下一代防火墙USG6000 配置虚拟系统间互访

[复制链接]
发表于 : 2015-3-24 14:06:56 最新回复:2019-11-05 15:16:54
3848 6
小小李
小小李  新锐

虚拟系统间的互访

虚拟系统之间能够通过虚拟接口实现互访。

虚拟接口

虚拟接口是创建虚拟系统时系统自动为其创建的一个逻辑接口,作为虚拟系统自身与其他虚拟系统之间通信的接口。与设备上其他的接口不同的是,虚拟接口不配置IP地址也能生效。虚拟接口名的格式为“Virtualif+接口号”,根系统的虚拟接口名为Virtualif0,其他虚拟系统的Virtualif接口号从1开始,根据系统中接口号占用情况自动分配。

图1所示,各个虚拟系统的虚拟接口和根系统的虚拟接口之间默认通过一条“虚拟链路”连接。如果将根系统和虚拟系统视为独立的设备,将虚拟接口视为设备之间通信的接口,通过将虚拟接口加入安全区域并按照配置一般设备间互访的思路配置路由和安全策略,就能实现虚拟系统与根系统之间的互访。

另外,由于每个虚拟系统和根系统都是连通的,可以将根系统视为一台连接多个虚拟系统的“路由器”,通过这台“路由器”的中转,可以实现两个虚拟系统之间的互访。

1 虚拟接口http://support.huawei.com/ehedex/pages/DOC1000065885DZD0429D/05/DOC1000065885DZD0429D/05/resources/ag_cn/images_common_cn/sec_eudemon_ag_vsys_0008_fig03.png

下面将具体介绍虚拟系统与根系统之间互访以及两个虚拟系统之间互访的配置方法。

虚拟系统与根系统之间互访

以下场景中需要配置虚拟系统与根系统之间互访:

  • 虚拟系统内的主机需要访问根系统管理的主机。
  • 当公网地址不足时,不能给每一个虚拟系统分配一个公网接口和公网IP地址。所有虚拟系统需要通过根系统的公网接口来访问Internet。此时虚拟系统主机访问Internet的流量需要经过根系统的中转。

图2所示,可以通过配置路由和安全策略实现虚拟系统主机10.3.0.0/24通过根系统的公网接口GE1/0/1访问Internet服务器3.3.3.3。

2 虚拟系统访问根系统示意图http://support.huawei.com/ehedex/pages/DOC1000065885DZD0429D/05/DOC1000065885DZD0429D/05/resources/ag_cn/images_common_cn/sec_eudemon_ag_vsys_0008_fig01.png

路由的配置方法如下:

  1. VSYSA中配置一条静态路由,目的地址是3.3.3.3,目的虚拟系统选择root
  2. 在根系统中配置一条静态路由,目的地址是3.3.3.3,出接口是GE1/0/1,下一跳是运营商所提供的网关地址。完成正向路由的配置。
  3. 在根系统中配置一条静态路由,目的地址是10.3.0.0/24,目的虚拟系统选择VSYSA
  4. VSYSA中配置一条静态路由,目的地址是10.3.0.0/24,出接口是GE1/0/2。完成反向路由的配置。

安全策略的配置方法如下:

  1. VSYSA中,将接口GE1/0/2加入Trust区域、Virtualif1加入Untrust区域,配置允许Trust区域访问Untrust区域的安全策略。
  2. 在根系统中,将接口GE1/0/1加入Untrust区域、Virtualif0加入Trust区域,配置允许Trust区域访问Untrust区域的安全策略。

完成上述路由和安全策略的配置就可以实现报文的正常转发,但是内网的主机使用的是私网地址10.3.0.0/24,所以内网的主机如果想要正常访问Internet,还必须在VSYSA或root中配置NAT策略,进行公网地址和私网地址的转换。在哪个虚拟系统中配置NAT策略,取决于哪个虚拟系统的管理员管理和使用公网地址。

 

