【FAQ】Sistema Virtual NGFW FAQ

61 0 0 0

Esta sección describe preguntas frecuentes (FAQs) sobre el Sistema virtual.

Como puedo usar instancias de VPN para aislar sesiones cuando paquetes pasan por el FW dos veces?

Como se muestra en la Figura 1, la dirección de Gateway de la PC está configurada a la dirección IP (192.168.0.1) de la VLANIF10 en el switch de capa 3. La PC inicia sesión en el FW con el switch de capa 3 como el agente de administración.

La primera vez, los paquetes de la PC hacia el FW pasan a través del FW por la VLAN10. La segunda vez, los paquetes son reenviados al FW desde la VLANIF20. Los paquetes pasa por el FW dos veces, pero el FW no puede distinguir las dos sesiones, ocasionado un fallo en el inicio de sesión de la PC.

Figura 1 Escenario 1: Paquetes pasando por el FW dos veces.

050755g9ydxxo4ookyu66a.png?image.png

En estos casos, puede configurar una instancia de VPN para aislar las sesiones.

<sysname> system-view

[sysname] ip vpn-instance vpn1

[sysname-vpn-instance-vpn1] ipv4-family

[sysname-vpn-instance-vpn1-af-ipv4] route-distinguisher 1:1

[sysname-vpn-instance-vpn1-af-ipv4] vpn-target 2:1

[sysname-vpn-instance-vpn1-af-ipv4] quit

[sysname-vpn-instance-vpn1] quit

Luego asociar la instancia de VPN a la VLANIF20.

[sysname] interface Vlanif 20

[sysname-Vlanif20] ip binding vpn-instance vpn1

[sysname-Vlanif20] quit

Por último, configurar una ruta a la instancia de VPN especificada y configurar el próximo salto a la dirección IP (192.168.1.1) de la VLANIF20 en el switch de capa 3.

[sysname] ip route-static vpn-instance vpn1 192.168.0.0 24 192.168.1.1

Después de configurar la instancia de VPN para aislar sesiones, la PC puede iniciar sesión en el FW. También es posible encontrarse con otro escenario. Como se muestra en la Figura 2, la dirección Gateway de la PC está configurada con la dirección IP (192.168.0.1) de la VLANIF10 en el switch de capa 3. La PC inicia sesión en el FW con el switch de capa 3 como agente.

Figura 2 Escenario 2: Paquetes pasando por el FW dos veces
050745e2eszn2aeqtb62sj.png?image.png

Similar al escenario 1, se necesita asociar la instancia de VPN a GE1/0/1 para aislar sesiones.

¿Cómo puedo configurar sistemas virtuales para aislar servicios de diferentes VLANs cuando el FW está conectado de forma transparente?

Como se muestra en la Figura 3, VLAN10 y VLAN20 contienen direcciones IP superpuestas. Antes de que el FW sea conectado en forma transparente, se usan VLANs para aislar servicios. Después de conectar el FW de forma transparente, pueden existir dos flujos de tráfico con la misma dirección IP de origen, puerto, dirección IP destino, y puerto destino. Si este es el caso, el FW no puede distinguir las sesiones, afectando los servicios normales.

Figura 3 Conexión transparente de FW
050739a3nh3h9b4h1qxxwe.png?image.png

En estos casos, puede configurar dos sistemas virtuales (o configurar un sistema público y uno virtual) en el FW y asignar VLAN10 y VLAN20 a diferentes sistemas virtuales. De esta manera, el tráfico de las dos VLANs es separado.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje