hcsce防火墻虛擬化和帶寬管理技術(shù)實驗

目目 實驗目 組網(wǎng)需 實驗拓撲 實驗步驟 驗證結(jié) 2帶寬管理實 在內(nèi)控與安全的場景中實施帶寬管 實驗目 組網(wǎng)需 實驗拓撲 實驗步驟 驗證結(jié) 通過虛擬系統(tǒng)企業(yè)部網(wǎng)絡管理策略，則會導致配置復雜。N作為企業(yè)網(wǎng)絡的出口網(wǎng)關(guān)，通過虛擬系統(tǒng)某中型企業(yè)A了一臺作為網(wǎng)關(guān)。由于其內(nèi)網(wǎng)員工眾多，根據(jù)權(quán)限不同劃分財經(jīng)部門Internet，研發(fā)部門只有部分員工可以 企企業(yè)內(nèi)部網(wǎng)N研發(fā)部財經(jīng)部 行政部1-1Step1VSYSA、VSYSBVSYSC，并為其分配資源。創(chuàng)建資源類r1。- um -number300[USG6000-resource-class-r1]resource-item-limituser -number300[USG6000-resource-class-r1]resource-item-limituser-group [USG6000-resource-class-r1]resource-item-limitbandwidth-ingress 和[USG6000]vsys[USG6000]vsysname[USG6000-vsys-vsysa]assigninterfaceGigabitEthernet1/0/3[USG6000]vsysnamevsysb[USG6000-vsys-vsysb]assigninterfaceGigabitEthernet1/0/4[USG6000]vsysnamevsyscStep2在根下切換至虛擬系統(tǒng)vsysa視圖[USG6000]switchvsys vsysa netweb[USG6000-vsysa-aaa]bindmanager-useradmin@@vsysarolesystem-參考上述步驟為虛擬系統(tǒng)VSYSB和VSYSC創(chuàng)建管理員“admin@@vsysb”Step3IP地址（略Step4根配置路由和相關(guān)策根系統(tǒng)管理員為內(nèi)網(wǎng)用戶Internet配置路由、安全策略和NAT策略。將根下Virtualif0接口加入Trust區(qū)域（具體步驟省略）配置根到Internet的靜態(tài)路由[USG6000]ip[USG6000]iproute-staticGigabitEthernet1/0/1配置靜態(tài)路由將VSYSA內(nèi)員工Internet的回程流量引入VSYSA[USG6000]iproute-static -instance 配置靜態(tài)路由將VSYSC內(nèi)員工Internet的回程流量引入VSYSC[USG6000]iproute-static -instance -security]rulenameNAT -nat]rulename -nat-rule-nat1]egress-interfaceGigabitEthernet1/0/1 -nat-rule-nat1]source-address16 -nat-rule-nat1]actionnateasy-Step5VSYSAIP地址、路由和安全策略。在根下切換至虛擬系統(tǒng)VSYSA視圖。[USG6000]switchvsys Virtualif1Untrust注釋：VirtualifID占用情況自動分配。所以實際配置時，可能不是Virtualif1Virtualif的對應關(guān)系可以在本系統(tǒng)的“接口列表”配置將VSYSA內(nèi)員工Internet的流量引入根系統(tǒng)的靜態(tài)路由[USG6000-vsysa]iproute-static 配置將VSYSA內(nèi)員工Internet的回程流量引入VSYSA的靜態(tài)路由[USG6000-vsysa]ip[USG6000-vsysa]iproute-staticGigabitEthernet1/0/3[USG6000-vsysa]ipaddress-setipaddress1typeobject 配置允許特定網(wǎng)段的員工Internet的安全策略以及所有員工Internet-security]rulename-security]rulenameStep6財經(jīng)部門和行政部門的管理員分別使用管理員賬號“admin@@vsysb和“admin@@vsysc”VSYSB、VSYSCIP地址、安全區(qū)IP財經(jīng)部門無需創(chuàng)建地址范圍，直接配置一條所有財經(jīng)部門地址Step1和使用根系統(tǒng)管理員賬號登錄設(shè)備Web界面。選擇“面板”，在“系統(tǒng)信息”面板中選擇“系統(tǒng)>虛擬系統(tǒng)>資源類”，單擊“新建”選擇“系統(tǒng)>虛擬系統(tǒng)>虛擬系統(tǒng)”，單擊“新建”選擇“接口分配”頁簽，單擊按鈕將接口GE1/0/3分配給VSYSAVSYSBVSYSCGE1/0/4VSYSB，將接口GE1/0/5分配給VSYSC。Step2選擇“系統(tǒng)>管理員>管理員”，單擊“新建”參考上述步驟為虛擬系統(tǒng)VSYSB和VSYSC創(chuàng)建管理員“admin@@vsysb”Step3根配置路由和相關(guān)策根系統(tǒng)管理員為內(nèi)網(wǎng)用戶Internet配置路由、安全策略和NAT策略選擇“網(wǎng)絡>接口”，單擊GE1/0/1接口對應的按鈕，按如下參數(shù)為其配置Virtualif0Trust選擇“網(wǎng)絡>路由>靜態(tài)路由”，單擊“新建”單擊“新建”，按如下參數(shù)配置靜態(tài)路由。這條靜態(tài)路由的作用是將VSYSA內(nèi)員工Internet的回程流量引入VSYSA。單擊“新建”，按如下參數(shù)配置靜態(tài)路由。這條靜態(tài)路由的作用是將VSYSC內(nèi)員工Internet的回程流量引入VSYSC。選擇“策略>安全策略>安全策略列表”，單擊“新建”，按如下參數(shù)配置安全策略。這條安全策略的作用是允許內(nèi)網(wǎng)的員工Internet。虛擬系統(tǒng)管理員可以針對內(nèi)網(wǎng)員工的IP地址配置嚴格的安全策略，所以根系統(tǒng)管理員在配置策略時選擇“策略>NAT策略>源NAT>源NAT”，單擊“新建”，按如下參數(shù)配置NAT策略。Step4VSYSAIP地址、路由和安全策略。使用虛擬系統(tǒng)A管理員賬號“admin@@vsysa”登錄設(shè)備Web界面。選擇“網(wǎng)絡>接口”，單擊GE1/0/3接口對應的按鈕，按如下參數(shù)為其配置Virtualif1Untrust注釋：VirtualifID占用情況自動分配。所以實際配置時，可能不是Virtualif1Virtualif的對應關(guān)系可以在本系統(tǒng)的“接口列表”選擇“網(wǎng)絡>路由>靜態(tài)路由”，單擊“新建”，按如下參數(shù)配置靜態(tài)路由。這條靜態(tài)路由的作用是將VSYSA內(nèi)員工 Internet的流量引入根系統(tǒng)。注釋：在本例中，對網(wǎng)絡拓撲和路由配置進行了簡化。假設(shè)VSYSA只有私網(wǎng)跟Internet“目的地址/掩碼”/，即缺省所有報送往根系統(tǒng)。實際配置時，為了保證路由信息的準確，應該將“目的地址/掩碼”配置為特定的允許的Internet地址范圍。錯誤配置路由可能導致VSYSA所連接的多個私網(wǎng)無法正常通信。單擊“新建”，按如下參數(shù)配置靜態(tài)路由。這條靜態(tài)路由是VSYSA選擇“對象>地址>地址”，單擊“新建”，按如下參數(shù) 選擇“策略>安全策略>安全策略列表”，單擊“新建”，按如下參數(shù)配置安全策略。這條安全策略的作用是允許特定網(wǎng)段的員工Internet。 Internet的策略這條策Step5財經(jīng)部門和行政部門的管理員分別使用管理員賬號“admin@@vsysb和“admin@@vsysc”登錄設(shè)備Web界面，為虛擬系統(tǒng)VSYSB、VSYSC配置IP地IP財經(jīng)部門無需創(chuàng)建地址范圍，直接配置一 所有財經(jīng)部門地行政部門無需創(chuàng)建地址范圍，直接配置一條允許所有行政部門地址問 的安全策略以及根系統(tǒng)NAT策略配置正確。 失敗，說明IP地址和VSYSB的從研發(fā)部門的內(nèi)網(wǎng)選擇一臺允許 Internet的主機，和一臺不允許Internet的主機，如果結(jié)果符合預期，說明IP地址和VSYSA的安全策略的在內(nèi)控與安全的場景中實施帶寬管通過本實驗，介紹 作為內(nèi)控與安全設(shè)備時，如何實施帶寬管理 限制，將會影響網(wǎng)絡質(zhì)量。為此，網(wǎng)絡管理員希望利用N 限制研發(fā)部的業(yè)務流量最大過5M，研發(fā)部1和研發(fā)部2可以使用的3M限制市場部的業(yè)務流量最大過6M，其中每一個員工可以使用的最大帶寬過2M。能超過200。 Web服務器的并發(fā)連接數(shù)都過6000，市場

