSystem用户。非缺省vSystem用户只能配置其所属非缺省vSystem内的业务,不能登录缺省vSystem进行配置。非缺省vSystem仅支持部分功能,具体支持情况请参见“vSystem支持模块”。
除非特别指明,否则下文中的vSystem均指非缺省vSystem。
vSystem具备如下优点:
· vSystem可有效利用设备硬件资源,单一设备可为多个组织提供相互独立的服务,节省能耗和管理成本。
· vSystem可由统一的缺省vSystem用户或相互独立的非缺省vSystem用户进行管理,责任清晰、管理灵活。
· 每个vSystem拥有独立的策略配置和路由表项,地址空间重叠的用户仍然可以正常通信。
· 每个vSystem拥有固定的接口、VLAN资源以及其它资源限制,业务繁忙的vSystem不会对其它vSystem造成影响。
· 每个vSystem之间的流量相互隔离,安全性高。在需要的时候,vSystem之间也可以进行安全互访。
非缺省vSystem对各业务模块的支持情况如表1-1所示,vSystem仅支持列入表中的业务模块。完全支持表示vSystem支持该模块的所有功能;部分支持表示vSystem支持该模块的部分功能,对于部分支持模块的详细支持情况,请参见相应模块的配置指导与命令参考中的vSystem相关说明。
表1-1中仅是从功能支持层面列出了非缺省vSystem中可以支持的所有业务模块,但是每个业务模块在不同产品上的支持情况不同。因此表1-1中各业务模块的支持情况,请以设备支持的实际情况为准。
vSystem下的命令行不支持vpn-instance参数。
表1-1 vSystem支持模块列表
|
模块名称 |
支持情况 |
|
|
基础配置 |
CLI |
部分支持 |
|
RBAC |
部分支持 |
|
|
配置文件管理 |
部分支持 |
|
|
设备管理 |
部分支持 |
|
|
接口管理 |
以太网接口 |
部分支持 |
|
LoopBack接口、NULL接口和InLoopBack接口 |
部分支持 |
|
|
二层技术-以太网交换 |
以太网链路聚合 |
部分支持 |
|
VLAN |
部分支持 |
|
|
三层技术-IP业务 |
ARP |
部分支持 |
|
IP地址 |
部分支持 |
|
|
NAT |
部分支持 |
|
|
IP转发基础 |
部分支持 |
|
|
快速转发 |
部分支持 |
|
|
邻接表 |
完全支持 |
|
|
IPv6基础 |
部分支持 |
|
|
IPv6快速转发 |
部分支持 |
|
|
AFT |
部分支持 |
|
|
三层技术-IP路由 |
IP路由基础 |
部分支持 |
|
静态路由 |
部分支持 |
|
|
RIP |
完全支持 |
|
|
OSPF |
部分支持 |
|
|
BGP |
部分支持 |
|
|
IPv6静态路由 |
部分支持 |
|
|
RIPng |
完全支持 |
|
|
OSPFv3 |
部分支持 |
|
|
IP组播 |
组播路由与转发 |
部分支持 |
|
IGMP |
部分支持 |
|
|
PIM |
部分支持 |
|
|
IPv6组播路由与转发 |
部分支持 |
|
|
MLD |
部分支持 |
|
|
IPv6 PIM |
部分支持 |
|
|
ACL和QoS |
ACL |
部分支持 |
|
时间段 |
完全支持 |
|
|
QoS |
部分支持 |
|
|
安全 |
安全域 |
完全支持 |
|
AAA |
部分支持 |
|
|
Password Control |
完全支持 |
|
|
公钥管理 |
完全支持 |
|
|
PKI |
部分支持 |
|
|
IPsec |
部分支持 |
|
|
IKE |
部分支持 |
|
|
SSL |
完全支持 |
|
|
ASPF |
完全支持 |
|
|
会话管理 |
部分支持 |
|
|
连接数限制 |
完全支持 |
|
|
对象组 |
完全支持 |
|
|
安全策略 |
部分支持 |
|
|
攻击检测与防范 |
部分支持 |
|
|
ND攻击防御 |
部分支持 |
|
|
零信任 |
SDP零信任 |
完全支持 |
|
网络管理和监控 |
系统维护与调试 |
部分支持 |
|
快速日志输出 |
部分支持 |
|
|
Flow日志 |
部分支持 |
|
|
信息中心 |
部分支持 |
|
|
上网行为管理 |
带宽管理 |
部分支持 |
|
应用审计与管理配置 |
完全支持 |
|
|
负载均衡 |
服务器负载均衡 |
部分支持 |
对于多安全引擎设备,在设备缺省vSystem上创建和配置非缺省vSystem不能有效利用安全引擎的处理性能。建议用户首先创建和配置非缺省Context,并将其进驻安全引擎组中,然后在该非缺省Context中创建和配置非缺省vSystem,以最大限度利用设备的处理性能。关于Context和安全引擎组的详细介绍请参见“虚拟化技术配置指导”中的“Context”。
缺省vSystem支持本文列出的所有命令,非缺省vSystem对具体命令的支持情况请见本特性的命令参考。
vSystem配置任务如下:
(1) 创建vSystem
a. 为vSystem分配接口
(3) (可选)限制vSystem的资源使用
(4) 保存vSystem配置
(5) 访问和管理vSystem
(6) (可选)配置vSystem虚拟接口
创建vSystem时会同时创建一个同名VPN实例,因此vSystem名称不能与设备内已有的VPN实例名称相同,否则将无法创建该名称的vSystem。
(1) 进入系统视图。
system-view
(2) 创建vSystem,并进入vSystem视图。
vsys vsys-name [ id vsys-id ]
缺省情况下,设备上仅存在缺省vSystem,名称为Admin,编号为1。
(3) (可选)配置vSystem的描述信息。
description text
缺省情况下,缺省vSystem的描述信息为Default。非缺省vSystem没有描述信息。
缺省情况下,设备内的所有接口都属于缺省vSystem,不属于任何非缺省vSystem。请给非缺省vSystem分配接口,它才能使用该接口与网络中的其它设备进行通信。
在给vSystem分配接口时,可以选择如下方式中的一种:
· 独占方式分配(不带share参数)。使用该方式分配的接口仅归该vSystem所有、使用。用户登录该vSystem后,能查看到该接口,并执行所有在非缺省vSystem下允许配置的接口命令。
· 共享方式分配(带share参数):表示将一个接口分配给多个vSystem使用,这些vSystem共享这个接口,但是在各个vSystem内会创建一个同名的虚接口,这些虚接口具有不同的MAC地址和IP地址。设备从共享的物理接口接收报文后交给对应的虚拟接口处理;出方向,虚拟接口处理完报文后,会交给共享的物理接口发送。使用该方式,可以提高设备接口的利用率。通过共享方式分配的接口:
¡ 在缺省vSystem内仍然存在该接口,该接口可执行接口支持的所有命令。
¡ 在非缺省vSystem内,会新建一个同名接口,用户登录这些vSystem后,能查看到该接口,但只能执行description以及网络/安全相关的命令。
支持将三层物理接口、三层物理子接口、三层聚合接口、三层聚合子接口、Tunnel接口、LoopBack接口和SSLVPN-AC接口以独占方式分配给非缺省vSystem。
支持将三层物理接口、三层物理子接口、三层聚合接口和三层聚合子接口以共享方式分配给非缺省vSystem。
将接口分配给某非缺省vSystem后,仅该非缺省vSystem可以使用该接口。
已经与VPN实例关联的接口不能分配给vSystem,反之,已经分配给vSystem的接口不能与VPN实例关联。
如果接口已经被共享分配,则不能再独占分配。需将共享分配配置取消后,才能独占分配。
独占方式的接口分配应遵循以下分配原则:
· 接口不能是已经分配给其他vSystem的接口;
· 若子接口已经分配给某vSystem,则该子接口的父接口不可以再分配给其他vSystem。
共享方式的接口分配应遵循以下分配原则:
· 接口不能是已经分配给其他Context的接口;
· 接口不能是以独占方式分配给其他vSystem的接口;
· 若父接口已经分配给某vSystem,则其子接口不可以再分配给其他vSystem或Context;
· 若子接口已经分配给某vSystem,则其父接口不可以再分配给其他vSystem,父接口和父接口的其他子接口不可以再分配给Context;
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 为vSystem分配接口。
allocate interface interface-type interface-number [ share ]
缺省情况下,设备内的所有接口都属于缺省vSystem,不属于任何非缺省vSystem。
缺省情况下,设备内的所有VLAN都属于缺省vSystem,不属于任何非缺省vSystem。请给非缺省vSystem分配VLAN,它才能使用该VLAN与网络中的其它设备进行通信。
将VLAN分配给某非缺省vSystem后,其关联的VLAN接口会自动分配给该非缺省vSystem,仅该非缺省vSystem可以使用该VLAN和VLAN接口。
