NGFW两台虚拟防火墙如何实现互访,请描述设计和配置? 回答思路:
1、什么是Virtualif接口
2、路由怎么配置
(1)路由设计
(2)路由配置
3、策略怎么配置
虚拟接口
【华为防火墙|两台虚拟防火墙如何实现互访,请描述设计和配置((HCIE-Security面试考试必会题型之四))】虚拟接口是创建虚拟系统时系统自动为其创建的一个逻辑接口,作为虚拟系统自身与其他虚拟系统之间通信的接口。与设备上其他的接口不同的是,虚拟接口不配置IP地址也能生效。虚拟接口名的格式为“Virtualif+接口号”,根系统的虚拟接口名为Virtualif0,其他虚拟系统的Virtualif接口号从1开始,根据系统中接口号占用情况自动分配 虚拟接口注意:可以不配置IP地址,但一定要划ZONE
文章图片
阐述路由整体的设计思路
虚拟系统之间互访是通过根系统中转实现的。如图所示,VSYSA中的用户要访问VSYSB中的Server,需要通过VSYSA访问根系统,再通过根系统访问VSYSB来实现
文章图片
用户访问Server(10.3.0.0-10.3.1.3)将数据包发送到默认网关,数据包进来之后就会被打上虚拟系统的标签(***-instance),到达虚拟系统A后,虚拟系统A上首先要有到10.3.1.3/32的路由,因此第一步在虚拟墙上要配置到10.3.1.3的路由。这条路由的下一跳是指向根防火墙的(public/root),这里只能配静态路由,虚拟系统是不支持动态路由的。此时数据包将会从虚拟墙A的virtualif1接口发出,送到根防火墙的virutalif0(virutalif0永远属于根防火墙)接口,(virtualif接口可以不配地址但是必须要加入到安全区域)。第二步,在根防火墙配置到10.3.1.3的路由,下一跳指向虚拟系统B(***-instance vsysB),数据包到达虚拟FWB,虚拟FWB上有到10.1.3.3的直连路由,因此数据包转发。同理,从Server到用户端,需要配置回程路由
路由的配置方法如下 a) 在VSYSA中配置一条静态路由,目的地址是10.3.1.3,目的虚拟系统选择root
b) 在根系统中配置一条静态路由,目的地址是10.3.1.3,目的虚拟系统选择VSYSB
c) 在VSYSB中配置一条静态路由,目的地址是10.3.1.3,出接口是GE1/0/3。完成正向路由的配置
d) 在VSYSB中配置一条静态路由,目的地址是10.3.0.0/24,目的虚拟系统选择root
e) 在根系统中配置一条静态路由,目的地址是10.3.0.0/24,目的虚拟系统选择VSYSA
f) 在VSYSA中配置一条静态路由,目的地址是10.3.0.0/24,出接口是GE1/0/2。完成反向路由的配置
配置vsysa到达外网的路由以及到达虚拟系统用户资源的路由
[NGFW-vsysa] ip route-static 10.3.1.0 24 public
[NGFW-vsysa] ip route-static 10.3.0.0 24 GigabitEthernet 1/0/2配置vsysb到达外网的路由以及到达虚拟系统用户资源的路由
[NGFW-vsysb] ip route-static 10.3.0.0 24 public
[NGFW-vsysb] ip route-static 10.3.1.0 24 GigabitEthernet 1/0/3 在根系统中配置VSYSA和VSYSB互访的路由
[NGFW] ip route-static 10.3.0.0 24 ***-instance vsysa
[NGFW] ip route-static 10.3.1.0 24 ***-instance vsysb 安全策略的配置方法如下
a) 在VSYSA中,将接口GE1/0/2加入Trust区域、Virtualif1加入Untrust区域,配置允许Trust区域访问Untrust区域的安全策略
b) 在VSYSB中,将接口GE1/0/3加入Trust区域、Virtualif2加入Untrust区域,配置允许Untrust区域访问Trust区域的安全策略
c) 在理解了VSYSA和root互访的基础上,再配置root到VSYSB的安全策略和路由就可以完成VSYSA和VSYSB的互访
d) 需要注意的是:根系统只根据路由表对虚拟系统之间的访问报文进行转发,不进行其他安全功能的处理,因此不需要在根系统下针对这些报文配置安全策略
