通过虚拟系统隔离企业部门(二层接入)
组网需求
如图所示,某中型企业A购买一台防火墙作为网关。由于其内网员工众多,根据权限不同划分为研发部门、财经部门、行政部门三大网络。需要分别配置不同的安全策略。具体要求如下:
企业网络已经部署完成,不希望改变原来的网络拓扑,需要设备以二层模式接入网络。
财经部门禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门则全部可以访问Internet。
三个部门的业务量差不多,所以为它们分配相同的虚拟系统资源。
数据规划
操作步骤
配置GE0/0/1和GE0/0/2为Trunk接口,并将接口加入VLAN。
# 使用根系统管理员账号登录FW。
# 创建VLAN。
<FW> system-view
[FW] vlan 10
[FW-vlan-10] quit
[FW] vlan 20
[FW-vlan-20] quit
[FW] vlan 30
[FW-vlan-30] quit
# 配置接口。
[FW] interface GigabitEthernet 0/0/1
[FW-GigabitEthernet0/0/1] portswitch
[FW-GigabitEthernet0/0/1] port link-type trunk
[FW-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 30
[FW-GigabitEthernet0/0/1] quit
[FW] interface GigabitEthernet 0/0/2
[FW-GigabitEthernet0/0/2] portswitch
[FW-GigabitEthernet0/0/2] port link-type trunk
[FW-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20 30
[FW-GigabitEthernet0/0/2] quit根系统管理员分别创建虚拟系统vsysa、vsysb和vsysc,并为其分配VLAN。
# 开启虚拟系统功能。
[FW] vsys enable
# 配置资源类。
[FW] resource-class r1
[FW-resource-class-r1] resource-item-limit session reserved-number 10000 maximum 50000
[FW-resource-class-r1] resource-item-limit policy reserved-number 300
[FW-resource-class-r1] resource-item-limit user reserved-number 300
[FW-resource-class-r1] resource-item-limit user-group reserved-number 10
[FW-resource-class-r1] quit
# 创建虚拟系统并分配资源。
[FW] vsys name vsysa
[FW-vsys-vsysa] assign resource-class r1
[FW-vsys-vsysa] assign vlan 10
[FW-vsys-vsysa] quit
[FW] vsys name vsysb
[FW-vsys-vsysb] assign resource-class r1
[FW-vsys-vsysb] assign vlan 20
[FW-vsys-vsysb] quit
[FW] vsys name vsysc
[FW-vsys-vsysc] assign resource-class r1
[FW-vsys-vsysc] assign vlan 30
[FW-vsys-vsysc] quit根系统管理员为虚拟系统创建管理员。
# 根系统管理员为虚拟系统vsysa创建管理员“admin@@vsysa”。
[FW] switch vsys vsysa
<FW-vsysa> system-view
[FW-vsysa] aaa
[FW-vsysa-aaa] manager-user admin@@vsysa
[FW-vsysa-aaa-manager-user-admin@@vsysa] password
Enter Password:
Confirm Password:
[FW-vsysa-aaa-manager-user-admin@@vsysa] service-type web telnet ssh
[FW-vsysa-aaa-manager-user-admin@@vsysa] level 15
[FW-vsysa-aaa-manager-user-admin@@vsysa] quit
[FW-vsysa-aaa] bind manager-user admin@@vsysa role system-admin
[FW-vsysa-aaa] quit
[FW-vsysa] quit
<FW-vsysa> quit
参考上述步骤为虚拟系统vsysb和vsysc创建管理员“admin@@vsysb”和“admin@@vsysc”。研发部门的管理员为虚拟系统vsysa配置安全区域和安全策略。
# 使用虚拟系统vsysa管理员账号“admin@@vsysa”登录设备,登录后先修改密码,然后再进行下面的操作。
# 配置安全区域。
<vsysa> system-view
[vsysa] firewall zone trust
[vsysa-zone-trust] add interface GigabitEthernet 0/0/2
[vsysa-zone-trust] quit
[vsysa] firewall zone untrust
[vsysa-zone-untrust] add interface GigabitEthernet 0/0/1
[vsysa-zone-untrust] quit
# 配置地址组。
[vsysa] ip address-set ipaddress1 type object
[vsysa-object-address-set-ipaddress1] address range 10.3.0.2 10.3.0.10
[vsysa-object-address-set-ipaddress1] quit
# 配置安全策略,这条安全策略的作用是允许特定网段的员工访问Internet。
[vsysa] security-policy
[vsysa-policy-security] rule name to_internet
[vsysa-policy-security-rule-to_internet] source-zone trust
[vsysa-policy-security-rule-to_internet] destination-zone untrust
[vsysa-policy-security-rule-to_internet] source-address address-set ipaddress1
[vsysa-policy-security-rule-to_internet] action permit
[vsysa-policy-security-rule-to_internet] quit
# 配置安全策略,这条安全策略的作用是禁止所有员工访问Internet的策略。这条策略的优先级将比前一条低,所以不需要详细指定地址范围。
[vsysa-policy-security] rule name to_internet2
[vsysa-policy-security-rule-to_internet2] source-zone trust
[vsysa-policy-security-rule-to_internet2] destination-zone untrust
[vsysa-policy-security-rule-to_internet2] action deny
[vsysa-policy-security-rule-to_internet2] quit
[vsysa-policy-security] quit财经部门和行政部门的管理员分别使用管理员账号“admin@@vsysb”和“admin@@vsysc”登录设备,为虚拟系统vsysb、vsysc配置IP地址、安全区域及策略。
具体配置过程与研发部门类似,主要有以下几点区别。
o 财经部门直接配置一条禁止10.3.1.2~10.3.1.254地址段访问Internet的安全策略即可。
o 行政部门直接配置一条允许10.3.2.2~10.3.2.254地址段访问Internet的安全策略即可。
结果验证
•从研发部门的内网选择一台允许访问Internet的主机,和一台不允许访问Internet的主机,如果访问结果符合预期,说明vsysa的安全策略的配置正确。
• 从财经部门的内网主动访问Internet,如果访问失败,说明vsysb的安全策略配置正确。
• 从行政部门的内网主动访问Internet,如果能够访问成功,说明vsysc安全策略配置正确。