将VLAN分配给某非缺省vSystem后,该vSystem可以使用允许该VLAN通过的二层接口。
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 为vSystem分配VLAN。
allocate vlan vlan-id
缺省情况下,设备内的所有VLAN都属于缺省vSystem,不属于任何非缺省vSystem。
一个vSystem内可以配置多个安全策略规则。如果不加限制,会出现大量规则占用过多的内存的情况,影响设备的其它功能正常运行。所以请根据需要为vSystem设置安全策略规则总数限制,当安全策略规则总数达到限制值时,该vSystem不能继续新增安全策略规则。
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 设置vSystem的安全策略规则总数限制。
capability security-policy-rule maximum max-number
缺省情况下,未对vSystem的安全策略规则总数进行限制。
为防止一个vSystem的会话新建速率过快而导致其他vSystem由于处理性能能力不够而无法建立会话,需要限制vSystem的会话新建速率,当会话新建速率超过限制值时,超过限制值的会话不会被创建。
当vSystem会话新建速率上限使用率超过指定阈值时,发送会话新建速率上限使用率超过阈值告警;当会话新建速率上限使用率下降至指定阈值时,会发送会话新建速率上限使用率低于阈值告警。
vSystem会话新建速率限制对本机流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP类型的七层负载均衡等业务。
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 设置vSystem的会话新建速率限制。
capability session rate max-value
缺省情况下,未对vSystem的会话新建速率进行限制。
(4) 设置vSystem的会话新建速率上限使用率告警阈值。
capability session rate threshold threshold-value
缺省情况下,vSystem的会话新建速率上限使用率告警阈值为95%。
为防止一个vSystem建立了太多会话而导致其他vSystem的会话由于内存不够而无法建立,需要限制vSystem建立会话的数量,当会话总数达到限制值时,该vSystem不能继续新建会话。已经创建的会话不会被删除,直到已建立的会话通过老化机制使得会话总数低于配置的会话并发数限制后,该vSystem才允许新建会话。
当vSystem下单播会话并发数上限使用率超过指定阈值时,发送会话并发数上限使用率超过阈值告警;当会话并发数上限使用率下降至指定阈值时,会发送会话并发数上限使用率低于阈值告警。
vSystem会话并发数限制对本机流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP类型的七层负载均衡等业务。
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 设置vSystem的会话并发数限制。
capability session maximum max-number
缺省情况下,未对vSystem的会话并发数进行限制。
(4) 设置vSystem的单播会话并发数上限使用率告警阈值。
capability session maximum threshold threshold-value
缺省情况下,vSystem的单播会话并发数上限使用率告警阈值为95%
为防止因个别vSystem的带宽过大而导致其他vSystem由于缺少带宽而无法转发流量,需要限制vSystem的入方向吞吐量进行限制,vSystem仅能以小于或等于吞吐量限制的带宽转发报文。
除此之外,还可以针对vSystem的入方向吞吐量限制开启吞吐量告警功能以及吞吐量限速丢包日志功能。
· 入方向吞吐量告警功能:开启此功能并设置告警阈值后,当vSystem的入方向吞吐量与入方向吞吐量限制值的比值超过了所设置的告警阈值,设备会生成告警日志;之后,当vSystem的入方向吞吐量与入方向吞吐量限制值的比值恢复到告警阈值以下,设备会生成恢复日志。
· 入方向吞吐量限速丢包日志功能:开启此功能后,当vSystem的入方向吞吐量达到入方向吞吐量限制值,设备会将超出限制值的报文丢弃,并对丢弃的报文生成日志信息;之后,如果该vSystem的入方向吞吐量降低到入方向吞吐量限制值以下,设备会生成恢复日志。
上面生成的日志信息将会被输出到信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。有关信息中心的详细介绍,请参见“网络管理和监控配置指导”中的“信息中心”。
因为此功能基于CPU进行吞吐量限制,所以其仅在非硬件快速转发的情况下生效。有关硬件快速转发功能的详细介绍,请参见“三层技术-IP业务配置指导”中的“快速转发”。
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 设置vSystem的吞吐量限制。
capability throughput { kbps | pps } threshold
缺省情况下,未对vSystem的入方向吞吐量进行限制。
(4) 退回系统视图。
quit
(5) (可选)开启vSystem入方向吞吐量告警功能并设置告警阈值。
vsys-capability throughput alarm enable alarm-threshold alarm-threshold
缺省情况下,vSystem入方向吞吐量告警功能处于关闭状态。
(6) (可选)开启vSystem入方向吞吐量限速丢包日志功能。
vsys-capability throughput drop-logging enable
缺省情况下,vSystem入方向吞吐量限速丢包日志功能处于关闭状态。
本功能可将指定vSystem的配置保存到指定文本文件中。如果指定的文件名不存在,系统会先创建该文件,再执行保存操作,否则将覆盖同名文件。
如果不指定文件路径或者指定的文件路径是设备的下次启动配置文件路径,本功能会将指定的vSystem的配置保存到设备的下次启动配置文件的相应区段中,设备重启后该vSystem将按保存的配置恢复。
(1) 进入系统视图。
system-view
(2) 保存指定vSystem的当前配置。
save vsys vsys-name [ file-url ]
缺省vSystem用户可以使用switchto vsys命令,通过设备和vSystem的内部连接登录vSystem进行配置和管理。
非缺省vSystem用户可以使用vSystem上的接口IP地址进行Telnet/SSH登录。利用此方式登录,用户名需加上后缀“@@vsysname”,其中vsysname是vSystem的名称。
(1) 进入系统视图。
system-view
(2) 登录指定vSystem。
switchto vsys vsys-name
缺省vSystem用户登录vSystem后,可以在vSystem的用户视图执行quit命令来退出登录。此时,命令视图将从当前vSystem的用户视图返回到缺省vSystem的系统视图。
vSystem虚拟接口用于非缺省vSystem之间的通信。vSystem虚拟接口在用户创建非缺省vSystem时由设备自动创建。
每个vSystem只会创建一个vSystem虚拟接口,此接口不支持手工创建。可通过执行display interface vsys-interface命令查看vSystem虚拟接口详细情况。
(1) 进入系统视图。
system-view
(2) 进入vSystem虚拟接口视图。
interface vsys-interface interface-number
(3) (可选)设置接口的描述信息
description text
(4) (可选)恢复接口的缺省配置
default
在完成上述配置后,在任意视图下执行display命令可以显示配置后vSystem的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除vSystem的统计信息。
表1-2 缺省vSystem上可执行的显示和维护
|
操作 |
命令 |
|
显示vSystem虚拟接口的相关信息 |
display interface [ vsys-interface [ interface-number ] ] [ brief [ description ] ] |
|
显示vSystem的相关信息 |
display vsys [ name vsys-name ] |
|
显示vSystem的接口列表 |
display vsys [ name vsys-name ] interface |
|
显示vSystem的VLAN列表 |
display vsys [ name vsys-name ] vlan |
|
显示vSystem内入方向吞吐量资源的使用情况 |
display vsys-capability throughput [ name vsys-name ] [ slot slot-number ] |
|
清除vSystem虚拟接口的统计信息 |
reset counters interface [ vsys-interface [ interface-number ] ] |
表1-3 非缺省vSystem上可执行的显示和维护
|
操作 |
命令 |
|
显示vSystem虚拟接口的相关信息 |
display interface [ vsys-interface [ interface-number ] ] [ brief [ description ] ] |
|
清除vSystem虚拟接口的统计信息 |
reset counters interface [ vsys-interface [ interface-number ] ] |
LAN 1(192.168.1.0/24网段)、LAN 2(192.168.2.0/24网段)、LAN 3(192.168.3.0/24网段)分别属于公司A、公司B、公司C,现需要对各公司的网络进行独立的安全防护,具体需求如下:
· 将设备Device虚拟成三台独立的Device,并分给三个不同的用户网络进行安全防护。要求在用户侧看来,各自的接入设备是独享的。
· 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/4分配给A公司,将接口GigabitEthernet1/0/2和GigabitEthernet1/0/5分配给B公司,将接口GigabitEthernet1/0/3和GigabitEthernet1/0/6分配给C公司。
图1-2 配置vSystem组网图
(1) 创建并配置vSystem vsys1,供公司A使用
# 创建vsys1,设置描述信息。
<Device> system-view
[Device] vsys vsys1
[Device-vsys-2-vsys1] description vsys-1
# 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/4分配给vsys1。
[Device-vsys-2-vsys1] allocate interface gigabitethernet 1/0/1
Some configurations on the interface are removed.
[Device-vsys-2-vsys1] allocate interface gigabitethernet 1/0/4
Some configurations on the interface are removed.
[Device-vsys-2-vsys1] quit
# 登录vsys1。
[Device] switchto vsys vsys1
<Device-vsys1> system-view
# 配置Telnet功能,保证管理用户可以正常登录设备,具体配置步骤请参考“基础配置指导”中的“登录设备”。
# 配置接口GigabitEthernet1/0/1的IP地址为192.168.1.251,供公司A的管理用户远程登录。
[Device-vsys1] interface gigabitethernet 1/0/1
[Device-vsys1-GigabitEthernet1/0/1] ip address 192.168.1.251 24
# 从vsys1返回缺省vSystem。
[Device-vsys1-GigabitEthernet1/0/1] return
<Device-vsys1> quit
[Device]
(2) 创建并配置vSystem vsys2,供公司B使用
# 创建vsys2,设置描述信息。
[Device] vsys vsys2
[Device-vsys-3-vsys2] description vsys-2
# 将接口GigabitEthernet1/0/2和GigabitEthernet1/0/5分配给vsys2。
[Device-vsys-3-vsys2] allocate interface gigabitethernet 1/0/2
Some configurations on the interface are removed.
[Device-vsys-3-vsys2] allocate interface gigabitethernet 1/0/5
Some configurations on the interface are removed.
[Device-vsys-3-vsys2] quit
# 登录vsys2。
[Device] switchto vsys vsys2
<Device-vsys2> system-view
# 配置Telnet功能,保证管理用户可以正常登录设备,具体配置步骤请参考“基础配置指导”中的“登录设备”。
# 配置接口GigabitEthernet1/0/2的IP地址为192.168.2.251,供公司B的管理用户远程登录。
[Device-vsys2] interface gigabitethernet 1/0/2
[Device-vsys2-GigabitEthernet1/0/2] ip address 192.168.2.251 24
# 从vsys2返回缺省vSystem。
[Device-vsys2-GigabitEthernet1/0/2] return
<Device-vsys2> quit
[Device]
(3) 创建并配置vSystem vsys3,供公司C使用
# 创建vsys3,设置描述信息
[Device] vsys vsys3
[Device-vsys-4-vsys3] description vsys-3
# 将接口GigabitEthernet1/0/3和GigabitEthernet1/0/6分配给vsys3。
[Device-vsys-4-vsys3] allocate interface gigabitethernet 1/0/3
Some configurations on the interface are removed.
[Device-vsys-4-vsys3] allocate interface gigabitethernet 1/0/6
Some configurations on the interface are removed.
[Device-vsys-4-vsys3] quit
# 登录vsys3。
[Device] switchto vsys vsys3
<Device-vsys2> system-view
# 配置Telnet功能,保证管理用户可以正常登录设备,具体配置步骤请参考“基础配置指导”中的“登录设备”。
# 配置接口GigabitEthernet1/0/3的IP地址为192.168.3.251,供公司C的管理用户远程登录。
[Device-vsys3] interface gigabitethernet 1/0/3
[Device-vsys3-GigabitEthernet1/0/3] ip address 192.168.3.251 24
# 从vsys3返回缺省vSystem。
[Device-vsys3-GigabitEthernet1/0/3] return
<Device-vsys3> quit
[Device]
# 在Device上查看所配vSystem是否存在并且运转正常。(此时,Device上应该有四台处于正常工作active状态的vSystem)
[Device] display vsys
ID Name Status Description
1 Admin Active Default
2 vsys1 Active vsys-1
3 vsys2 Active vsys-2
4 vsys3 Active vsys-3
某公司网络出口部署了一台Device作为安全网关,其内部划分为研发部门网络A和非研发部门网络B,网络A和网络B之间相互隔离,其用户不能互访。此外,网络A中只有部分用户(192.168.1.128/25网段)可以通过独立的公网接口访问Internet,而网络B中的所有用户都可以通过独立的公网接口访问Internet。
图1-3 通过vSystem实现企业网隔离(非缺省vSystem有公网接口)
(1) 创建vSystem vsys1,并为其分配接口
# 创建vsys1,设置描述信息。
<Device> system-view
[Device] vsys vsys1
[Device-vsys-2-vsys1] description vsys-1
# 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/2分配给vsys1。
[Device-vsys-2-vsys1] allocate interface gigabitethernet 1/0/1
Some configurations on the interface are removed.
[Device-vsys-2-vsys1] allocate interface gigabitethernet 1/0/2
Some configurations on the interface are removed.
