在eNSP模拟器上配置usg6000v的虚拟系统
作者:互联网
在eNSP模拟器上配置usg6000v的虚拟系统
拓扑图
设备选型
研发部门、非研发部门终端设备为PC型终端设备
FW1设备为USG6000型号防火墙
LSW1设备为S3700型交换机
ISP路由器设备为AR2220型号路由器
Cloud设备为其他设备中的Cloud设备,主要用于桥接虚拟网卡实现对USG6000v的WEB界面操作
配置思路
1.完成终端设备的网络参数配置以及ISP路由器的接口IP以及重命名
2.登录USG6000v设备的CLI,修改管理接口(G/0/0/0)的IP地址并开启https管理功能
3.选择合适的虚拟网卡完成桥接(物理PC的虚拟网卡和FW1的G0/0/0口之间)
4.登录FW1的Web管理界面,使能虚拟系统功能并创建资源类以及虚拟系统
5.分别进入不同的虚拟系统进行接口的IP地址以及安全区域的配置
6.配置不同虚拟系统下的底层路由,可以使用缺省指向ISP路由器,同时需要在ISP路由器上回指静态路由;同时在根系统创建两个虚拟系统互访的静态路由
7.分别在不同的虚拟系统下配置符合业务需求的安全策略以及NAT策略
操作步骤
1.完成终端设备以及ISP路由器的基本配置(重命名+接口IP)
研发部门终端:
非研发部门终端:
ISP路由器:
sysname ISP
#
interface GigabitEthernet0/0/0
ip address 10.0.0.3 255.255.255.0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.0
2.登录FW1设备的CLI,修改管理接口(G/0/0/0)的IP地址并开启https管理功能,并使用Cloud设备进行桥接,完成FW1设备的Web管理界面的登录
FW1设备管理接口配置:
sysname Fw
interface GigabitEthernet0/0/0
ip address 192.168.10.1 255.255.255.0 //修改地址使其和虚拟网卡处在同一个网段
service-manage https permit //开启接口下的https管理功能
Cloud设备配置:
注:具体的桥接过程可以参考博客:https://qiuhualin.blog.csdn.net/article/details/117393665 中的“操作步骤”的第5-6步:
Web管理界面登录:
3.在Web界面上开启虚拟系统功能,并完成资源类以及虚拟系统的创建
虚拟系统功能开启:
资源类的创建:
虚拟系统的创建:
注:非研发部的虚拟系统创建步骤同上
4.分别进入不同的虚拟系统进行接口的IP地址以及安全区域的配置
切换虚拟系统到研发部系统:
接口地址和安全区域配置:
其余接口配置流程一致,达到以下效果(Virtualif接口的IP可以不用设置):
注:非研发部系统的接口IP以及安全区域的配置参考上述流程
5.配置不同虚拟系统下的底层路由,建议使用缺省指向ISP路由器,同时需要在ISP路由器上回指静态路由
根系统创建去往外网的缺省路由:
根系统创建研发部访问非研发部的静态路由:
根系统创建非研发部访问研发部的静态路由:
研发部去往外网缺省路由配置:
注:非研发部虚拟系统的配置同上
ISP路由器回指静态路由:
ip route-static 10.0.10.0 255.255.255.0 10.0.0.2
ip route-static 10.0.20.0 255.255.255.0 10.0.0.1
6.分别在不同的虚拟系统下配置符合业务需求的安全策略以及NAT策略
(1)研发部访问外网的安全策略配置
可访问外网的地址区间配置:
研发部访问外网安全策略配置:
(2)研发部访问外网的NAT策略配置
(3)非研发部访问外网的安全策略配置
(4)研发部与非研发部之间特定地址的互访安全策略配置
互访地址对象创建:
互访安全策略配置:
注:非研发部相关配置参考研发部(在非研发部虚拟系统之内创建相同的地址对象和安全策略即可)
结果验证
1.研发部特定地址区间访问外网:
2.非研发部访问外网
3.研发部和非研发部使用特定地址(主机位为100的地址)互访
标签:usg6000v,ISP,eNSP,系统,配置,研发部,虚拟,路由器,模拟器 来源: https://blog.csdn.net/qq_37633855/article/details/117598963