例2:VSYS在二层流量转发中的应用(通过共享VSwitch)
设备为某企业提供服务。其中,部门A使用VSYS-a,部门B使用VSYS-b。端口ethernet0/0为VSYS-a的专有接口,端口ethernet0/7为VSYS-b的专有接口。部门A和部门B共享端口ethernet0/3,并通过该接口访问企业内部某服务器。组网图如下:
通过创建共享VSwitch和相应的安全策略实现二层流量转发,逻辑示意图如下:
请按照以下步骤进行配置:
第一步:配置根VSYS的端口ethernet0/3。
- 从页面左侧导航树选择并点击“配置
网络网络连接”,进入网络连接配置页面。
- 点击接口列表中ethernet0/3相对应的『编辑』按钮,弹出<接口配置>对话框。具体配置信息如下:
- 点击『确定』按钮保存所做配置。
第二步:创建VSYS-a和VSYS-b,并配置根VSYS的VSwitch1为共享VSwitch、l2-trust安全域为共享安全域。
- 从页面左侧导航树选择并点击“配置网络虚拟系统”,进入虚拟系统配置页面。
- 点击列表左上角的『新建』按钮,弹出<配置>对话框。配置如下:
- 名称:vsys-a
- 接口绑定:在<可选项目>列表中选中ethernet0/0,点击『物理导入』按钮
- 配额:从下拉菜单中选择default-vsys-profile
- 点击『确定』按钮保存所做配置。
- 点击列表左上角的『新建』按钮,弹出<配置>对话框。配置如下:
- 名称:vsys-b
- 接口绑定:在<可选项目>列表中选中ethernet0/7,点击『物理导入』按钮
- 配额:从下拉菜单中选择default-vsys-profile
- 点击『确定』按钮保存所做配置。
- 点击列表左上角的『共享配置』按钮,弹出<共享配置>对话框。
- 在『虚拟交换机』标签页,选中VSwitch1并点击『共享』按钮。
- 在『安全域』标签页,选中l2-trust并点击『共享』按钮。
- 点击『关闭』关闭<共享配置>对话框。
第三步:配置VSYS-a。
- 从页面左侧导航树选择并点击“配置网络虚拟系统”,进入虚拟系统配置页面。
- 在VSYS列表中点击VSYS-a,进入VSYS-a虚拟系统页面并配置VSYS-a。
- 从VSYS-a页面左侧导航树选择并点击“配置网络网络连接”,进入网络连接配置页面。
- 点击右栏『虚拟交换机』,在<虚拟交换机列表>窗口点击『新建』按钮,弹出<虚拟交换机配置>对话框。
- 在<虚拟交换机名称>文本框中输入“2”,并点击『确定』按钮保存所做配置。新创建的vswitch2出现在VSwitch列表中。
- 点击安全域列表中的『新建』按钮,弹出<安全域配置>对话框。具体配置信息如下:
- 安全域名称:a-l2
- 类型:二层安全域
- 虚拟交换机:vswitch1
- 点击『确定』按钮保存所做配置。
- 点击接口列表中ethernet0/0相对应的『编辑』按钮,弹出<接口配置>对话框。具体配置信息如下:
- 点击『确定』按钮保存所做配置。
- 从VSYS-a页面左侧导航树选择并点击“配置安全策略”,进入策略页面。
- 点击列表左上方的『新建』按钮,弹出<策略配置>对话框。具体配置信息如下:
- 源安全域:a-l2
- 目的安全域:l2-trust
- 源地址:Any
- 目的地址:Any
- 服务簿:Any
- 行为:允许
- 点击『确定』按钮保存所做配置。
第四步:配置VSYS-b。
- 从页面左侧导航树选择并点击“配置网络虚拟系统”,进入虚拟系统配置页面。
- 在VSYS列表中点击VSYS-b,进入VSYS-b虚拟系统页面并配置VSYS-b。
- 从VSYS-b页面左侧导航树选择并点击“配置网络网络连接”,进入网络连接配置页面。
- 点击右栏『虚拟交换机』,在<虚拟交换机列表>窗口点击『新建』按钮,弹出<虚拟交换机配置>对话框。
- 在<虚拟交换机名称>文本框中输入“3”,并点击『确定』按钮保存所做配置。新创建的vswitch3出现在VSwitch列表中。
- 点击安全域列表中的『新建』按钮,弹出<安全域配置>对话框。具体配置信息如下:
- 安全域名称:b-l2
- 类型:二层安全域
- 虚拟交换机:vswitch1
- 点击『确定』按钮保存所做配置。
- 点击接口列表中ethernet0/7相对应的『编辑』按钮,弹出<接口配置>对话框。具体配置信息如下:
- 点击『确定』按钮保存所做配置。
- 从VSYS-b页面左侧导航树选择并点击“配置安全策略”,进入策略页面。
- 点击列表左上方的『新建』按钮,弹出<策略配置>对话框。具体配置信息如下:
- 源安全域:b-l2
- 目的安全域:l2-trust
- 源地址:Any
- 目的地址:Any
- 服务簿:Any
- 行为:允许
- 点击『确定』按钮保存所做配置。