生產(chǎn)

文件服務

N

服務器出口網(wǎng)

2-1Step1IP地址、安全區(qū)域及安全策略（略Step2[USG6000]user-managegroup/default/research[USG6000-usergroup-/default/research]quit[USG6000]user-managegroup/default/marketing[USG6000-usergroup-/default/marketing]quit[USG6000]user-manage[USG6000]user-managegroup/default/research[USG6000-usergroup-/default/research]quit[USG6000]user-managegroup/default/marketing[USG6000-usergroup-/default/marketing]quit[USG6000]user-managegroup/default/manufacture[USG6000-usergroup-/default/manufacture]quit[USG6000]user-manageuserresearch_1[USG6000-localuser-research_1]parent-group/default/research[USG6000]user-manageuserresearch_2Step3配置路由，使均可服務器區(qū)[USG6000]iproute-static Step4-traffic]profile downstream um-bandwidthper-ip um-bandwidthper-ip um-bandwidth um-bandwidth um-bandwidth -traffic]rule -traffic]rule [USG6000--traffic]rulename_research_1parent _research_1]action -traffic]rulename parent Step

_research_2]action -traffic]profile um-bandwidthper-user -traffic]rulename _marketing]source-zone -traffic]profile-traffic]profileconnection-limitper-user -traffic]rulename rule--traffic]profilerule--traffic]profileconnection-limitper-rule-traffic]rule 0 -traffic]rulename 0 Step1IP地址、安全區(qū)域及安全策略（略Step2為三個部門分別創(chuàng)建用戶組。研發(fā)部門創(chuàng)建兩個用戶Step3配置路由，使均可服務器區(qū)Step4選擇“策略>帶寬管理>帶寬通道”。單擊“新建”單擊“確定”單擊“新建”，按如下參數(shù)配置單擊“確定”單擊“新建”，按如下參數(shù)配置單擊“確定”選擇“策略>帶寬管理>帶寬策略”。單擊“新建”單擊“確定”單擊“新建”，按如下參數(shù)配置單擊“確定”單擊“新建”，按如下參數(shù)配置單擊“確定”Step5選擇“策略>帶寬管理>帶寬通道”。單擊“確定”選擇“策略>帶寬管理>帶寬策略”。