防火墙虚拟系统
可以把一台物理防火墙配置成多个虚拟防火墙,虚拟防火墙可以管理不同部门—一虚多
虚拟系统:类似装虚拟机,在一台物理设备上划分出的多台相互独立的逻辑设备,性能低于物理设备
有自己的接口、地址集、用户/组、路由表项以及策略
—通过命令把实际接口划分给虚拟系统
—特点:管理独立、表项独立、资源固定、流量隔离
管理独立:
根管理员可以管理所有系统,每个虚拟系统可以设立自己的管理员
表项独立:
每个虚拟系统都有自己独立的路由表项
资源固定:
给虚拟系统划分各种资源,每个虚拟系统划分到的资源是固定属于该虚拟系统的
流量隔离:
虚拟系统之间流量隔离,就像三台防火墙一样
纯文本
虚拟系统VSYS(Virtual system)
vsys name vsys1 //取名
纯文本
划分好虚拟防火墙后他自动生成四个安全区域,有自己的路由表
应用场景:
大中型企业网络隔离—对不同部门之间网络隔离
云计算的安全网关—某些小中型企业的服务器、防火墙会放在云计算厂商那里,让云计算厂商运维管理,云计算厂商给不同企业的防火墙就是虚拟系统—根系统防火墙收到企业A的流量就会转给对应的虚拟系统A来处理
根系统:缺省存在的,没有做虚拟系统时他就是防火墙本身,做了虚拟系统他代表物理防火墙,没有启用虚拟系统时也是存在的—可以管理其他虚拟系统,虚拟系统创建了,根系统会继承先前防火墙上的配置
虚拟系统:在物理防火墙上划分出来的、独立运行的逻辑设备—目前仅支持静态路由虚拟化
虚拟系统与VPN实例关系:
创建虚拟系统时,会自动生成相同名字的VPN实例。底层转发依赖于该VPN实例,上层配置业务时不依赖于VPN实例。
管理员也可用ip vpn-instance命令手动创建VPN实例,用于路由隔离。
根系统管理员:管理public的系统,可以创建、管理虚拟系统管理员、可以管理根系统和任何一个虚拟系统,可以为虚拟系统分配资源,管理虚拟系统时要进入虚拟系统內才能管理
虚拟系统管理员:管理自己的虚拟系统
虚拟系统管理员用户名格式:管理员名@@虚拟系统名(admin1@@vsysa)
资源分配:
分配方式:定额分配、手工分配
定额分配(创建了虚拟系统自动划分):SSL VPN虚拟网关,安全区域。
手工分配:接口,VLAN,在线用户数,SSL VPN并发用户数,用户数,用户组,安全组数,策略数,带宽。
共享抢占资源(不分配给虚拟系统,虚拟系统需要用直接用):地址和地址组,地区和地区组,自定义服务和服务组、地址池、带宽通道、mac地址表等。
带宽限制和公网接口:
带宽资源:
—入方向流量:公网接口流向私网接口的流量,受入方向带宽限制
—出方向流量:从私网接口流向公网接口的流量,受出方向限制
—整体带宽:虚拟系统的全部流量=入方向流量+出方向流量+私网接口到私网接口流量+公网接口到公网接口流量,受整体带宽限制
私网接口—没配置set public-interface的接口
公网接口—接口上配置了set public-interface的接口
先看符不符合整体带宽要求,再看满不满足出入接口的要求
虚拟系统分流:
确定报文进入哪个虚拟系统
基于接口分流方式—接口工作在三层
基于vlan分流方式—接口工作在二层
| 基于接口分流:
将接口与虚拟系统绑定,从此接口接收到的报文就属于哪个虚拟系统
基于vlan分流:
将vlan与虚拟系统绑定,vlan內的报文送到相应的虚拟系统处理
虚拟系统互访—虚拟接口
每创建一个虚拟系统就会生成一个虚拟接口,作为与其他虚拟系统之间通信的接口,名字:virtual-if+接口号,根系统virtual-if0,其他虚拟系统从1开始
—不能配置ip地址,但是要加入安全区域
虚拟系统访问根系统:
虚拟系统查路由表缺省路由出接口为virtual-if0
用虚拟接口virtual-if1转给virtual-if0
根系统查路由表转发出去
根系统访问虚拟系统:
根系统查询路由表发现目的地址出接口为virtual-if1
转发给virtual-if1
虚拟系统转发出去
虚拟系统之间互访:
虚拟系统查询路由表发现相应网段出接口为virtual-if2
转发给virtual-if2
虚拟系统2转发出去
纯文本
web:
开启虚拟系统功能(默认是关闭的)-创建虚拟系统-配置资源类(用户、策略等)-分配接口及公共接口设定-分配vlan、配置公网ip
面板-虚拟系统-启用—系统-虚拟系统-资源类(保证值、最大值,资源类可以创建一个在多个虚拟系统中引用,资源类配置时最好比一半要用的少)-创建虚拟系统-系统-虚拟系统-创建-接口分配-设置公共接口-vlan分配-公网ip配置
资源类-保证值一定分配给虚拟系统就会被虚拟系统独占,最大值能否达到最大要看其他虚拟系统使用该资源情况
公网ip配置(此为ip地址池,不止一个地址):独享和共享,独享-不能给其他虚拟系统配置该地址,共享-能给其他虚拟系统分配,但是都不能给根系统使用
配置:
[USG6000]vsys enable 使能
resource-class resource-class-name //进入资源类视图
resource-item-limit session reserved-number ipv4-session-reserved-number [ maximum { ipv4-session-maximum-number | equal-to-reserved | unlimited } ]
//指定IPv4会话的最大值和保证值
resource-item-limit session-rate ipv4-session-rate-maximum-number
//指定IPv4新建会话速率的最大值
resource-item-limit policy reserved-number policy-reserved-number
//指定策略的保证值
resource-item-limit online-user { reserved-number online-user-reserved-number | maximum online-user-maximum-number }
//指定在线用户的保证值和最大值 仅USG6000和NGFW Module支持
resource-item-limit ssl-vpn-concurrent reserved-number ssl-vpn-concurrent-reserved-number
//指定SSL VPN并发用户的保证值 仅USG6000和NGFW Module支持
resource-item-limit user reserved-number user-reserved-number
//指定用户的保证值
resource-item-limit user-group reserved-number user-group-reserved-number
//指定用户组的保证值
resource-item-limit security-group reserved-number security-group-reserved-number
//指定安全组的保证值
resource-item-limit bandwidth bandwidth { entire | inbound | outbound }
//指定最大带宽
[USG6000]vsys name vsys-name
//创建虚拟系统,并进入虚拟系统的管理视图
[USG6000-vsys-name]assign resource-class resource-class-name
//为虚拟系统分配资源类
[USG6000-vsys-name]assign interface interface-type interface-number
//为虚拟系统分配接口资源
[USG6000-vsys-name]assign vlan vlan-id
//为虚拟系统分配VLAN资源
[USG6000-vsys-name]assign global-ip start-address end-address { exclusive | free }
//为虚拟系统分配公网IP地址
纯文本
排查:
检查对端设备状态是否正常
检查网线连接是否正确,网线本身是否存在问题
检查报文出入接口物理状态是否Up
检查报文出入接口是否都配置了IP地址,且接口协议状态是否都为Up
检查报文出入接口是否都分配给了该虚拟系统
检查虚拟系统的路由配置是否正确
检查报文出入接口是否都加入了虚拟系统的安全区域
检查报文出入接口的域间安全策略以及NAT策略是否配置正确
display vsys verbose查看接口是否分配给相关虚拟系统
排障总结:
若创建虚拟系统出现故障,一般是License未激活。 分配接口未成功,一般是接口被加入到了其他虚拟系统或者是二层接口。 当进行虚拟系统间互访时,需要配置从虚拟防火墙入接口到virtualif接口的安全策略,且虚拟接口一定要加域。 虚拟防火墙上需要配置到public的路由。 根墙同样也需要配置路由到对应的vpn-instance中。
虚拟系统注意事项:
实际配置:
vsys enable
1、配置资源类:
resource-class r1
resource-item-limit session reserved-number 1000 maximum 2000
resource-item-limit user reserved-number 200
resource-item-limit user-group reserved-number 50
resource-item-limit bandwidth 4 entire
2、创建虚拟系统并分配资源、设置公网接口
vsys name vsysa
assign resource-class r1
assign interface g1/0/0
assign interface g1/0/2
q
vsys name vsysb
assign resource-class r1
assign interface g1/0/1
assign interface g1/0/3
q
int g1/0/2
set public-interface
int g1/0/3
set public-interface
3、配置virtual-if0接口,加入安全区域
firewall zone trust
add interface virtual-if 0
4、在根系统配置虚拟系统互访的路由
ip route-static vpn-instance vsysa 1.1.2.0 255.255.255.0 vpn-instance vsysb
ip route-static vpn-instance vsysb 1.1.1.0 255.255.255.0 vpn-instance vsysa
---源vpn实例+目的网段+目的vpn实例
5、进入虚拟系统配置ip地址、安全区域、路由、安全策略、nat策略
switch vsys vsysa--进入虚拟系统
sys
int g1/0/0--配置接口ip地址
ip ad 1.1.1.1 24
int g1/0/2
ip ad 1.1.11.1 24
firewall zone trust---配置安全区域
add int g1/0/0
firewall zone untrust
add int g1/0/2
firewall zone dmz
add int virtual-if 1
ip route-static 0.0.0.0 0.0.0.0 1.1.11.11---缺省路由
ip address-set group1 type object--配置地址组
address range 1.1.1.2 1.1.1.10--地址组范围
q
security-policy--配置安全策略
rule name t-u
source zone trust
desitination zone untrust
source address address-set group1
action permit
rule name 2vsysb
source zone trust
desitination zone dmz
source address range 1.1.1.20 1.1.1.30
desitination address range 1.1.2.20 1.1.2.30
action permit
rule name vsysa2
source zone dmz
desitination zone trust
source address range 1.1.2.20 1.1.2.30
desitination address range 1.1.1.20 1.1.1.30
action permit
nat-policy
rule name vsysa
source-zone trust
desitination-zone untrust
source-address adress-set group1
action source-nat easy-ip
路由器:
配置ip地址、路由
ip route-static 1.1.1.0 24 1.1.11.1
ip route-static 1.1.2.0 24 1.1.11.2
ctrl+z切换为根系统
腾科教育是华为优秀战略合作伙伴、红帽交付培训合作伙伴、思科优秀合作伙伴、红帽年度优秀合作伙伴、Oracle亚太区优秀合作伙伴,每年协办华为、红帽等厂商技术大赛,定期举办各种技术峰会等技术交流活动。同时也是培生集团(Pearson VUE)与Prometric(普尔文)两大全球国际考试中心授权的双国际电子考试中心,提供一站式ICT认证考试服务,十年来专注于为考生提供包括华为,思科,红帽,Oracle,VMware,ITIL,微软,Citrix等数千种ICT认证考试服务,每年通过腾科教育培训并参加HCIE(华为认证专家)、RHCA(红帽认证架构师)、OCM(甲骨文认证大师)等高级职业认证考试的学员,其通过率高达94.32%。
