Esta sección describe preguntas frecuentes (FAQs) sobre el Sistema virtual.
¿Como puedo usar instancias de VPN para aislar sesiones cuando paquetes pasan por el FW dos veces?
Como se muestra en la Figura 1, la dirección de gateway de la PC está configurada a la dirección IP (192.168.0.1) de la VLANIF10 en el switch de capa 3. La PC inicia sesión en el FW con el switch de capa 3 como el agente de administración.
La primera vez, los paquetes de la PC hacia el FW pasan a través del FW por la VLAN10. La segunda vez, los paquetes son reenviados al FW desde la VLANIF20. Los paquetes pasa por el FW dos veces, pero el FW no puede distinguir las dos sesiones, ocasionado un fallo en el inicio de sesión de la PC.
Figura 1 Escenario 1: Paquetes pasando por el FW dos veces.
En estos casos, puede configurar una instancia de VPN para aislar las sesiones.
<sysname> system-view
[sysname] ip vpn-instance vpn1
[sysname-vpn-instance-vpn1] ipv4-family
[sysname-vpn-instance-vpn1-af-ipv4] route-distinguisher 1:1
[sysname-vpn-instance-vpn1-af-ipv4] vpn-target 2:1
[sysname-vpn-instance-vpn1-af-ipv4] quit
[sysname-vpn-instance-vpn1] quit
Luego asociar la instancia de VPN a la VLANIF20.
[sysname] interface Vlanif 20
[sysname-Vlanif20] ip binding vpn-instance vpn1
[sysname-Vlanif20] quit
Por último, configurar una ruta a la instancia de VPN especificada y configurar el próximo salto a la dirección IP (192.168.1.1) de la VLANIF20 en el switch de capa 3.
[sysname] ip route-static vpn-instance vpn1 192.168.0.0 24 192.168.1.1
Después de configurar la instancia de VPN para aislar sesiones, la PC puede iniciar sesión en el FW. También es posible encontrarse con otro escenario. Como se muestra en la Figura 2, la dirección gateway de la PC está configurada con la dirección IP (192.168.0.1) de la VLANIF10 en el switch de capa 3.
3. La PC inicia sesión en el FW con el switch de capa 3 como agente.
Figura 2 Escenario 2: Paquetes pasando por el FW dos veces
Similar al escenario 1, se necesita asociar la instancia de VPN a GE1/0/1 para aislar sesiones.
¿Cómo puedo configurar sistemas virtuales para aislar servicios de diferentes VLANs cuando el FW está conectado de forma transparente?
Como se muestra en la Figura 3, VLAN10 y VLAN20 contienen direcciones IP superpuestas. Antes de que el FW sea conectado en forma transparente, se usan VLANs para aislar servicios. Después de conectar el FW de forma transparente, pueden existir dos flujos de tráfico con la misma dirección IP de origen, puerto, dirección IP destino, y puerto destino. Si este es el caso, el FW no puede distinguir las sesiones, afectando los servicios normales.
Figura 3 Conexión transparente de FW 
En estos casos, puede configurar dos sistemas virtuales (o configurar un sistema público y uno virtual) en el FW y asignar VLAN10 y VLAN20 a diferentes sistemas virtuales. De esta manera, el tráfico de las dos VLANs es separado.