[Device-vsys-2-vsys1] quit
(2) 登录 vsys1,配置接口IP地址及其所属安全域
# 登录vsys1。
[Device] switchto vsys vsys1
<Device-vsys1> system-view
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device-vsys1] interface gigabitethernet 1/0/1
[Device-vsys1-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[Device-vsys1-GigabitEthernet1/0/1] quit
[Device-vsys1] interface gigabitethernet 1/0/2
[Device-vsys1-GigabitEthernet1/0/2] ip address 192.168.1.1 24
[Device-vsys1-GigabitEthernet1/0/2] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device-vsys1] security-zone name trust
[Device-vsys1-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-vsys1-security-zone-Trust] quit
[Device-vsys1] security-zone name untrust
[Device-vsys1-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-vsys1-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设vsys1内用户访问Internet的下一跳IP地址为1.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device-vsys1] ip route-static 0.0.0.0 0 1.1.1.2
(4) 配置安全策略
# 配置名称为trust-untrust的安全策略,保证192.168.1.128/25网段的用户可以访问Internet,具体配置步骤如下。
[Device-vsys1] security-policy ip
[Device-vsys1-security-policy-ip] rule name trust-untrust
[Device-vsys1-security-policy-ip-1-trust-untrust] source-zone trust
[Device-vsys1-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-vsys1-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.1.128 25
[Device-vsys1-security-policy-ip-1-trust-untrust] action pass
[Device-vsys1-security-policy-ip-1-trust-untrust] quit
[Device-vsys1-security-policy-ip] quit
(5) 配置NAT功能
# 配置ACL 2000,仅允许对来自192.168.1.128/25网段的报文进行地址转换。
[Device-vsys1] acl basic 2000
[Device-vsys1-acl-ipv4-basic-2000] rule permit source 192.168.1.128 0.0.0.127
[Device-vsys1-acl-ipv4-basic-2000] quit
# 在接口GigabitEthernet1/0/1上配置Easy IP方式的出方向动态地址转换,使得匹配指定ACL的内网用户访问Internet的报文可以使用接口GigabitEthernet1/0/1的IP地址进行源地址转换。
[Device-vsys1] interface gigabitethernet 1/0/1
[Device-vsys1-GigabitEthernet1/0/1] nat outbound 2000
# 从vsys1返回缺省vSystem。
[Device-vsys1-GigabitEthernet1/0/1] return
<Device-vsys1> quit
[Device]
(1) 创建vSystem vsys2,并为其分配接口
# 创建vsys2,设置描述信息。
[Device] vsys vsys2
[Device-vsys-3-vsys2] description vsys-2
# 将接口GigabitEthernet1/0/3和GigabitEthernet1/0/4分配给vsys2。
[Device-vsys-3-vsys2] allocate interface gigabitethernet 1/0/3
Some configurations on the interface are removed.
[Device-vsys-3-vsys2] allocate interface gigabitethernet 1/0/4
Some configurations on the interface are removed.
[Device-vsys-3-vsys2] quit
(2) 登录 vsys2,配置接口IP地址及其所属安全域
# 登录vsys2。
[Device] switchto vsys vsys2
<Device-vsys2> system-view
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device-vsys2] interface gigabitethernet 1/0/3
[Device-vsys2-GigabitEthernet1/0/3] ip address 1.1.2.1 24
[Device-vsys2-GigabitEthernet1/0/3] quit
[Device-vsys2] interface gigabitethernet 1/0/4
[Device-vsys2-GigabitEthernet1/0/4] ip address 192.168.2.1 24
[Device-vsys2-GigabitEthernet1/0/4] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device-vsys2] security-zone name trust
[Device-vsys2-security-zone-Trust] import interface gigabitethernet 1/0/4
[Device-vsys2-security-zone-Trust] quit
[Device-vsys2] security-zone name untrust
[Device-vsys2-security-zone-Untrust] import interface gigabitethernet 1/0/3
[Device-vsys2-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设vsys2内用户访问Internet的下一跳IP地址为1.1.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device-vsys2] ip route-static 0.0.0.0 0 1.1.2.2
(4) 配置安全策略
# 配置名称为trust-untrust的安全策略,保证192.168.2.0/24网段的用户可以访问Internet,具体配置步骤如下。
[Device-vsys2] security-policy ip
[Device-vsys2-security-policy-ip] rule name trust-untrust
[Device-vsys2-security-policy-ip-1-trust-untrust] source-zone trust
[Device-vsys2-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-vsys2-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.2.0 24
[Device-vsys2-security-policy-ip-1-trust-untrust] action pass
[Device-vsys2-security-policy-ip-1-trust-untrust] quit
[Device-vsys2-security-policy-ip] quit
(5) 配置NAT功能
# 配置ACL 2000,仅允许对来自192.168.2.0/24网段的报文进行地址转换。
[Device-vsys2] acl basic 2000
[Device-vsys2-acl-ipv4-basic-2000] rule permit source 192.168.2.0 0.0.0.255
[Device-vsys2-acl-ipv4-basic-2000] quit
# 在接口GigabitEthernet1/0/3上配置Easy IP方式的出方向动态地址转换,使得匹配指定ACL的内网用户访问Internet的报文可以使用接口GigabitEthernet1/0/3的IP地址进行源地址转换。
[Device-vsys2] interface gigabitethernet 1/0/3
[Device-vsys2-GigabitEthernet1/0/3] nat outbound 2000
# 从vsys2返回缺省vSystem。
[Device-vsys2-GigabitEthernet1/0/3] return
<Device-vsys2> quit
[Device]
(1) 在Device上查看所配vSystem是否存在并且运转正常。(此时,Device上应该有三台处于正常工作active状态的vSystem)
[Device] display vsys
ID Name Status Description
1 Admin Active Default
2 vsys1 Active vsys-1
3 vsys2 Active vsys-2
(2) 位于192.168.1.128/25网段的用户可以成功访问Internet。
C:\> ping 3.3.3.3
Pinging 3.3.3.3 with 32 bytes of data:
Reply from 3.3.3.3: bytes=32 time=51ms TTL=255
Reply from 3.3.3.3: bytes=32 time=44ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Ping statistics for 3.3.3.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 51ms, Average = 24ms
(3) 位于192.168.2./24网段的用户可以成功访问Internet。
C:\> ping 3.3.3.3
Pinging 3.3.3.3 with 32 bytes of data:
Reply from 3.3.3.3: bytes=32 time=25ms TTL=255
Reply from 3.3.3.3: bytes=32 time=36ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Ping statistics for 3.3.3.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 36ms, Average = 16ms
某公司网络出口部署了一台Device作为安全网关,其内部划分为研发部门网络A和非研发部门网络B,网络A和网络B之间相互隔离,其用户不能互访。此外,网络A中只有部分用户(192.168.1.128/25网段)可以访问Internet,而网络B中的所有用户都可以访问Internet。
图1-4 通过vSystem实现企业网隔离(仅缺省vSystem有公网接口)组网图
(1) 创建vSystem,并为其分配接口
# 创建vsys1,设置描述信息。
<Device> system-view
[Device] vsys vsys1
[Device-vsys-2-vsys1] description vsys-1
# 将接口GigabitEthernet1/0/2分配给vsys1。
[Device-vsys-2-vsys1] allocate interface gigabitethernet 1/0/2
Some configurations on the interface are removed.
[Device-vsys-2-vsys1] quit
# 创建vsys2,设置描述信息。
[Device] vsys vsys2
[Device-vsys-3-vsys2] description vsys-2
# 将接口GigabitEthernet1/0/3分配给vsys2。
[Device-vsys-3-vsys2] allocate interface gigabitethernet 1/0/3
Some configurations on the interface are removed.
