【简介】要实现两个VDOM之间能够互相访问,可以用一根网线将两个VDOM其中一个口相连,来实现两个虚拟防火墙(VDOM)之间的通信。还有一种办法,通过在防火墙内部建立虚拟链路Vlink,将两个VDOM在防火墙墙内部通过逻辑的虚拟链路进行连接。高端型号支持硬件npu-vlink来连接VDOM。
虚拟域链接
虚拟域链接只有在全局模式下才可以建立。
① 在全局状态下,选择菜单【网络】-【接口】,再点【新建】菜单,弹出的子菜单中选择【虚拟域链接】。
② 建立一个用户名,选择需要互相访问的两个VDOM,其它均为默认,点击【确认】。
③ 新建的虚拟域链接可以理解为用一根虚拟网线将VDOM-A和VDOM-B连接在一起。
VDOM-A 配置
再台防火墙相连,一般我们都要在防火墙上设置来回访问策略和回程路由。我们假设VDOM-A 的172.20.1.0网段与VDOM-B的192.168.8.0网段互相访问。
① 首先我们建立一条VDOM-B访问VDOM-A的回程路由。进入VDOM-A状态,选择菜单【网络】-【静态路由】,点击【新建】。
② 目的IP是VDOM-B的192.168.8.0网段,设备接口选择的是VDOM-A的虚拟域链接接口。可以理解为走192.168.8.0网段的数据包通地虚拟域链接到达VDOM-B。网关为默认的0.0.0.0。
③ 下一步是建立允许互相访问的策略。VDOM-A 状态下选择菜单【策略&对象】-【IPv4策略】,点击【新建】。
④ 建立VDOM-A内网LAN1接口172.20.1.0网段允许访问VDOM-B 192.168.8.0网段策略。同样,流出接口是VDOM-A的虚拟域链接接口,NAT关闭。
⑤ 再建一条允许VDOM-B通过VDOM-A虚拟域链接接口访问LAN1接口的策略。NAT启用。这样VDOM-A就设置完了。
VDOM-B 配置
和VDOM-A一样,因为是互相访问,VDOM-B也需要建一条回程路由,两条来回访问策略。
① 回程路由设置和 VDOM-A 相同。
② 允许访问 VDOM-A 策略。
③ 允许被 VDOM-A 访问策略。
检验
一台电脑接VDOM-A的LAN1口,IP地址设172.20.1.38,另一台电脑接VDOM-B的LAN1口,IP地址设192.168.8.38,互相Ping包,能Ping能表示要以互相访问。
① VDOM-A 可以访问 VDOM-B。
② VDOM-B 也可以访问 VDOM-A。
