配置步骤

用户VPC网络预配置

  1. 用户部署虚拟机、网络、路由器、防火墙等网元设备并互相绑定(步骤略)。

图-1 设备绑定

 

  1. 路由器设置外部网关,选择创建的公网地址池pool68(网段68.1.1.0/24vlan 168)。虚拟机源地址不做转换时,关闭“使能SNAT开关”。

图-2 设置外部网关

 

  1. 在出口交换机上创建vlan-interface168vlan为公网地址池pool68分隔ID 168,地址为公网地址池pool68网关68.1.1.1

#

interface Vlan-interface168

ip address 68.1.1.1 255.255.255.0

#

若路由器设置外部网关未使能SNAT,在交换机上配置静态路由:目的网段为虚拟机网段30.0.0.0/24,下一跳为路由器外部网关68.1.1.3

#

ip route-static 30.0.0.0 24 68.1.1.3

ip route-static 31.0.0.0 24 68.1.1.3

#

虚拟数据中心拓扑部署网元

  1. 使用admin账户登录UIS CloudOS

  1. 在“云服务”页签中的“虚拟数据中心拓扑”界面,拖动“下一代防火墙”图标到拓扑中“数据中心出口”图标上。

图-3 拖拽部署下一代防火墙

 

  1. 配置下一代防火墙参数。

图-4 配置参数

 

  1. 单击<部署>按钮完成部署。

图-5 <部署>按钮

 

图-6 部署完成后的界面

 

  1. 单击已部署的网元图标,在弹出页面,单击<登录>按钮,跳转到下一代防火墙web页面。

图-7 下一代防火墙界面

 

 

NFV网元web页面配置基础接口网络、路由等

  1. 登录下一代防火墙web页,输入用户名、密码登录,默认用户名密码为:amdin/admin

图-8 登录下一代防火墙

 

  1. 网络接口配置。单击[网络/接口/接口]菜单项,进入物理接口页面,物理接口与UIS虚拟数据中心拓扑界面网元添加的网卡顺序一致。按照组网图,ge2/0口配置地址91.1.1.2ge3/0口配置地址92.1.1.2将接口加入到对应安全域。

图-9 物理接口页面

 

图-10 Ge2/0口配置

 

图-11 Ge3/0口配置

 

  1. 路由配置。单击[网络/路由/静态路由]菜单项,进入静态路由页面。新建一条去往虚机所在网段30.0.0.0/24的静态路由,下一跳地址指向91.1.1.1;新建一条去往虚机所在网段31.0.0.0/24的静态路由,下一跳地址指向91.1.1.1;新建一条去往internet网络的静态路由,目的网段0.0.0.0/0,下一跳地址指向92.1.1.1

图-12 路由配置

 

 

 

 

  1. 防火墙策略配置。单击[策略/安全策略/新建IPV4策略]菜单项,单击页面左上角的<新建>按钮,新建IPV4策略,“动作”选择“允许”,配置允许具体的源目的网段,其他配置默认。

图-13 配置防火墙策略

 

出口交换机配置

  1. 与下一代防火墙互联接口配置。

  1. 按照拓扑图,配置与NFV网元所在UIS物理节点连接的交换机接口允许VLAN9192通过。

#

interface Bridge-Aggregation43

description NETvm

port link-type trunk

port trunk permit vlan 1 91 92

link-aggregation mode dynamic

#

  1. 新建与下一代防火墙接口互联的接口vlan-interface91

#

interface Vlan-interface91

ip address 91.1.1.1 255.255.255.0

#

  1. Internet连接接口配置。

  1. 配置与Internet连接的交换机接口允许VLAN 92通过。

#

interface Bridge-Aggregation47

port link-type trunk

port trunk permit vlan 1 92

#

  1. 与出口交换机互联的路由器设备上配置vlan92接口,地址为92.1.1.1

#

interface Vlan-interface92

ip address 92.1.1.1 255.255.255.0

#

  1. 路由配置。

  1. 用户访问外网业务到达交换机配置路由去往下一代防火墙,此处以PBR配置举例(也可配置静态路由)

#

interface Vlan-interface168

ip address 68.1.1.1 255.255.255.0

ip policy-based-route PBR_VFW

#

policy-based-route PBRtoVacg permit node 100

if-match acl name ACL_VFW

apply next-hop 91.1.1.2

#

acl number 2081 name ACL_VFW

rule 0 permit source 30.0.0.0 0.0.0.255

rule 1 permit source 31.0.0.0 0.0.0.255

#

  1. 配置Internet回城路由到达交换机后去往下一代防火墙,目的地址为虚机所在网段30.0.0.0/24,下一跳为下一代防火墙接口92.1.1.2