[Device-vsys-3-vsys2] quit
(2) 配置接口IP地址及其所属安全域
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[Device-GigabitEthernet1/0/1] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface vsys-interface 1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设内网用户通过缺省vSystem访问Internet的下一跳IP地址为1.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 0.0.0.0 0 1.1.1.2
[Device] ip route-static 192.168.1.0 24 vpn-instance vsys1
[Device] ip route-static 192.168.2.0 24 vpn-instance vsys2
(4) 配置安全策略
# 配置名称为trust-untrust的安全策略,保证内网用户可以访问Internet,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.1.128 25
[Device-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置NAT功能
# 配置ACL 2000,仅允许对来自192.168.1.128/25网段和192.168.2.0/24网段的报文进行地址转换。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.128 0.0.0.127
[Device-acl-ipv4-basic-2000] rule permit source 192.168.2.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 在接口GigabitEthernet1/0/1上配置Easy IP方式的出方向动态地址转换,使得匹配指定ACL的内网用户访问Internet的报文可以使用接口GigabitEthernet1/0/1的IP地址进行源地址转换。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] nat outbound 2000
[Device-GigabitEthernet1/0/1] quit
(1) 登录 vsys1,配置接口IP地址及其所属安全域
# 登录vsys1。
[Device] switchto vsys vsys1
<Device-vsys1> system-view
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device-vsys1] interface gigabitethernet 1/0/2
[Device-vsys1-GigabitEthernet1/0/2] ip address 192.168.1.1 24
[Device-vsys1-GigabitEthernet1/0/2] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device-vsys1] security-zone name trust
[Device-vsys1-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-vsys1-security-zone-Trust] quit
[Device-vsys1] security-zone name untrust
[Device-vsys1-security-zone-Untrust] import interface vsys-interface 2
[Device-vsys1-security-zone-Untrust] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设vsys1内用户访问Internet的下一跳为缺省vSystem,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device-vsys1] ip route-static 0.0.0.0 0 public
(3) 配置安全策略
# 配置名称为trust-untrust的安全策略,保证192.168.1.128/25网段的用户可以访问Internet,具体配置步骤如下。
[Device-vsys1] security-policy ip
[Device-vsys1-security-policy-ip] rule name trust-untrust
[Device-vsys1-security-policy-ip-1-trust-untrust] source-zone trust
[Device-vsys1-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-vsys1-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.1.128 25
[Device-vsys1-security-policy-ip-1-trust-untrust] action pass
# 从vsys1返回缺省vSystem。
[Device-vsys1-security-policy-ip-1-trust-untrust] return
<Device-vsys1> quit
[Device]
(1) 登录 vsys2,配置接口IP地址及其所属安全域
# 登录vsys2。
[Device] switchto vsys vsys2
<Device-vsys2> system-view
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device-vsys2] interface gigabitethernet 1/0/3
[Device-vsys2-GigabitEthernet1/0/3] ip address 192.168.2.1 24
[Device-vsys2-GigabitEthernet1/0/3] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device-vsys2] security-zone name trust
[Device-vsys2-security-zone-Trust] import interface gigabitethernet 1/0/3
[Device-vsys2-security-zone-Trust] quit
[Device-vsys2] security-zone name untrust
[Device-vsys2-security-zone-Untrust] import interface vsys-interface 3
[Device-vsys2-security-zone-Untrust] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设vsys2内用户访问Internet的下一跳为缺省vSystem,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device-vsys2] ip route-static 0.0.0.0 0 public
(3) 配置安全策略
# 配置名称为trust-untrust的安全策略,保证192.168.2.0/24网段的用户可以访问Internet,具体配置步骤如下。
[Device-vsys2] security-policy ip
[Device-vsys2-security-policy-ip] rule name trust-untrust
[Device-vsys2-security-policy-ip-1-trust-untrust] source-zone trust
[Device-vsys2-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-vsys2-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.2.0 24
[Device-vsys2-security-policy-ip-1-trust-untrust] action pass
# 从vsys2返回缺省vSystem。
[Device-vsys2-security-policy-ip-1-trust-untrust] return
<Device-vsys2> quit
[Device]
(1) 在Device上查看所配vSystem是否存在并且运转正常。(此时,Device上应该有三台处于正常工作active状态的vSystem)
[Device] display vsys
ID Name Status Description
1 Admin Active Default
2 vsys1 Active vsys-1
3 vsys2 Active vsys-2
(2) 位于192.168.1.128/25网段的用户可以成功访问Internet。
C:\> ping 3.3.3.3
Pinging 3.3.3.3 with 32 bytes of data:
Reply from 3.3.3.3: bytes=32 time=51ms TTL=255
Reply from 3.3.3.3: bytes=32 time=44ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Ping statistics for 3.3.3.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 51ms, Average = 24ms
(3) 位于192.168.2./24网段的用户可以成功访问Internet。
C:\> ping 3.3.3.3
Pinging 3.3.3.3 with 32 bytes of data:
Reply from 3.3.3.3: bytes=32 time=25ms TTL=255
Reply from 3.3.3.3: bytes=32 time=36ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Ping statistics for 3.3.3.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 36ms, Average = 16ms
某云计算中心在其网络出口部署了一台Device作为安全网关,为其租户提供可定制的安全服务。现有云租户A和B,需要通过独立的公网IP(1.1.1.2和1.1.1.3)访问属于自己的Web服务器。云租户A和B的业务量不同,需要在Device上为二者配置不同规模的系统资源。
图1-5 通过vSystem实现云计算网关组网图
(1) 创建vSystem,并为其分配接口
# 创建vsys1,设置描述信息。
<Device> system-view
[Device] vsys vsys1
[Device-vsys-2-vsys1] description vsys-1
# 将接口GigabitEthernet1/0/2分配给vsys1。
[Device-vsys-2-vsys1] allocate interface gigabitethernet 1/0/2
Some configurations on the interface are removed.
[Device-vsys-2-vsys1] quit
# 创建vsys2,设置描述信息。
[Device] vsys vsys2
[Device-vsys-3-vsys2] description vsys-2
# 将接口GigabitEthernet1/0/3分配给vsys2。
[Device-vsys-3-vsys2] allocate interface gigabitethernet 1/0/3
Some configurations on the interface are removed.
