Пример настройки inter-vlan communication на USG6000

941 0 0 0

Выполним простую настройку inter-vlan communication на Huawei USG6000 при помощи политик безопасности.

У нас будет следующая топология:

Security-policy

План настройки:

1. Настроить L2 коммуникацию на SW.

2. Настроить сабинтерфейсы на файрволе и разрешить L3 коммуникацию между vlan.

3. Назначить IP адреса и шлюзы на всех ПК.

4. Создать 2 зоны безопасности и настроить политику безопасности для контроля трафика между vlan.

В итоге у нас должно получиться:

·    PC1 в vlan200 и PC2 в vlan300 должны иметь доступ друг к другу.

·    У PC3 в vlan400 должен быть доступ кPC1 и PC2. Но PC3 должен быть недоступен для PC1 и PC2. Также у всех PC должен быть доступ в интернет.

Настройки на коммутаторе SW:

vlan batch 200 300 400

interface GigabitEthernet 0/0/2
 port link-type access
 port default vlan 200

interface GigabitEthernet 0/0/3
 port link-type access
 port default vlan 300

interface GigabitEthernet 0/0/4
 port link-type access
 port default vlan 400

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 200 300 400

Настройкина FW:

interface GigabitEthernet1/0/1.200
 vlan-type dot1q 200
 alias GigabitEthernet 1/0/1.200
 ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet1/0/1.300
 vlan-type dot1q 300
 alias GigabitEthernet 1/0/1.300
 ip address 172.16.1.1 255.255.255.0

interface GigabitEthernet1/0/1.400
 vlan-type dot1q 400
 alias GigabitEthernet 1/0/1.400
 ip address 10.1.1.1 255.255.255.0

Теперь приступим к настройке зон безопасности, а также добавим в них сабинтерфейсы:

[FW] firewall zone 1
[FW-zone-1] set priority 70
[FW-zone-1] add interface GigabitEthernet 1/0/1.200
[FW-zone-1] add interface GigabitEthernet 1/0/1.300

[FW] firewall zone 2
[FW-zone-2] set priority 80
[FW-zone-2] add interface GigabitEthernet 1/0/1.400

[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/2

Zone-based policyпринцип, по которому происходит настройка файрвола. В его основе лежит распределение интерфейсов по зонам безопасности. После этого настраиваются правила безопасности для взаимодействий между зонами.По умолчанию на USG настроено 4 зоны безопасности, которые нельзя удалить и их уровень безопасности не может изменен. Но мы можем создать новую зону и назначить ей необходимый уровень безопасности (значение от 1 до 100). Чем выше значение, тем выше уровень безопасности.

Перейдем к настройке политики безопасности при помощи разрешающих и запрещающих правил:

[FW] security-policy
[FW-policy-security] rule name 1
[FW-policy-security-rule-1] source-zone 1
[FW-policy-security-rule-1] destination-zone 1
[FW-policy-security-rule-1] destination-zone untrust
[FW-policy-security-rule-1] action permit
[FW-policy-security] rule name 2
[FW-policy-security-rule-2] source-zone 2
[FW-policy-security-rule-2] destination-zone 1
[FW-policy-security-rule-2] destination-zone untrust
[FW-policy-security-rule-2] action permit
[FW-policy-security] rule name 3
[FW-policy-security-rule-3] source-address 172.16.1.0 mask 255.255.255.0
[FW-policy-security-rule-3] source-address 192.168.1.0 mask 255.255.255.0
[FW-policy-security-rule-3] action deny

Проверка:

PC1> ping 172.16.1.10

Ping 172.16.1.10: 32 data bytes, Press Ctrl_C to break
From 172.16.1.10: bytes=32 seq=1 ttl=127 time=63 ms
From 172.16.1.10: bytes=32 seq=2 ttl=127 time=46 ms
From 172.16.1.10: bytes=32 seq=3 ttl=127 time=63 ms
From 172.16.1.10: bytes=32 seq=4 ttl=127 time=62 ms
From 172.16.1.10: bytes=32 seq=5 ttl=127 time=47 ms

--- 172.16.1.10 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 46/56/63 ms

PC1> ping 10.1.1.10

Ping 10.1.1.10: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 10.1.1.10 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss

PC2> ping 192.168.1.10

Ping 192.168.1.10: 32 data bytes, Press Ctrl_C to break
From 192.168.1.10: bytes=32 seq=1 ttl=127 time=78 ms
From 192.168.1.10: bytes=32 seq=2 ttl=127 time=63 ms
From 192.168.1.10: bytes=32 seq=3 ttl=127 time=62 ms
From 192.168.1.10: bytes=32 seq=4 ttl=127 time=78 ms
From 192.168.1.10: bytes=32 seq=5 ttl=127 time=63 ms

--- 192.168.1.10 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 62/68/78 ms

PC2> ping 10.1.1.10

Ping 10.1.1.10: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 10.1.1.10 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss

PC3> ping 192.168.1.10

Ping 192.168.1.10: 32 data bytes, Press Ctrl_C to break
From 192.168.1.10: bytes=32 seq=1 ttl=127 time=31 ms
From 192.168.1.10: bytes=32 seq=2 ttl=127 time=47 ms
From 192.168.1.10: bytes=32 seq=3 ttl=127 time=47 ms
From 192.168.1.10: bytes=32 seq=4 ttl=127 time=63 ms
From 192.168.1.10: bytes=32 seq=5 ttl=127 time=46 ms

--- 192.168.1.10 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 31/46/63 ms

PC3> ping 172.16.1.10

Ping 172.16.1.10: 32 data bytes, Press Ctrl_C to break
From 172.16.1.10: bytes=32 seq=1 ttl=127 time=47 ms
From 172.16.1.10: bytes=32 seq=2 ttl=127 time=47 ms
From 172.16.1.10: bytes=32 seq=3 ttl=127 time=46 ms
From 172.16.1.10: bytes=32 seq=4 ttl=127 time=32 ms
From 172.16.1.10: bytes=32 seq=5 ttl=127 time=47 ms

--- 172.16.1.10 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 32/43/47 ms

Как видим, у PC1 и PC2 есть доступ друг другу, но у обоих нет доступа к PC3. В то время как у PC3 есть доступ к обоим PC1 и PC2, задача выполнена.

У статьи есть другие ресурсы

Требуется войти для загрузки или просмотра. Нет аккаунта?Register

x
  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход