两人之间的沟通VSYS通过中转 VSYS

不支持通过传输 vsys 在两个 vsys 之间进行通信。 数据包将被丢弃firewall. 流量基本会显示“数据包丢弃，来自/到区域不可用policy抬头“Firewall将无法找到目标区域。

 

解决方法

假设 vsys1 想通过 vsys3 与 vsys 2 通信。

 

 

将流量从 vsys1 移到 vsys3，然后移出firewall. 现在从外部带回流量firewall到 vsys3，然后到 vsys2。

 

当 Host1 尝试 ping“ping 10.50.242.180”时，主机 ping 不起作用。 流量将被丢弃firewall. 为了使这项工作我们必须做源+目的地NAT在 FW63 上（使用上面的拓扑）和 Host1 应该 ping 到 10.50.244.180。

 

• VSYS1有一个外部区域TrustExternal，一个Trust-L3区域，TrustVR。 VSYS1 具有可见性 VSYS
• VSYS2 有一个外部区域 DMZExternal，一个DMZ-L3区，DMZVR . VSYS2 对 VSYS3 具有可见性
• VSYS3有1个外部区UntrustExternal 1个Untrust区，UntrustVR。 VSYS2对VSYS1、VSYS3具有可见性

 

VSYS 配置如下：

 

 

区域配置如下：

 

DMZVR, TrustVR 有一个默认路由指向 UntrustVR。 UntrustVR 有一条返回路由 10.50.240.0/24 指向 TrustVR。 UntrustVR 有一条 10.50.242.0/24 指向的返回路由DMZVR:

 

 

接口配置如下：

 

 

安全策略

 

VSYS1 具有以下安全性policy允许入站和出站流量：

 

 

VSYS2 具有以下安全性policy允许入站和出站流量：

 

 

VSYS3 具有以下安全性policy允许入站和出站流量：

 

 

VSYS3源码NAT:

 

现在我们必须在 FW63 原始子网 10.50.240.0/24、10.50.242.0/24 和 NATed 子网 10.50.244.0/24、10.50.245.0/24 上添加 4 条路由，指向 VSYS3：

 

 

 

NAT FW63规则

 

当 FiW63 收到从 Host1 发起的 ping 时，该流量的源将为 10.50.241.57，目标将为 10.50.244.180。 现在我们必须将目标更改为 10.50.242.180，以便 VSYS3 将流量发送到 Host2。 我们必须来源NAT到FW63的接口IP. 如果源NAT没有完成然后VSYS firewall将丢弃流量，因为返回流量的源为 10.50.242.180，目标为 10.50.241.57。