[Device-vsys-3-vsys2] quit
(2) 配置接口IP地址及其所属安全域
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[Device-GigabitEthernet1/0/1] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface vsys-interface 1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设内网报文通过缺省vSystem到达Internet的下一跳IP地址为1.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 0.0.0.0 0 1.1.1.2
# 配置静态路由,将外网用户访问VPC A的流量引入vSystem vsys1。
[Device] ip route-static 10.0.1.0 24 vpn-instance vsys1
# 配置静态路由,将外网用户访问VPC B的流量引入vSystem vsys2。
[Device] ip route-static 10.0.2.0 24 vpn-instance vsys2
(4) 配置安全策略
# 配置名称为untrust-trust的安全策略,保证外网用户可以访问内网服务器,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-1-untrust-trust] source-zone untrust
[Device-security-policy-ip-1-untrust-trust] destination-zone trust
[Device-security-policy-ip-1-untrust-trust] destination-ip-subnet 10.0.1.0 24
[Device-security-policy-ip-1-untrust-trust] destination-ip-subnet 10.0.2.0 24
[Device-security-policy-ip-1-untrust-trust] action pass
[Device-security-policy-ip-1-untrust-trust] quit
[Device-security-policy-ip] quit
(5) 配置NAT功能
# 配置NAT内部服务器,允许外网用户使用IP地址1.1.1.2、端口号8080访问内网IP地址为10.0.1.2的服务器,允许外网用户使用IP地址1.1.1.3、端口号8080访问内网IP地址为10.0.2.2的服务器。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] nat server protocol tcp global 1.1.1.2 8080 inside 10.0.1.2 http
[Device-GigabitEthernet1/0/1] nat server protocol tcp global 1.1.1.3 8080 inside 10.0.2.2 http
[Device-GigabitEthernet1/0/1] quit
(1) 登录 vsys1,配置接口IP地址及其所属安全域
# 登录vsys1。
[Device] switchto vsys vsys1
<Device-vsys1> system-view
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device-vsys1] interface gigabitethernet 1/0/2
[Device-vsys1-GigabitEthernet1/0/2] ip address 10.0.1.1 24
[Device-vsys1-GigabitEthernet1/0/2] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device-vsys1] security-zone name trust
[Device-vsys1-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-vsys1-security-zone-Trust] quit
[Device-vsys1] security-zone name untrust
[Device-vsys1-security-zone-Untrust] import interface vsys-interface 2
[Device-vsys1-security-zone-Untrust] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设vsys1内用户访问Internet的下一跳为缺省vSystem,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device-vsys1] ip route-static 0.0.0.0 0 public
(3) 配置安全策略
# 配置名称为untrust-trust的安全策略,保证外网用户可以访问VPC A,具体配置步骤如下。
[Device-vsys1] security-policy ip
[Device-vsys1-security-policy-ip] rule name untrust-trust
[Device-vsys1-security-policy-ip-1-untrust-trust] source-zone untrust
[Device-vsys1-security-policy-ip-1-untrust-trust] destination-zone trust
[Device-vsys1-security-policy-ip-1-untrust-trust] destination-ip-subnet 10.0.1.0 24
[Device-vsys1-security-policy-ip-1-untrust-trust] action pass
# 从vsys1返回缺省vSystem。
[Device-vsys1-security-policy-ip-1-untrust-trust] return
<Device-vsys1> quit
[Device]
(1) 登录 vsys2,配置接口IP地址及其所属安全域
# 登录vsys2。
[Device] switchto vsys vsys2
<Device-vsys2> system-view
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device-vsys2] interface gigabitethernet 1/0/3
[Device-vsys2-GigabitEthernet1/0/3] ip address 10.0.2.1 24
[Device-vsys2-GigabitEthernet1/0/3] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device-vsys2] security-zone name trust
[Device-vsys2-security-zone-Trust] import interface gigabitethernet 1/0/3
[Device-vsys2-security-zone-Trust] quit
[Device-vsys2] security-zone name untrust
[Device-vsys2-security-zone-Untrust] import interface vsys-interface 3
[Device-vsys2-security-zone-Untrust] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设vsys2内用户访问Internet的下一跳为缺省vSystem,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device-vsys2] ip route-static 0.0.0.0 0 public
(3) 配置安全策略
# 配置名称为untrust-trust的安全策略,保证外网用户可以访问VPC B,具体配置步骤如下。
[Device-vsys2] security-policy ip
[Device-vsys2-security-policy-ip] rule name untrust-trust
[Device-vsys2-security-policy-ip-1-untrust-trust] source-zone untrust
[Device-vsys2-security-policy-ip-1-untrust-trust] destination-zone trust
[Device-vsys2-security-policy-ip-1-untrust-trust] destination-ip-subnet 10.0.2.0 24
[Device-vsys2-security-policy-ip-1-untrust-trust] action pass
# 从vsys2返回缺省vSystem。
[Device-vsys2-security-policy-ip-1-untrust-trust] return
<Device-vsys2> quit
[Device]
(1) 在Device上查看所配vSystem是否存在并且运转正常。(此时,Device上应该有三台处于正常工作active状态的vSystem)
[Device] display vsys
ID Name Status Description
1 Admin Active Default
2 vsys1 Active vsys-1
3 vsys2 Active vsys-2
(2) 租户A可以通过URL http://1.1.1.2:8080访问位于VPC A中的服务器10.0.1.2。
(3) 租户B可以通过URL http://1.1.1.3:8080访问位于VPC B中的服务器10.0.2.2。
某公司网络出口部署了一台Device作为安全网关,其内部划分为网络A和网络B,网络A和网络B之间相互隔离,其用户不能互访。网络A和网络B各自通过独立的公网接口接入Internet。在网络A中还部署了一台Server A,位于Internet中的用户可以通过独立的公网IP(1.1.1.2)对其进行Web访问。
图1-6 Internet用户通过非缺省vSystem的公网接口访问内部服务器组网图
(1) 创建vSystem vsys1,并为其分配接口
# 创建vsys1,设置描述信息。
<Device> system-view
[Device] vsys vsys1
[Device-vsys-2-vsys1] description vsys-1
# 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/2分配给vsys1。
[Device-vsys-2-vsys1] allocate interface gigabitethernet 1/0/1
Some configurations on the interface are removed.
[Device-vsys-2-vsys1] allocate interface gigabitethernet 1/0/2
Some configurations on the interface are removed.
[Device-vsys-2-vsys1] quit
(2) 登录 vsys1,配置接口IP地址及其所属安全域
# 登录vsys1。
[Device] switchto vsys vsys1
<Device-vsys1> system-view
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device-vsys1] interface gigabitethernet 1/0/1
[Device-vsys1-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[Device-vsys1-GigabitEthernet1/0/1] quit
[Device-vsys1] interface gigabitethernet 1/0/2
[Device-vsys1-GigabitEthernet1/0/2] ip address 10.0.1.1 24
[Device-vsys1-GigabitEthernet1/0/2] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device-vsys1] security-zone name trust
[Device-vsys1-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-vsys1-security-zone-Trust] quit
[Device-vsys1] security-zone name untrust
[Device-vsys1-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-vsys1-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设vsys1内用户访问Internet的下一跳IP地址为1.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device-vsys1] ip route-static 0.0.0.0 0 1.1.1.2
(4) 配置安全策略
# 配置名称为trust-untrust的安全策略,保证内网用户可以访问Internet,具体配置步骤如下。
[Device-vsys1] security-policy ip
[Device-vsys1-security-policy-ip] rule name trust-untrust
[Device-vsys1-security-policy-ip-1-trust-untrust] source-zone trust
[Device-vsys1-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-vsys1-security-policy-ip-1-trust-untrust] source-ip-subnet 10.0.1.0 24
[Device-vsys1-security-policy-ip-1-trust-untrust] action pass
[Device-vsys1-security-policy-ip-1-trust-untrust] quit
# 配置名称为untrust-trust的安全策略,保证外网用户可以访问Server A,具体配置步骤如下。
[Device-vsys1-security-policy-ip] rule name untrust-trust
[Device-vsys1-security-policy-ip-2-untrust-trust] source-zone untrust
[Device-vsys1-security-policy-ip-2-untrust-trust] destination-zone trust
[Device-vsys1-security-policy-ip-2-untrust-trust] destination-ip-host 10.0.1.3
[Device-vsys1-security-policy-ip-2-untrust-trust] action pass
[Device-vsys1-security-policy-ip-2-untrust-trust] quit
[Device-vsys1-security-policy-ip] quit
(5) 配置NAT功能
# 创建地址组1,包含公网地址1.1.1.100。
[Device-vsys1] nat address-group 1
[Device-vsys1-address-group-1] address 1.1.1.100 1.1.1.100
[Device-vsys1-address-group-1] quit
# 配置ACL 2000,仅允许对来自网络A的报文进行地址转换。
[Device-vsys1] acl basic 2000
[Device-vsys1-acl-ipv4-basic-2000] rule permit source 10.0.1.0 0.0.0.255
[Device-vsys1-acl-ipv4-basic-2000] quit
# 配置NAT出方向地址转换,允许网络A内的用户使用地址组1中的地址访问Internet。
[Device-vsys1] interface gigabitethernet 1/0/1
[Device-vsys1-GigabitEthernet1/0/1] nat outbound 2000 address-group 1
# 配置NAT内部服务器,允许外网用户使用IP地址1.1.1.2、端口号8080访问Server A。
[Device-vsys1-GigabitEthernet1/0/1] nat server protocol tcp global 1.1.1.2 8080 inside 10.0.1.3 http
# 从vsys1返回缺省vSystem。
[Device-vsys1-GigabitEthernet1/0/1] return
<Device-vsys1> quit
[Device]
(1) 创建vSystem vsys2,并为其分配接口
# 创建vsys2,设置描述信息。
<Device> system-view
[Device] vsys vsys2
[Device-vsys-3-vsys2] description vsys-2
# 将接口GigabitEthernet1/0/3和GigabitEthernet1/0/4分配给vsys2。
[Device-vsys-3-vsys2] allocate interface gigabitethernet 1/0/3
Some configurations on the interface are removed.
