Выполним простую настройку inter-vlan communication на Huawei USG6000 при помощи политик безопасности.
У нас будет следующая топология:
План настройки:
1. Настроить L2 коммуникацию на SW.
2. Настроить сабинтерфейсы на файрволе и разрешить L3 коммуникацию между vlan.
3. Назначить IP адреса и шлюзы на всех ПК.
4. Создать 2 зоны безопасности и настроить политику безопасности для контроля трафика между vlan.
В итоге у нас должно получиться:
· PC1 в vlan200 и PC2 в vlan300 должны иметь доступ друг к другу.
· У PC3 в vlan400 должен быть доступ кPC1 и PC2. Но PC3 должен быть недоступен для PC1 и PC2. Также у всех PC должен быть доступ в интернет.
Настройки на коммутаторе SW:
vlan batch 200 300 400
interface GigabitEthernet 0/0/2
port link-type access
port default vlan 200
interface GigabitEthernet 0/0/3
port link-type access
port default vlan 300
interface GigabitEthernet 0/0/4
port link-type access
port default vlan 400
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 200 300 400
Настройкина FW:
interface GigabitEthernet1/0/1.200
vlan-type dot1q 200
alias GigabitEthernet 1/0/1.200
ip address 192.168.1.1 255.255.255.0
interface GigabitEthernet1/0/1.300
vlan-type dot1q 300
alias GigabitEthernet 1/0/1.300
ip address 172.16.1.1 255.255.255.0
interface GigabitEthernet1/0/1.400
vlan-type dot1q 400
alias GigabitEthernet 1/0/1.400
ip address 10.1.1.1 255.255.255.0
Теперь приступим к настройке зон безопасности, а также добавим в них сабинтерфейсы:
[FW] firewall zone 1
[FW-zone-1] set priority 70
[FW-zone-1] add interface GigabitEthernet 1/0/1.200
[FW-zone-1] add interface GigabitEthernet 1/0/1.300
[FW] firewall zone 2
[FW-zone-2] set priority 80
[FW-zone-2] add interface GigabitEthernet 1/0/1.400
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/2
Zone-based policy – принцип, по которому происходит настройка файрвола. В его основе лежит распределение интерфейсов по зонам безопасности. После этого настраиваются правила безопасности для взаимодействий между зонами.По умолчанию на USG настроено 4 зоны безопасности, которые нельзя удалить и их уровень безопасности не может изменен. Но мы можем создать новую зону и назначить ей необходимый уровень безопасности (значение от 1 до 100). Чем выше значение, тем выше уровень безопасности.
Перейдем к настройке политики безопасности при помощи разрешающих и запрещающих правил:
[FW] security-policy
[FW-policy-security] rule name 1
[FW-policy-security-rule-1] source-zone 1
[FW-policy-security-rule-1] destination-zone 1
[FW-policy-security-rule-1] destination-zone untrust
[FW-policy-security-rule-1] action permit
[FW-policy-security] rule name 2
[FW-policy-security-rule-2] source-zone 2
[FW-policy-security-rule-2] destination-zone 1
[FW-policy-security-rule-2] destination-zone untrust
[FW-policy-security-rule-2] action permit
[FW-policy-security] rule name 3
[FW-policy-security-rule-3] source-address 172.16.1.0 mask 255.255.255.0
[FW-policy-security-rule-3] source-address 192.168.1.0 mask 255.255.255.0
[FW-policy-security-rule-3] action deny
Проверка:
PC1> ping 172.16.1.10
Ping 172.16.1.10: 32 data bytes, Press Ctrl_C to break
From 172.16.1.10: bytes=32 seq=1 ttl=127 time=63 ms
From 172.16.1.10: bytes=32 seq=2 ttl=127 time=46 ms
From 172.16.1.10: bytes=32 seq=3 ttl=127 time=63 ms
From 172.16.1.10: bytes=32 seq=4 ttl=127 time=62 ms
From 172.16.1.10: bytes=32 seq=5 ttl=127 time=47 ms
--- 172.16.1.10 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 46/56/63 ms
PC1> ping 10.1.1.10
Ping 10.1.1.10: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
--- 10.1.1.10 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PC2> ping 192.168.1.10
Ping 192.168.1.10: 32 data bytes, Press Ctrl_C to break
From 192.168.1.10: bytes=32 seq=1 ttl=127 time=78 ms
From 192.168.1.10: bytes=32 seq=2 ttl=127 time=63 ms
From 192.168.1.10: bytes=32 seq=3 ttl=127 time=62 ms
From 192.168.1.10: bytes=32 seq=4 ttl=127 time=78 ms
From 192.168.1.10: bytes=32 seq=5 ttl=127 time=63 ms
--- 192.168.1.10 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 62/68/78 ms
PC2> ping 10.1.1.10
Ping 10.1.1.10: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
--- 10.1.1.10 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PC3> ping 192.168.1.10
Ping 192.168.1.10: 32 data bytes, Press Ctrl_C to break
From 192.168.1.10: bytes=32 seq=1 ttl=127 time=31 ms
From 192.168.1.10: bytes=32 seq=2 ttl=127 time=47 ms
From 192.168.1.10: bytes=32 seq=3 ttl=127 time=47 ms
From 192.168.1.10: bytes=32 seq=4 ttl=127 time=63 ms
From 192.168.1.10: bytes=32 seq=5 ttl=127 time=46 ms
--- 192.168.1.10 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/46/63 ms
PC3> ping 172.16.1.10
Ping 172.16.1.10: 32 data bytes, Press Ctrl_C to break
From 172.16.1.10: bytes=32 seq=1 ttl=127 time=47 ms
From 172.16.1.10: bytes=32 seq=2 ttl=127 time=47 ms
From 172.16.1.10: bytes=32 seq=3 ttl=127 time=46 ms
From 172.16.1.10: bytes=32 seq=4 ttl=127 time=32 ms
From 172.16.1.10: bytes=32 seq=5 ttl=127 time=47 ms
--- 172.16.1.10 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 32/43/47 ms
Как видим, у PC1 и PC2 есть доступ друг другу, но у обоих нет доступа к PC3. В то время как у PC3 есть доступ к обоим PC1 и PC2, задача выполнена.