在eNSP模拟器上配置usg6000v的虚拟系统
- 拓扑图
- 设备选型
- 配置思路
- 操作步骤
- 结果验证
拓扑图
设备选型
研发部门、非研发部门终端设备为PC型终端设备
FW1设备为USG6000型号防火墙
LSW1设备为S3700型交换机
ISP路由器设备为AR2220型号路由器
Cloud设备为其他设备中的Cloud设备,主要用于桥接虚拟网卡实现对USG6000v的WEB界面操作
配置思路
1.完成终端设备的网络参数配置以及ISP路由器的接口IP以及重命名
2.登录USG6000v设备的CLI,修改管理接口(G/0/0/0)的IP地址并开启https管理功能
3.选择合适的虚拟网卡完成桥接(物理PC的虚拟网卡和FW1的G0/0/0口之间)
4.登录FW1的Web管理界面,使能虚拟系统功能并创建资源类以及虚拟系统
5.分别进入不同的虚拟系统进行接口的IP地址以及安全区域的配置
6.配置不同虚拟系统下的底层路由,可以使用缺省指向ISP路由器,同时需要在ISP路由器上回指静态路由;同时在根系统创建两个虚拟系统互访的静态路由
7.分别在不同的虚拟系统下配置符合业务需求的安全策略以及NAT策略
操作步骤
1.完成终端设备以及ISP路由器的基本配置(重命名+接口IP)
研发部门终端:
非研发部门终端:
ISP路由器:
sysname ISP
#
interface GigabitEthernet0/0/0
ip address 10.0.0.3 255.255.255.0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.02.登录FW1设备的CLI,修改管理接口(G/0/0/0)的IP地址并开启https管理功能,并使用Cloud设备进行桥接,完成FW1设备的Web管理界面的登录
FW1设备管理接口配置:
sysname Fw
interface GigabitEthernet0/0/0
ip address 192.168.10.1 255.255.255.0 //修改地址使其和虚拟网卡处在同一个网段
service-manage https permit //开启接口下的https管理功能Cloud设备配置:
注:具体的桥接过程可以参考博客: 中的“操作步骤”的第5-6步:
Web管理界面登录:
3.在Web界面上开启虚拟系统功能,并完成资源类以及虚拟系统的创建虚拟系统功能开启:
资源类的创建:
虚拟系统的创建:
注:非研发部的虚拟系统创建步骤同上
4.分别进入不同的虚拟系统进行接口的IP地址以及安全区域的配置
切换虚拟系统到研发部系统:
接口地址和安全区域配置:
其余接口配置流程一致,达到以下效果(Virtualif接口的IP可以不用设置):
注:非研发部系统的接口IP以及安全区域的配置参考上述流程
5.配置不同虚拟系统下的底层路由,建议使用缺省指向ISP路由器,同时需要在ISP路由器上回指静态路由
根系统创建去往外网的缺省路由:
根系统创建研发部访问非研发部的静态路由:
根系统创建非研发部访问研发部的静态路由:
研发部去往外网缺省路由配置:
注:非研发部虚拟系统的配置同上
ISP路由器回指静态路由:
ip route-static 10.0.10.0 255.255.255.0 10.0.0.2
ip route-static 10.0.20.0 255.255.255.0 10.0.0.16.分别在不同的虚拟系统下配置符合业务需求的安全策略以及NAT策略
(1)研发部访问外网的安全策略配置
可访问外网的地址区间配置:
研发部访问外网安全策略配置:
(2)研发部访问外网的NAT策略配置
(3)非研发部访问外网的安全策略配置
(4)研发部与非研发部之间特定地址的互访安全策略配置互访地址对象创建:
互访安全策略配置:
注:非研发部相关配置参考研发部(在非研发部虚拟系统之内创建相同的地址对象和安全策略即可)
结果验证
1.研发部特定地址区间访问外网:
2.非研发部访问外网
3.研发部和非研发部使用特定地址(主机位为100的地址)互访