[Device-vsys-3-vsys2] allocate interface gigabitethernet 1/0/4
Some configurations on the interface are removed.
[Device-vsys-3-vsys2] quit
(2) 登录 vsys2,配置接口IP地址及其所属安全域
# 登录vsys2。
[Device] switchto vsys vsys2
<Device-vsys2> system-view
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device-vsys2] interface gigabitethernet 1/0/3
[Device-vsys2-GigabitEthernet1/0/3] ip address 1.1.2.1 24
[Device-vsys2-GigabitEthernet1/0/3] quit
[Device-vsys2] interface gigabitethernet 1/0/4
[Device-vsys2-GigabitEthernet1/0/4] ip address 10.0.2.1 24
[Device-vsys2-GigabitEthernet1/0/4] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device-vsys2] security-zone name trust
[Device-vsys2-security-zone-Trust] import interface gigabitethernet 1/0/4
[Device-vsys2-security-zone-Trust] quit
[Device-vsys2] security-zone name untrust
[Device-vsys2-security-zone-Untrust] import interface gigabitethernet 1/0/3
[Device-vsys2-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设vsys2内用户访问Internet的下一跳IP地址为1.1.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device-vsys2] ip route-static 0.0.0.0 0 1.1.2.2
(4) 配置安全策略
# 配置名称为trust-untrust的安全策略,保证内网用户可以访问Internet,具体配置步骤如下。
[Device-vsys2] security-policy ip
[Device-vsys2-security-policy-ip] rule name trust-untrust
[Device-vsys2-security-policy-ip-1-trust-untrust] source-zone trust
[Device-vsys2-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-vsys2-security-policy-ip-1-trust-untrust] source-ip-subnet 10.0.2.0 24
[Device-vsys2-security-policy-ip-1-trust-untrust] action pass
[Device-vsys2-security-policy-ip-1-trust-untrust] quit
(5) 配置NAT功能
# 创建地址组1,包含公网地址1.1.1.101。
[Device-vsys2] nat address-group 1
[Device-vsys2-address-group-1] address 1.1.1.100 1.1.1.101
[Device-vsys2-address-group-1] quit
# 配置ACL 2000,仅允许对来自网络B的报文进行地址转换。
[Device-vsys2] acl basic 2000
[Device-vsys2-acl-ipv4-basic-2000] rule permit source 10.0.2.0 0.0.0.255
[Device-vsys2-acl-ipv4-basic-2000] quit
# 配置NAT出方向地址转换,允许网络B内的用户使用地址组1中的地址访问Internet。
[Device-vsys2] interface gigabitethernet 1/0/3
[Device-vsys2-GigabitEthernet1/0/3] nat outbound 2000 address-group 1
# 从vsys2返回缺省vSystem。
[Device-vsys2-GigabitEthernet1/0/3] return
<Device-vsys2> quit
[Device]
(1) 在Device上查看所配vSystem是否存在并且运转正常。(此时,Device上应该有三台处于正常工作active状态的vSystem)
[Device] display vsys
ID Name Status Description
1 Admin Active Default
2 vsys1 Active vsys-1
3 vsys2 Active vsys-2
(2) Internet中的用户可以通过URL http://1.1.1.2:8080访问Server A。
(3) 网络A内的用户可以成功访问Internet。
C:\> ping 3.3.3.3
Pinging 3.3.3.3 with 32 bytes of data:
Reply from 3.3.3.3: bytes=32 time=51ms TTL=255
Reply from 3.3.3.3: bytes=32 time=44ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Ping statistics for 3.3.3.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 51ms, Average = 24ms
(4) 网络B内的用户可以成功访问Internet。
C:\> ping 3.3.3.3
Pinging 3.3.3.3 with 32 bytes of data:
Reply from 3.3.3.3: bytes=32 time=25ms TTL=255
Reply from 3.3.3.3: bytes=32 time=36ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Ping statistics for 3.3.3.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 36ms, Average = 16ms
某公司网络出口部署了一台Device作为安全网关,其内部划分为网络A和网络B,网络A和网络B之间相互隔离,其用户不能互访。网络A和网络B通过Device上的一个公网接口接入Internet,其中网络A内的用户使用公网地址1.1.1.100,网络B内的用户使用公网地址1.1.1.101。在网络A中还部署了一台Server A,位于Internet中的用户可以通过独立的公网IP(1.1.1.2)对其进行Web访问。
图1-7 Internet用户通过缺省vSystem的公网接口访问内部服务器组网图
(1) 创建vSystem,并为其分配接口
# 创建vsys1,设置描述信息。
<Device> system-view
[Device] vsys vsys1
[Device-vsys-2-vsys1] description vsys-1
# 将接口GigabitEthernet1/0/2分配给vsys1。
[Device-vsys-2-vsys1] allocate interface gigabitethernet 1/0/2
Some configurations on the interface are removed.
[Device-vsys-2-vsys1] quit
# 创建vsys2,设置描述信息。
[Device] vsys vsys2
[Device-vsys-3-vsys2] description vsys-2
# 将接口GigabitEthernet1/0/3分配给vsys2。
[Device-vsys-3-vsys2] allocate interface gigabitethernet 1/0/3
Some configurations on the interface are removed.
