トランジット vsys を介した 2 つの vsys 間の通信はサポートされていません。 パケットはfirewall. フロー基本は「パケットがドロップされました。ゾーンから/へは利用できませんpolicy見上げる"Firewall宛先ゾーンを見つけることができません。
回避策
vsys1 が vsys3 経由で vsys 2 と通信したいとします。
トラフィックを vsys1 から vsys3 に移動してから、firewall . 次に、外部からのトラフィックを戻しますfirewallvsys3 に、次に vsys2 に。
Host1 が "ping 10.50.242.180" を ping しようとすると、ホスト ping が機能しません。 トラフィックはfirewall. これを機能させるには、ソース + 宛先を実行する必要がありますNATFW63 で (上記のトポロジを使用)、Host1 は 10.50.244.180 に ping する必要があります。
- VSYS1 には、1 つの外部ゾーン TrustExternal、1 つの Trust-L3 ゾーン、TrustVR があります。 VSYS1 には可視性があります VSYS
- VSYS2 には 1 つの外部ゾーン DMZExternal があり、DMZ- L3ゾーン、DMZVR . VSYS2 には VSYS3 への可視性があります
- VSYS3 には、1 つの外部ゾーン UntrustExternal 1 つの Untrust ゾーン、UntrustVR があります。 VSYS2 には、VSYS1、VSYS3 への可視性があります。
VSYS 次のように構成されています。
ゾーンは次のように構成されます。
DMZVR、TrustVR には、UntrustVR を指すデフォルト ルートがあります。 UntrustVR には、TrustVR を指す 10.50.240.0/24 のリターン ルートがあります。 UntrustVR には 10.50.242.0/24 へのリターン ルートがあります。DMZVR :
インターフェイスは次のように構成されます。
セキュリティ ポリシー
VSYS1 には次のセキュリティがあります。policyインバウンドとアウトバウンドのトラフィックを許可するには:
VSYS2 には次のセキュリティがあります。policyインバウンドとアウトバウンドのトラフィックを許可するには:
VSYS3 には以下のセキュリティがありますpolicyインバウンドとアウトバウンドのトラフィックを許可するには:
VSYS3 ソースNAT:
ここで、FW63 の元のサブネット 10.50.240.0/24、10.50.242.0/24、および VSYS3 を指す NAT されたサブネット 10.50.244.0/24、10.50.245.0/24 に 4 つのルートを追加する必要があります。
NAT FW63のルール
FiW63 が Host1 から開始された ping を受信すると、そのトラフィックのソースは 10.50.241.57 になり、宛先は 10.50.244.180 になります。 ここで、宛先を 10.50.242.180 に変更して、VSYS3 がトラフィックを Host2 に送信できるようにする必要があります。 調達する必要がありますNATFW63のインターフェースへIP. ソースならNATされていない場合VSYS firewallリターン トラフィックの送信元は 10.50.242.180 で、宛先は 10.50.241.57 であるため、トラフィックはドロップされます。