(一)实验简介
如图所示,某大型企业园区的区域中,部署了一台FW作为接入网关。根据权限不同,区域内网络划分为研发部门A和非研发部门B,且这两个部门的网络访问权限不同,具体需求如下:
- 研发部门,非研发部门都可以访问Internet;
- 研发部门和非研发部门之间相互隔离,但是两个部门的员工可以互访;
- 研发部门和非研发部门的业务量差不多,所以为它们分配相同的虚拟系统资源。
网络拓朴结构
(二)实验目的
- 掌握虚拟网关的组网;
- 掌握配置两个虚拟网络的互通互访;
(三)实验条件
- 一台CPU支持VT技术,内存4GB以上的计算机;
- 安装eNSP模拟器B510版,导入USG6000V镜像;
- 终端工具:SecuretyCRT,Putty,Psftp,XShell等。
(四)网络拓朴图
打开ENSP软件,按如下拓朴图创建实验环境,设置地址:
- LAN-A地址:192.168.11.0/24;
- LAN-B地址:192.168.12.0/24;
- WAN 地址:10.10.10.0/24;
- DMZ 地址:10.0.0.0/24
- Ctrl地址:192.168.0.0/24
实验9拓朴
(五)配置思路
- 配置LAN/WAN网络;
- 配置防火墙接口,安全域,安全策略;
- 配置虚拟系统,配置虚拟系统的访问策略;
(六)配置步骤
(1)配置LAN、WAN网络
(略)
参考前面的实验操作步骤。
(2)配置FW的网络及策略
(略)
以下为关键配置指令,供参考
#启用虚拟系统
vsys enable
#配置资源R1
resource-class R1
resource-item-limit bandwidth 2 inbound
resource-item-limit bandwidth 2 outbound
resource-item-limit session reserved-number 2 maximum 20
resource-item-limit policy reserved-number 50
resource-item-limit user reserved-number 3
#创建虚拟系统并分配资源。
vsys name vFW1
assign resource-class R1
assign interface GigabitEthernet 1/0/1
assign interface GigabitEthernet 1/0/3
vsys name vFW2
assign resource-class R1
assign interface GigabitEthernet 1/0/2
assign interface GigabitEthernet 1/0/4
# 配置Virtual-if0接口,并将接口加入安全区域。Virtual-if0接口上的IP地址设置为DMZ网段。
interface Virtual-if 0
ip address 10.0.0.1 24
firewall zone trust
add interface Virtual-if 0
#为虚拟系统互访的员工配置路由。
ip route-static 192.168.11.0 24 vpn-instance vFW1
ip route-static 192.168.12.0 24 vpn-instance vFW2
#为虚拟系统vFW1配置IP地址、路由、安全策略和NAT策略
#
switch vsys vFW1
system-view
interface GigabitEthernet 1/0/1
ip address 192.168.11.254 24
service-manage ping permit
interface GigabitEthernet 1/0/3
ip address 10.10.10.1 24
service-manage ping permit
interface Virtual-if 1
ip address 10.0.0.2 24
firewall zone trust
add interface GigabitEthernet 1/0/1
firewall zone untrust
add interface GigabitEthernet 1/0/3
firewall zone dmz
add interface Virtual-if1
#为虚拟系统vFW1配置访问Internet的静态路由
ip route-static 0.0.0.0 0.0.0.0 10.10.10.254
#为虚拟系统vFW1配置访问vFW2的静态路由
ip route-static 192.168.12.0 24 public
#为虚拟系统vFW1配置访问Internet的安全策略
security-policy
rule name policy_wan
source-zone trust
destination-zone untrust
action permit
rule name policy_vfw2
source-zone trust dmz
destination-zone dmz trust
action permit
#为虚拟系统vFW1配置NAT策略。
nat-policy
rule name policy_nat1
source-zone trust
egress-interface GigabitEthernet 1/0/3
action nat easy-ip
#为虚拟系统vFW2配置IP地址、路由、安全策略和NAT策略
#
switch vsys vFW2
system-view
interface GigabitEthernet 1/0/2
ip address 192.168.12.254 24
service-manage ping permit
interface GigabitEthernet 1/0/4
ip address 10.10.10.2 24
service-manage ping permit
interface Virtual-if 2
ip address 10.0.0.3 24
service-manage ping permit
firewall zone trust
add interface GigabitEthernet 1/0/2
firewall zone untrust
add interface GigabitEthernet 1/0/4
firewall zone dmz
add interface Virtual-if2
#为虚拟系统vFW1配置访问Internet的静态路由
ip route-static 0.0.0.0 0.0.0.0 10.10.10.254
#为虚拟系统vFW2配置访问vFW1的静态路由
ip route-static 192.168.11.0 24 public
#为虚拟系统vFW2配置访问Internet的安全策略
security-policy
rule name policy_wan
source-zone trust
destination-zone untrust
action permit
rule name policy_vfw1
source-zone trust dmz
destination-zone dmz trust
action permit
#为虚拟系统vFW2配置NAT策略。
nat-policy
rule name policy_nat2
source-zone trust
egress-interface GigabitEthernet 1/0/4
action nat easy-ip
(3)测试
(1)用PC1与PC2,相互ping通;
(2)分别用PC1与PC2,ping通PC3;
(七)参考资料
华为模拟器eNSP软件,
华为模拟器eNSP社区,
HCNA-Security 华为认证网络安全工程师,
HCNP-Security 华为认证网络安全资深工程师,
HUAWEI USG6000V V500R001C10SPC100 典型配置案例,
HUAWEI USG6000V V500R001C10SPC100 管理员指南,
HUAWEI USG6000V V500R001C10SPC100 命令参考 ,
华为ICT相关的英文简称 。
