在eNSP模拟器上配置usg6000v的虚拟系统

拓扑图

设备选型

研发部门、非研发部门终端设备为PC型终端设备

FW1设备为USG6000型号防火墙

LSW1设备为S3700型交换机

ISP路由器设备为AR2220型号路由器

Cloud设备为其他设备中的Cloud设备，主要用于桥接虚拟网卡实现对USG6000v的WEB界面操作

配置思路

1.完成终端设备的网络参数配置以及ISP路由器的接口IP以及重命名

2.登录USG6000v设备的CLI，修改管理接口（G/0/0/0）的IP地址并开启https管理功能

3.选择合适的虚拟网卡完成桥接（物理PC的虚拟网卡和FW1的G0/0/0口之间）

4.登录FW1的Web管理界面，使能虚拟系统功能并创建资源类以及虚拟系统

5.分别进入不同的虚拟系统进行接口的IP地址以及安全区域的配置

6.配置不同虚拟系统下的底层路由，可以使用缺省指向ISP路由器，同时需要在ISP路由器上回指静态路由；同时在根系统创建两个虚拟系统互访的静态路由

7.分别在不同的虚拟系统下配置符合业务需求的安全策略以及NAT策略

操作步骤

1.完成终端设备以及ISP路由器的基本配置（重命名+接口IP）
研发部门终端：

非研发部门终端：

ISP路由器：

sysnameISP#interfaceGigabitEthernet0/0/0ip address10.0.0.3255.255.255.0#interfaceLoopBack0ip address1.1.1.1255.255.255.0

2.登录FW1设备的CLI，修改管理接口（G/0/0/0）的IP地址并开启https管理功能，并使用Cloud设备进行桥接，完成FW1设备的Web管理界面的登录
FW1设备管理接口配置：

sysname FwinterfaceGigabitEthernet0/0/0ip address192.168.10.1255.255.255.0//修改地址使其和虚拟网卡处在同一个网段service-manage https permit//开启接口下的https管理功能

Cloud设备配置：

注：具体的桥接过程可以参考博客：https://qiuhualin.blog.csdn.net/article/details/117393665 中的“操作步骤”的第5-6步：
Web管理界面登录：

3.在Web界面上开启虚拟系统功能，并完成资源类以及虚拟系统的创建

虚拟系统功能开启：

资源类的创建：


虚拟系统的创建：




注：非研发部的虚拟系统创建步骤同上

4.分别进入不同的虚拟系统进行接口的IP地址以及安全区域的配置

切换虚拟系统到研发部系统：

接口地址和安全区域配置：

其余接口配置流程一致，达到以下效果（Virtualif接口的IP可以不用设置）：

注：非研发部系统的接口IP以及安全区域的配置参考上述流程

5.配置不同虚拟系统下的底层路由，建议使用缺省指向ISP路由器，同时需要在ISP路由器上回指静态路由

根系统创建去往外网的缺省路由：

根系统创建研发部访问非研发部的静态路由：

根系统创建非研发部访问研发部的静态路由：

研发部去往外网缺省路由配置：

注：非研发部虚拟系统的配置同上

ISP路由器回指静态路由：

ip route-static10.0.10.0255.255.255.010.0.0.2ip route-static10.0.20.0255.255.255.010.0.0.1

6.分别在不同的虚拟系统下配置符合业务需求的安全策略以及NAT策略

（1）研发部访问外网的安全策略配置

可访问外网的地址区间配置：

研发部访问外网安全策略配置：

（2）研发部访问外网的NAT策略配置

（3）非研发部访问外网的安全策略配置

（4）研发部与非研发部之间特定地址的互访安全策略配置

互访地址对象创建：

互访安全策略配置：

注：非研发部相关配置参考研发部（在非研发部虚拟系统之内创建相同的地址对象和安全策略即可）

结果验证

1.研发部特定地址区间访问外网：


2.非研发部访问外网

3.研发部和非研发部使用特定地址（主机位为100的地址）互访