[Device-vsys-3-vsys2] quit
(2) 配置接口IP地址及其所属安全域
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[Device-GigabitEthernet1/0/1] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface vsys-interface 1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设内网报文通过缺省vSystem到达Internet的下一跳IP地址为1.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 0.0.0.0 0 1.1.1.2
# 配置静态路由,将外网用户访问VPC A的流量引入vSystem vsys1。
[Device] ip route-static 10.0.1.0 24 vpn-instance vsys1
# 配置静态路由,将外网用户访问VPC B的流量引入vSystem vsys2。
[Device] ip route-static 10.0.2.0 24 vpn-instance vsys2
(4) 配置安全策略
# 配置名称为untrust-trust的安全策略,保证外网用户可以访问Server A,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-1-untrust-trust] source-zone untrust
[Device-security-policy-ip-1-untrust-trust] destination-zone trust
[Device-security-policy-ip-1-untrust-trust] destination-ip-host 10.0.1.3
[Device-security-policy-ip-1-untrust-trust] action pass
[Device-security-policy-ip-1-untrust-trust] quit
# 配置名称为trust-untrust的安全策略,保证内网用户可以访问Internet,具体配置步骤如下。
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-2-trust-untrust] source-zone trust
[Device-security-policy-ip-2-trust-untrust] destination-zone untrust
[Device-security-policy-ip-2-trust-untrust] source-ip-subnet 10.0.1.0 24
[Device-security-policy-ip-2-trust-untrust] source-ip-subnet 10.0.2.0 24
[Device-security-policy-ip-2-trust-untrust] action pass
[Device-security-policy-ip-2-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置NAT功能
# 创建地址组1,包含公网地址1.1.1.100;创建地址组2,包含公网地址1.1.1.101。
[Device] nat address-group 1
[Device-address-group-1] address 1.1.1.100 1.1.1.100
[Device-address-group-1] quit
[Device] nat address-group 2
[Device-address-group-2] address 1.1.1.101 1.1.1.101
[Device-address-group-2] quit
# 配置ACL 2000,仅允许对来自网络A的报文进行地址转换;配置ACL 2001,仅允许对来自网络B的报文进行地址转换。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 10.0.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
[Device] acl basic 2001
[Device-acl-ipv4-basic-2001] rule permit source 10.0.2.0 0.0.0.255
[Device-acl-ipv4-basic-2001] quit
# 配置NAT出方向地址转换,允许网络A内的用户使用地址组1中的地址访问Internet,允许网络B内的用户使用地址组2中的地址访问Internet。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] nat outbound 2000 address-group 1
[Device-GigabitEthernet1/0/1] nat outbound 2001 address-group 2
# 配置NAT内部服务器,允许外网用户使用IP地址1.1.1.2、端口号8080访问Server A。
[Device-GigabitEthernet1/0/1] nat server protocol tcp global 1.1.1.2 8080 inside 10.0.1.3 http
[Device-GigabitEthernet1/0/1] quit
(1) 登录 vsys1,配置接口IP地址及其所属安全域
# 登录vsys1。
[Device] switchto vsys vsys1
<Device-vsys1> system-view
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device-vsys1] interface gigabitethernet 1/0/2
[Device-vsys1-GigabitEthernet1/0/2] ip address 10.0.1.1 24
[Device-vsys1-GigabitEthernet1/0/2] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device-vsys1] security-zone name trust
[Device-vsys1-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-vsys1-security-zone-Trust] quit
[Device-vsys1] security-zone name untrust
[Device-vsys1-security-zone-Untrust] import interface vsys-interface 2
[Device-vsys1-security-zone-Untrust] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设vsys1内用户访问Internet的下一跳为缺省vSystem,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device-vsys1] ip route-static 0.0.0.0 0 public
(3) 配置安全策略
# 配置名称为untrust-trust的安全策略,保证外网用户可以访问Server A,具体配置步骤如下。
[Device-vsys1] security-policy ip
[Device-vsys1-security-policy-ip] rule name untrust-trust
[Device-vsys1-security-policy-ip-1-untrust-trust] source-zone untrust
[Device-vsys1-security-policy-ip-1-untrust-trust] destination-zone trust
[Device-vsys1-security-policy-ip-1-untrust-trust] destination-ip-host 10.0.1.3
[Device-vsys1-security-policy-ip-1-untrust-trust] action pass
[Device-vsys1-security-policy-ip-1-untrust-trust] quit
# 配置名称为trust-untrust的安全策略,保证内网用户可以访问Internet,具体配置步骤如下。
[Device-vsys1-security-policy-ip] rule name trust-untrust
[Device-vsys1-security-policy-ip-2-trust-untrust] source-zone trust
[Device-vsys1-security-policy-ip-2-trust-untrust] destination-zone untrust
[Device-vsys1-security-policy-ip-2-trust-untrust] source-ip-subnet 10.0.1.0 24
[Device-vsys1-security-policy-ip-2-trust-untrust] action pass
# 从vsys1返回缺省vSystem。
[Device-vsys1-security-policy-ip-2-trust-untrust] return
<Device-vsys1> quit
[Device]
(1) 登录 vsys2,配置接口IP地址及其所属安全域
# 登录vsys2。
[Device] switchto vsys vsys2
<Device-vsys2> system-view
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
[Device-vsys2] interface gigabitethernet 1/0/3
[Device-vsys2-GigabitEthernet1/0/3] ip address 10.0.2.1 24
[Device-vsys2-GigabitEthernet1/0/3] quit
# 根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device-vsys2] security-zone name trust
[Device-vsys2-security-zone-Trust] import interface gigabitethernet 1/0/3
[Device-vsys2-security-zone-Trust] quit
[Device-vsys2] security-zone name untrust
[Device-vsys2-security-zone-Untrust] import interface vsys-interface 3
[Device-vsys2-security-zone-Untrust] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设vsys2内用户访问Internet的下一跳为缺省vSystem,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device-vsys2] ip route-static 0.0.0.0 0 public
(3) 配置安全策略
# 配置名称为trust-untrust的安全策略,保证内网用户可以访问Internet,具体配置步骤如下。
[Device-vsys2] security-policy ip
[Device-vsys2-security-policy-ip] rule name trust-untrust
[Device-vsys2-security-policy-ip-1-trust-untrust] source-zone trust
[Device-vsys2-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-vsys2-security-policy-ip-1-trust-untrust] source-ip-subnet 10.0.2.0 24
[Device-vsys2-security-policy-ip-1-trust-untrust] action pass
# 从vsys2返回缺省vSystem。
[Device-vsys2-security-policy-ip-1-trust-untrust] return
<Device-vsys2> quit
[Device]
(1) 在Device上查看所配vSystem是否存在并且运转正常。(此时,Device上应该有三台处于正常工作active状态的vSystem)
[Device] display vsys
ID Name Status Description
1 Admin Active Default
2 vsys1 Active vsys-1
3 vsys2 Active vsys-2
(2) Internet中的用户可以通过URL http://1.1.1.2:8080访问Server A。
(3) 网络A内的用户可以成功访问Internet。
C:\> ping 3.3.3.3
Pinging 3.3.3.3 with 32 bytes of data:
Reply from 3.3.3.3: bytes=32 time=51ms TTL=255
Reply from 3.3.3.3: bytes=32 time=44ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Ping statistics for 3.3.3.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 51ms, Average = 24ms
(4) 网络B内的用户可以成功访问Internet。
C:\> ping 3.3.3.3
Pinging 3.3.3.3 with 32 bytes of data:
Reply from 3.3.3.3: bytes=32 time=25ms TTL=255
Reply from 3.3.3.3: bytes=32 time=36ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Reply from 3.3.3.3: bytes=32 time=1ms TTL=255
Ping statistics for 3.3.3.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 36ms, Average = 16ms
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
