码迷,mamicode.com
首页 > 其他好文 > 详细

两台虚拟防火墙如何实现互访,请描述设计和配置?(HCIE-Security面试考试必会题型之四)

时间:2020-09-03 16:38:17      阅读:46      评论:0      收藏:0      [点我收藏+]

标签:配置ip   virt   ethernet   路由   static   外网   自动   考试   数据包   

NGFW两台虚拟防火墙如何实现互访,请描述设计和配置?

回答思路:
1、什么是Virtualif接口
2、路由怎么配置
(1)路由设计
(2)路由配置
3、策略怎么配置

虚拟接口

虚拟接口是创建虚拟系统时系统自动为其创建的一个逻辑接口作为虚拟系统自身与其他虚拟系统之间通信的接口。与设备上其他的接口不同的是,虚拟接口不配置IP地址也能生效。虚拟接口名的格式为“Virtualif+接口号”根系统的虚拟接口名为Virtualif0其他虚拟系统的Virtualif接口号从1开始,根据系统中接口号占用情况自动分配 虚拟接口注意:可以不配置IP地址,但一定要划ZONE
技术图片

阐述路由整体的设计思路

虚拟系统之间互访是通过根系统中转实现的。如图所示,VSYSA中的用户要访问VSYSB中的Server,需要通过VSYSA访问根系统,再通过根系统访问VSYSB来实现
技术图片
用户访问Server(10.3.0.0-10.3.1.3)将数据包发送到默认网关,数据包进来之后就会被打上虚拟系统的标签(***-instance),到达虚拟系统A后,虚拟系统A上首先要有到10.3.1.3/32的路由,因此第一步在虚拟墙上要配置到10.3.1.3的路由。这条路由的下一跳是指向根防火墙的(public/root),这里只能配静态路由,虚拟系统是不支持动态路由的。此时数据包将会从虚拟墙A的virtualif1接口发出,送到根防火墙的virutalif0(virutalif0永远属于根防火墙)接口,(virtualif接口可以不配地址但是必须要加入到安全区域)。第二步,在根防火墙配置到10.3.1.3的路由,下一跳指向虚拟系统B(***-instance vsysB),数据包到达虚拟FWB,虚拟FWB上有到10.1.3.3的直连路由,因此数据包转发。同理,从Server到用户端,需要配置回程路由

路由的配置方法如下

a) 在VSYSA中配置一条静态路由,目的地址是10.3.1.3,目的虚拟系统选择root
b) 在根系统中配置一条静态路由,目的地址是10.3.1.3,目的虚拟系统选择VSYSB
c) 在VSYSB中配置一条静态路由,目的地址是10.3.1.3,出接口是GE1/0/3。完成正向路由的配置
d) 在VSYSB中配置一条静态路由,目的地址是10.3.0.0/24,目的虚拟系统选择root
e) 在根系统中配置一条静态路由,目的地址是10.3.0.0/24,目的虚拟系统选择VSYSA
f) 在VSYSA中配置一条静态路由,目的地址是10.3.0.0/24,出接口是GE1/0/2。完成反向路由的配置
配置vsysa到达外网的路由以及到达虚拟系统用户资源的路由

[NGFW-vsysa] ip route-static 10.3.1.0 24 public
[NGFW-vsysa] ip route-static 10.3.0.0 24 GigabitEthernet 1/0/2

配置vsysb到达外网的路由以及到达虚拟系统用户资源的路由

[NGFW-vsysb] ip route-static 10.3.0.0 24 public 
[NGFW-vsysb] ip route-static 10.3.1.0 24 GigabitEthernet 1/0/3 

在根系统中配置VSYSA和VSYSB互访的路由

[NGFW] ip route-static 10.3.0.0 24 ***-instance vsysa 
[NGFW] ip route-static 10.3.1.0 24 ***-instance vsysb 

安全策略的配置方法如下

a) 在VSYSA中,将接口GE1/0/2加入Trust区域、Virtualif1加入Untrust区域,配置允许Trust区域访问Untrust区域的安全策略
b) 在VSYSB中,将接口GE1/0/3加入Trust区域、Virtualif2加入Untrust区域,配置允许Untrust区域访问Trust区域的安全策略
c) 在理解了VSYSA和root互访的基础上,再配置root到VSYSB的安全策略和路由就可以完成VSYSA和VSYSB的互访
d) 需要注意的是:根系统只根据路由表对虚拟系统之间的访问报文进行转发,不进行其他安全功能的处理,因此不需要在根系统下针对这些报文配置安全策略

两台虚拟防火墙如何实现互访,请描述设计和配置?(HCIE-Security面试考试必会题型之四)

标签:配置ip   virt   ethernet   路由   static   外网   自动   考试   数据包   

原文地址:https://blog.51cto.com/13817711/2523097

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!