1.VirtualWire简介
Virtual Wire模式可以在不改变原有网络拓扑结构的情况下,实现安全。需要两个接口为一组进行绑定。可以实现所有的安全防护功能,支持NAT。同时可以实现安全区域间VLAN Tag的控制。
- 该模式下支持的功能:App-ID、decryption、NAT、Content-ID、User-ID
- 配置步骤:
- 创建Virtual Wire object
- 配置Virtual Wire中的接口
2.实验目的
- 理解Virtual Wire的原理
- 掌握Virtual Wire的配置
- 灵活运用该模式
3.实验拓扑信息
| 序号 |
设备名称 |
接口 |
接口信息 |
备注 |
| 1 |
R1 |
E0/0 |
10.0.0.1/24 |
|
| 2 |
SW1 |
E0/1 |
VLAN2 |
|
|
|
E0/2 |
Trunk |
|
| 3 |
SW2 |
E0/1 |
VLAN2 |
|
|
|
E0/2 |
Trunk |
|
| 4 |
PA |
E1/1 |
Virtual Wire |
区域:Untrust |
|
|
E1/2 |
Virtual Wire |
区域:Trust |
| 5 |
R2 |
E0/1 |
10.0.0.2/24 |
开启telnet |
4.实验步骤
4.1 网络设备初始化配置
R1:
------------
en
conf t
interface e0/0
ip address 10.0.0.1 255.255.255.0
no shutdown
R2:
------------
en
conf t
hostname R1
interface e0/0
ip address 10.0.0.2 255.255.255.0
no shutdown
exit
line vty 0 4
password cisco
- SW1&SW2创建VLAN2,并配置接口E0/1和E0/2
SW1:
------------
en
conf t
hostname SW1
vlan 2
exit
interface e0/1
switch mode access
no shutdown
exit
interface Ethernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
exit
================================================
SW2:
------------
en
conf t
hostname SW2
vlan 2
exit
interface e0/1
switch mode access
no shutdown
exit
interface Ethernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
exit
4.2 PaloAlto配置VirtualWire
- 创建Virtual Wire组
4.3 配置策略,放行Untrust到Trunst
【Policy】-【Security】
说明:配置完成后,记得Commit
5.测试及结论