本帖最后由 Turnura 于 2023-2-22 17:14 编辑
AF新模块“虚拟系统”上线后,实现了一台AF做几台用,分别隔离上网区域,分别管理,大大提升了防火墙功能上限及其可用性,也有了更加细致化的管理方式。场景:客户两个办公区域相同网段,要求互相隔离,两边分别做管理。 win10_1:10.1.1.1/24 win10_2:10.1.1.1/24 AF_eth1:10.1.1.254/24 AF_eth2:10.1.1.254/24 AF_eth3:172.16.0.99/16(对接超融合物理出口真实IP) 下面开始具体配置 进入AF中,在【系统】-【虚拟系统】-【虚拟系统管理】中新建名为"vsys1"的虚拟系统,并给其分配防火墙物理接口eth1 进入vsys1中,给我们的网口分配地址及区域。需要注意的是此处的eth1即为我们win10_1的网关地址。需要同网段 ,但在我们的虚拟系统与真实系统的来回转发中,我们都可以使用自己任意制定的私网地址。 然后设置虚拟接口,如下 在逻辑上这个虚拟出口就是我们虚拟系统的WAN口了,但虚拟系统的WAN口也属于public真实系统的内部虚接口(可以不太恰当的理解为两台防火墙之间的心跳线数据通信线,只供内部通信),所以我们可以设置任意IP,我这里设置为10.5.5.5/24。 然后从eth1口进来的流量需要被我们引到public系统中,由public系统帮我们去转发,所以我们还需要设置相应的路由及SNAT。但我们无法直接转发到public的真实接口上,所以我们还需要在public上设置虚接口,如下
这里可以理解为vsys1是public的客户端,vsysif0接口就是public和vsys1对接的LAN口,所以区域为内网信任区(注意区域逻辑一定要清晰,否则会导致后期地址转换不生效或极少匹配。) 然后我们回到vsya1中设置对应的路由及SNAT策略。 路由我们只需要加一条缺省路由,全部引到public真实系统中。 SNAT中我们需要把从eth1口(L3_trust_A)进来的地址转化成虚拟接口地址(L3_untrust_A)。 最后我们把ACL控制策略全开 截止这里,vsys1的配置就全部完成了,我们可以从客户端ping通vsys1的接口地址,但还无法上网(public配置未完成)。 接下来我们继续完成public真实系统的配置 在SNAT中我们将从vsysif0进来去外网区的流量全部转化为出口的地址。 然后我们写public的路由 先写一条出口路由,将从虚拟系统来去外网的流量转发到我们的真实网关 再写一条给vsys1回包的路由 最后将public的ACL策略全开 截止到这里我们的win10_1就可以正常访问互联网了(注意检查主机有没有设置DNS服务器和网关或防火墙的DNS服务器,出口地址有没有填写) 下面同样的步骤我们继续设置vsys2 创建vsys2,把public的eth2口分配给我们的vsys2 进入vsys2,给eth2口分配地址区域。为了避免大家搞混系统,所以这里选择B区。目前vsys1内选择的区域都是A区,vsys2的都是B区,public的就是C区。但实际上他们相互之间没有冲突,vsys1和vsys2内都可以选择相同的区域,大家在逻辑上把他们分为三个不同的防火墙就很容易理解了。 接下来我们给vsys2设置虚拟接口 然后是路由 地址转换与ACL 然后我们在vsys2上的配置就结束了,去配置public 因为之前在public上已经设置过从public的虚拟路由器vsysif0上来的流量全部转到出口,vsys1和vsys2又全部指向了vsysif0,所以这里我们只需要设置vsys2的回包路由即可。地址转换策略也同理。 目前两个区域的主机都可以实现走各自的虚拟系统访问互联网。 然后我们在vsys1中新建管理员用户 我们用win10_1登录上去看一下 成功实现。下面在vsys2再创建一个管理员账户给vsys2系统使用 我们登上去看一下 我们可以看到两套系统是各自隔离管理的。 自此配置全部完成。上述配置如有遗漏的大家可以评论区补充哈。 画了一个简单的逻辑拓扑,方便大家从逻辑上理解这三套系统的逻辑结构。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2023-3-4 13:47
发表于 2023-2-22 18:07
技术员3级 
