二人のコミュニケーションVSYSトランジット経由 VSYS

トランジット vsys を介した 2 つの vsys 間の通信はサポートされていません。 パケットはfirewall. フロー基本は「パケットがドロップされました。ゾーンから/へは利用できませんpolicy見上げる"Firewall宛先ゾーンを見つけることができません。

 

回避策

vsys1 が vsys3 経由で vsys 2 と通信したいとします。

 

 

トラフィックを vsys1 から vsys3 に移動してから、firewall . 次に、外部からのトラフィックを戻しますfirewallvsys3 に、次に vsys2 に。

 

Host1 が "ping 10.50.242.180" を ping しようとすると、ホスト ping が機能しません。 トラフィックはfirewall. これを機能させるには、ソース + 宛先を実行する必要がありますNATFW63 で (上記のトポロジを使用)、Host1 は 10.50.244.180 に ping する必要があります。

 

• VSYS1 には、1 つの外部ゾーン TrustExternal、1 つの Trust-L3 ゾーン、TrustVR があります。 VSYS1 には可視性があります VSYS
• VSYS2 には 1 つの外部ゾーン DMZExternal があり、DMZ- L3ゾーン、DMZVR . VSYS2 には VSYS3 への可視性があります
• VSYS3 には、1 つの外部ゾーン UntrustExternal 1 つの Untrust ゾーン、UntrustVR があります。 VSYS2 には、VSYS1、VSYS3 への可視性があります。

 

VSYS 次のように構成されています。

 

 

ゾーンは次のように構成されます。

 

DMZVR、TrustVR には、UntrustVR を指すデフォルト ルートがあります。 UntrustVR には、TrustVR を指す 10.50.240.0/24 のリターン ルートがあります。 UntrustVR には 10.50.242.0/24 へのリターン ルートがあります。DMZVR :

 

 

インターフェイスは次のように構成されます。

 

 

セキュリティ ポリシー

 

VSYS1 には次のセキュリティがあります。policyインバウンドとアウトバウンドのトラフィックを許可するには:

 

 

VSYS2 には次のセキュリティがあります。policyインバウンドとアウトバウンドのトラフィックを許可するには:

 

 

VSYS3 には以下のセキュリティがありますpolicyインバウンドとアウトバウンドのトラフィックを許可するには:

 

 

VSYS3 ソースNAT:

 

ここで、FW63 の元のサブネット 10.50.240.0/24、10.50.242.0/24、および VSYS3 を指す NAT されたサブネット 10.50.244.0/24、10.50.245.0/24 に 4 つのルートを追加する必要があります。

 

 

 

NAT FW63のルール

 

FiW63 が Host1 から開始された ping を受信すると、そのトラフィックのソースは 10.50.241.57 になり、宛先は 10.50.244.180 になります。 ここで、宛先を 10.50.242.180 に変更して、VSYS3 がトラフィックを Host2 に送信できるようにする必要があります。 調達する必要がありますNATFW63のインターフェースへIP. ソースならNATされていない場合VSYS firewallリターン トラフィックの送信元は 10.50.242.180 で、宛先は 10.50.241.57 であるため、トラフィックはドロップされます。