案例一
如圖整個拓撲的架構如圖所示,上面藍色的是子虛拟系統1,它配置設定了一個實體接口g1/0/0,在虛拟子系統1上面利用實作NAPT使得内網使用者可以通路外網,同時在子虛拟系統1上面實作nat server使得192.168.0.1的伺服器可以對外提供服務。
下面紫色的是子虛拟系統2,它也配置設定了一個實體接口g1/0/1,在虛拟子系統2上面同樣利用NAPT使得内網的主機可以通路外網,同時在虛拟子系統使用no-reverse的nat server,使得内網主機可以被外部主機通路。
根系統的出口接口是g1/0/2,兩個虛拟子系統通過根系統的出接口将封包進行轉發至外部主機,同時保證外部主機可以内部所有的虛拟主機。
在配置虛拟系統的時候,我們都要将一台防火牆看作n+1的模式,什麼叫n+1的模式,就是n個虛拟子系統+1個根系統,虛拟子系統和根系統之間通過vlanif接口進行通信。如下圖所示:
是以我們在制定相關的安全政策和路由的時候,不能在單單将防火牆看作獨立,單一的裝置,我們必須考慮到防火牆的虛拟系統的存在。
第一步
我們需要建立相關的資源類,資源類就是一個可手工配置設定的系統資源的集合。資源類的存在減少了重複配置設定的次數,使得資源配置設定更加的靈活和友善。建立完資源類後,我們需要建立虛拟系統,然後将資源類進行綁定,綁定的過程就先當與是給該虛拟子系統配置設定資源,同時為了實作分流的效果,我們還需要給該系統配置設定接口或者vlan。在該案例中,我們按照要求配置設定實體接口給虛拟系統。在資源和接口或者vlan都配置設定完畢後,我們還要配置設定公網位址給虛拟子系統,然後該案例的虛拟系統就差不多完成了。但是我們還差一個東西就是給虛拟系統建立管理者,我覺得比較友善的就是直接登入web防火牆的web界面,然後切換到虛拟子系統,在系統-->管理者視圖下,建立管理者名@@該虛拟系統名,建立這樣的一個虛拟系統的管理者,然後我們在根系統下面開啟stelnet的server服務,進入user-interface vty 0 4視圖,放行ssh的流量,授權模式為aaa.這樣一個虛拟系統的資源,和管理者就都建立完成了。
第二步
當虛拟子系統都建立完後,我們就需要思考如何才能滿足虛拟子系統借助根系統實作源NAT和NATserver的效果,以及虛拟系統之間的互相通路。首先我們先來思考虛拟系統之間的通路,要實作虛拟的系統之間的通路,那麼就必須在虛拟子系統上配置去往其他虛拟子系統的路由,是以我的規劃是在虛拟子系統上配置預設路由,如果有不認識的資料封包那麼就發送給public根系統,每個虛拟子系統上面都建立這樣的一個路由條目,但是這樣僅僅解決的是虛拟子系統的路由問題,我們還需要解決的問題就是根系統上面的路由問題,在解決根系統的路由問題的時候,我們可以建立引流表或者是建立靜态路由,雖然引流表很友善,但是有的時候會出現一些問題,比如IPsec的流量在進入防火牆内部的時候,IPsec解封裝後已經錯過了使用引流表的機會了,是以這個時候如果沒有配置相應的靜态路由那麼将導緻IPsec的流量無法進行轉發,同時如果我們有流量想要借助IPsec進行轉發,那麼如果錯誤的配置了引流表,也将導緻流量直接被引流表進行轉發而無法被IPsec子產品引用。是以在這種沒有配置IPsec的情況,我們使用引流表表示各個虛拟子系統的IP位址。當完成了根系統上面的引流表和各個虛拟子系統上面預設路由後,再結合适合的安全政策後,就可以實作各個虛拟子系統之間的互訪了。那麼安全政策該如何配置?首先對于子系統來說,它去往其他區域的流量都是從vlanif接口出去的,是以隻要放行内部主機所在區域到vlanif接口所在區域的流量即可。對于根系統來說,因為流量都是從vlanif接收和轉發的,是以并不需要配置相對應的安全政策。
第三步
那麼現在要解決的問題就是虛拟子系統如何實作源NAT和nat server,首先我們先不考慮太多,在虛拟子系統上面将源NAT和nat server的配置完成,使用的就是根系統配置設定給虛拟子系統的IP資源。配置完成後,我們要考慮的問題就是路由和安全政策,首先我們先考慮子系統主機到外部主機的流向,我們知道防火牆是根據路由表來判定該封包的源目區域的,因為對于根系統來說虛拟子系統的封包的源區域是從vlanif接口接收到的,而封包的目的IP是外部主機,是以我們需要放行根系統vlanif接口所在的區域到封包目的IP所在區域的流量。對于虛拟子系統來說,它要放行内部私網主機到vlanif接口所在區域的流量,這樣的話就實作了内部主機NAT到外部主機的安全政策的放行。同時因為子虛拟系統的封包進行了NAT轉換,是以我們要保證封包回程的時候要有相對應的路由,是以我們要在根系統上建立去往相對應位址池的靜态路由。這樣就實作了虛拟子系統的源NAT的功能。那麼虛拟子系統的NAT server該如何實作,首先放行根系統上面去往虛拟子系統的nat server公布的公網位址的流量,然後配置去往虛拟子系統nat server公布的公網位址的靜态路由。就可以了。