两个虚拟系统之间互访

虚拟系统之间互访是通过根系统中转实现的。如图3所示,VSYSA中的用户要访问VSYSB中的Server,需要通过VSYSA访问根系统,再通过根系统访问VSYSB来实现。

3 虚拟系统之间的互访示意图http://support.huawei.com/ehedex/pages/DOC1000065885DZD0429D/05/DOC1000065885DZD0429D/05/resources/ag_cn/images_common_cn/sec_eudemon_ag_vsys_0008_fig02.png

路由的配置方法如下:

  1. VSYSA中配置一条静态路由,目的地址是10.3.1.3,目的虚拟系统选择root
  2. 在根系统中配置一条静态路由,目的地址是10.3.1.3,目的虚拟系统选择VSYSB
  3. VSYSB中配置一条静态路由,目的地址是10.3.1.3,出接口是GE1/0/3。完成正向路由的配置。
  4. VSYSB中配置一条静态路由,目的地址是10.3.0.0/24,目的虚拟系统选择root
  5. 在根系统中配置一条静态路由,目的地址是10.3.0.0/24,目的虚拟系统选择VSYSA
  6. VSYSA中配置一条静态路由,目的地址是10.3.0.0/24,出接口是GE1/0/2。完成反向路由的配置。

安全策略的配置方法如下:

  1. VSYSA中,将接口GE1/0/2加入Trust区域、Virtualif1加入Untrust区域,配置允许Trust区域访问Untrust区域的安全策略。
  2. VSYSB中,将接口GE1/0/3加入Trust区域、Virtualif2加入Untrust区域,配置允许Untrust区域访问Trust区域的安全策略。

http://support.huawei.com/ehedex/pages/DOC1000065885DZD0429D/05/DOC1000065885DZD0429D/05/resources/public_sys-resources/icon-note.gif说明:

根系统只根据路由表对虚拟系统之间的访问报文进行转发,不进行其他安全功能的处理,因此不需要在根系统下针对这些报文配置安全策略。

同样,如果期间涉及到公网地址和私网地址之间的转换,也需要在VSYSA、VSYSB或root中配置NAT策略。

虚拟系统私网地址重叠情况的分析

由于虚拟系统对网络和接口进行了隔离,所以不同虚拟系统可以独自规划和使用私网IP地址。这就有可能会出现两个虚拟系统网络使用了相同私网IP地址的情况。也就是地址重叠的情况。在虚拟系统间通信时,地址重叠会导致一些问题:

·         虚拟系统与根系统之间互访时

假设两个虚拟系统VSYSA、VSYSB所连接的网络主机采用了相同的私网地址(例如10.3.0.2),但是两者都需要与根系统所连接的同一台服务器(例如192.168.1.1)通信。

对于虚拟系统发出的报文,根据路由这些主机发出的报文可以正确转发给服务器。但是对于服务器返回的报文,由于其目的地址均为10.3.0.2,所以root无法判断该报文应该转发给VSYSA还是VSYSB。

解决此问题的方法就是在两个虚拟系统中配置NAT策略。在将报文发送给根系统前,先分别将报文的源地址转换为不冲突的地址网段。这样在根系统看来,就不会出现两个IP地址相同的主机。根系统中再配置针对转换后的IP地址的路由,就可以正确转发报文了。

·         两个虚拟系统之间互访时

假设两个虚拟系统VSYSA、VSYSB所连接的网络主机采用了相同的私网地址(例如10.3.0.0/24),但是两者需要相互通信。显然它们不能使用各自的原始IP地址进行通信,因为这会出现源和目的地址相同或位于同一网段的情况。

此时就需要根系统管理员为每一个虚拟系统配置NAT策略进行源地址或目的地址的转换。

假设,VSYSA中主机要访问VSYSB中IP地址为10.3.0.3的一台服务器,在VSYSA中配置源NAT策略将报文的源地址转换为192.168.1.1,在VSYSB中配置服务器映射(NAT Server)将服务器的私网地址映射为192.168.2.1。VSYSA主机使用新地址192.168.1.1来访问VSYSB中的服务器。则路由和NAT配置如下:

1.  在VSYSA中配置源NAT策略对报文的源地址进行转换。

转换前源地址

转换后源地址

10.3.0.0/24

192.168.1.1

2.  在VSYSA中配置静态路由将访问流量转发至root。

源虚拟系统

目的地址

目的地址系统

出接口

-

192.168.2.1

root

-

3.  在root中配置静态路由将访问流量转发至VSYSB。

源虚拟系统

目的地址

目的地址系统

出接口

-

192.168.2.1

VSYSB

-

4.  在VSYSB中配置服务器映射。

类型

公网地址

私网地址

静态映射

192.168.2.1

10.3.0.3

5.  在VSYSB中配置到达10.3.0.3的静态路由。

参考上述步骤配置反向路由即可实现正常通信。

 

 

配置案例:  配置虚拟系统间互访

为实现两个虚拟系统间的通信,需要配置虚拟系统间互访的路由和安全策略。

背景信息

图1所示,VSYSA中的用户要访问VSYSB中的Server,需要通过VSYSA访问根系统,再通过根系统访问VSYSB来实现。根系统就相当于一台路由器,负责连接两个虚拟系统,中转虚拟系统之间互访的报文。

建议您仔细阅读两个虚拟系统之间互访中的内容,理解虚拟系统间互访的原理,以便您能正确的进行配置。

1 虚拟系统间互访http://support.huawei.com/ehedex/pages/DOC1000065885DZD0429D/05/DOC1000065885DZD0429D/05/resources/ag_cn/images_usg_cn/sec_eudemon_ag_vsys_0015_fig01.png

操作步骤

  1. 在根系统中配置VSYSAVSYSB互访的路由。

http://support.huawei.com/ehedex/pages/DOC1000065885DZD0429D/05/DOC1000065885DZD0429D/05/resources/public_sys-resources/icon-note.gif说明:

根系统只根据路由表对虚拟系统之间的访问报文进行转发,不进行其他安全功能的处理,因此不需要在根系统下针对这些报文配置安全策略。

    1. 在界面右上角的“虚拟系统”下拉菜单中选择“root,进入根系统。
    2. 选择“网络 > 路由 > 静态路由
    3. 单击“新建”,按如下参数配置到VSYSB的静态路由。

源虚拟系统

root

目的地址/掩码

10.3.1.0/255.255.255.0

目的虚拟系统

vsysb

下一跳

-

出接口

-

    1. http://support.huawei.com/ehedex/pages/DOC1000065885DZD0429D/05/DOC1000065885DZD0429D/05/resources/public_sys-resources/icon-note.gif说明:

e.  跨虚拟系统的静态路由通过指定目的虚拟系统来指导源虚拟系统中报文的转发,表示将源虚拟系统中发往目的地址的报文送入目的虚拟系统中查找路由转发。

f.  跨虚拟系统的静态路由不需要指定下一跳。

    1. 重复上述步骤,按如下参数配置到VSYSA的静态路由。

源虚拟系统

root

目的地址/掩码

10.3.0.0/255.255.255.0

目的虚拟系统

vsysa

下一跳

-

出接口

-

  1. VSYSA中配置路由和安全策略。
    1. 在界面右上角的“虚拟系统”下拉菜单中选择“vsysa,进入VSYSA
    2. 选择“网络 > 路由 > 静态路由
    3. 单击“新建”,按如下参数配置到VSYSB内服务器的静态路由。

http://support.huawei.com/ehedex/pages/DOC1000065885DZD0429D/05/DOC1000065885DZD0429D/05/resources/public_sys-resources/icon-note.gif说明:

到VSYSA的流量要经过根系统的中转,因此静态路由的目的虚拟系统应该配置为根系统。

源虚拟系统

vsysa

目的地址/掩码

10.3.1.3/255.255.255.255

目的虚拟系统

root

下一跳

-

出接口

-

    1. 选择“网络 > 接口
    2. 单击“Virtualif1接口对应的http://support.huawei.com/ehedex/pages/DOC1000065885DZD0429D/05/DOC1000065885DZD0429D/05/resources/images_common/change1.gif按钮,将接口加入Untrust区域。

http://support.huawei.com/ehedex/pages/DOC1000065885DZD0429D/05/DOC1000065885DZD0429D/05/resources/public_sys-resources/icon-note.gif说明:

Virtualif的编号会根据系统中ID占用情况自动分配。所以实际配置时,可能不是Virtualif1。虚拟系统与Virtualif的对应关系可以在本系统的“接口列表”中看到。

    1. 选择“策略 > 安全策略
    2. 单击“新建”,按如下参数配置安全策略。

名称

to_server

源安全区域

trust

目的安全区域

untrust

源地址/地区

10.3.0.0/24

目的地址/地区

10.3.1.3/32

动作

允许

  1. VSYSB中配置路由和安全策略。
    1. 在界面右上角的“虚拟系统”下拉菜单中选择“vsysb,进入VSYSB
    2. 选择“网络 > 路由 > 静态路由
    3. 单击“新建”,按如下参数配置到VSYSA内用户的静态路由。

http://support.huawei.com/ehedex/pages/DOC1000065885DZD0429D/05/DOC1000065885DZD0429D/05/resources/public_sys-resources/icon-note.gif说明:

到VSYSB的流量要经过根系统的中转,因此静态路由的目的虚拟系统应该配置为根系统。

源虚拟系统

vsysb

目的地址/掩码

10.3.0.0/255.255.255.0

目的虚拟系统

root

下一跳

-

出接口

-

    1. 选择“网络 > 接口
    2. 单击“Virtualif2接口对应的http://support.huawei.com/ehedex/pages/DOC1000065885DZD0429D/05/DOC1000065885DZD0429D/05/resources/images_common/change1.gif按钮,将接口加入Untrust区域。
    3. 选择“策略 > 安全策略
    4. 单击“新建”,按如下参数配置安全策略。

名称

vsysa_to_server

源安全区域

untrust

目的安全区域

trust

源地址/地区

10.3.0.0/24

目的地址/地区

10.3.1.3/32

动作

允许

 

  • x
  • 常规:

点评 回复

跳转到指定楼层
luwj
luwj  导师VIP 发表于 2015-3-24 14:12:40 已赞(0) 赞(0)

传统USG有这个吗?还是只有NGFW才有?

  • x
  • 常规:

点评 回复

小小李
小小李  新锐 发表于 2015-3-24 14:17:13 已赞(0) 赞(0)

回复 2 楼

2000/5000也有的。叫虚拟防火墙,下一代叫虚拟系统。差不多。
  • x
  • 常规:

点评 回复

luwj
luwj  导师VIP 发表于 2015-3-24 14:18:27 已赞(0) 赞(0)

回复 3 楼

我指的是USG200、5000虚拟防火墙之间能做到互访吗?

  • x
  • 常规:

点评 回复

小小李
小小李  新锐 发表于 2015-3-24 16:09:32 已赞(0) 赞(0)

回复 4 楼

目前USG2000/5000只支持虚拟防火墙和根防火墙通信,不支持虚拟防火墙之间的通信哈。
  • x
  • 常规:

点评 回复

我是你军锅
我是你军锅   发表于 2018-1-1 15:30:19 已赞(0) 赞(0)

到VSYSB的流量要经过根系统的中转,因此静态路由的目的虚拟系统应该配置为根系统。
倒数第二图的静态路由目的地址是不是配置错了??
  • x
  • 常规:

点评 回复

sky60644
sky60644   发表于 2019-11-5 15:16:54 已赞(0) 赞(0)

根墙上 在配置 ip route-static vpn-instance vfw1 10.1.3.1 vpn-instance vfw2 时候,让我写网关??
这个网关是啥?
The specified VPN instance does not exist
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录