两台虚拟防火墙如何实现互访，请描述设计和配置？（HCIE-Security面试考试必会题型之四）

两台虚拟防火墙如何实现互访，请描述设计和配置？（HCIE-Security面试考试必会题型之四）

NGFW两台虚拟防火墙如何实现互访，请描述设计和配置？

回答思路：1、什么是Virtualif接口2、路由怎么配置(1)路由设计(2)路由配置3、策略怎么配置

虚拟接口

阐述路由整体的设计思路

路由的配置方法如下

a) 在VSYSA中配置一条静态路由，目的地址是10.3.1.3，目的虚拟系统选择root b) 在根系统中配置一条静态路由，目的地址是10.3.1.3，目的虚拟系统选择VSYSBc) 在VSYSB中配置一条静态路由，目的地址是10.3.1.3，出接口是GE1/0/3。完成正向路由的配置d) 在VSYSB中配置一条静态路由，目的地址是10.3.0.0/24，目的虚拟系统选择roote) 在根系统中配置一条静态路由，目的地址是10.3.0.0/24，目的虚拟系统选择VSYSAf) 在VSYSA中配置一条静态路由，目的地址是10.3.0.0/24，出接口是GE1/0/2。完成反向路由的配置配置vsysa到达外网的路由以及到达虚拟系统用户资源的路由

[NGFW-vsysa] ip route-static 10.3.1.0 24 public [NGFW-vsysa] ip route-static 10.3.0.0 24 GigabitEthernet 1/0/2

配置vsysb到达外网的路由以及到达虚拟系统用户资源的路由

[NGFW-vsysb] ip route-static 10.3.0.0 24 public [NGFW-vsysb] ip route-static 10.3.1.0 24 GigabitEthernet 1/0/3

在根系统中配置VSYSA和VSYSB互访的路由

[NGFW] ip route-static 10.3.0.0 24 vpn-instance vsysa [NGFW] ip route-static 10.3.1.0 24 vpn-instance vsysb

安全策略的配置方法如下

a) 在VSYSA中，将接口GE1/0/2加入Trust区域、Virtualif1加入Untrust区域，配置允许Trust区域访问Untrust区域的安全策略b) 在VSYSB中，将接口GE1/0/3加入Trust区域、Virtualif2加入Untrust区域，配置允许Untrust区域访问Trust区域的安全策略c) 在理解了VSYSA和root互访的基础上，再配置root到VSYSB的安全策略和路由就可以完成VSYSA和VSYSB的互访d) 需要注意的是：根系统只根据路由表对虚拟系统之间的访问报文进行转发，不进行其他安全功能的处理，因此不需要在根系统下针对这些报文配置安全策略

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。