1.VirtualWire簡介
Virtual Wire模式可以在不改變原有網絡拓撲結構的情況下,實現安全。需要兩個接口爲一組進行綁定。可以實現所有的安全防護功能,支持NAT。同時可以實現安全區域間VLAN Tag的控制。
- 該模式下支持的功能:App-ID、decryption、NAT、Content-ID、User-ID
- 配置步驟:
- 創建Virtual Wire object
- 配置Virtual Wire中的接口
2.實驗目的
- 理解Virtual Wire的原理
- 掌握Virtual Wire的配置
- 靈活運用該模式
3.實驗拓撲信息
序號 | 設備名稱 | 接口 | 接口信息 | 備註 |
---|---|---|---|---|
1 | R1 | E0/0 | 10.0.0.1/24 | |
2 | SW1 | E0/1 | VLAN2 | |
E0/2 | Trunk | |||
3 | SW2 | E0/1 | VLAN2 | |
E0/2 | Trunk | |||
4 | PA | E1/1 | Virtual Wire | 區域:Untrust |
E1/2 | Virtual Wire | 區域:Trust | ||
5 | R2 | E0/1 | 10.0.0.2/24 | 開啓telnet |
4.實驗步驟
4.1 網絡設備初始化配置
- R1&R2配置接口IP,R2開啓Telnet
R1:
------------
en
conf t
interface e0/0
ip address 10.0.0.1 255.255.255.0
no shutdown
R2:
------------
en
conf t
hostname R1
interface e0/0
ip address 10.0.0.2 255.255.255.0
no shutdown
exit
line vty 0 4
password cisco
- SW1&SW2創建VLAN2,並配置接口E0/1和E0/2
SW1:
------------
en
conf t
hostname SW1
vlan 2
exit
interface e0/1
switch mode access
no shutdown
exit
interface Ethernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
exit
================================================
SW2:
------------
en
conf t
hostname SW2
vlan 2
exit
interface e0/1
switch mode access
no shutdown
exit
interface Ethernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
exit
4.2 PaloAlto配置VirtualWire
- 創建Virtual Wire組
-
創建Zone Trust和Untrust
- 將E1/1和E1/2劃入規劃好的Zone和Virtual Wire組,並設置模式爲Virtual Wire
【Network】--【Interfaces】
4.3 配置策略,放行Untrust到Trunst
【Policy】-【Security】
說明:配置完成後,記得Commit
5.測試及結論
- 從R1 Telnet R2測試