实验需求： 在防火墙上部署虚拟化，隔离不同的部门，为不同部门实行精细化管理。各部门在网段规划时，由于是各部门内部自己管理，所以出现部门间同网段问题，现要求解决部门间通信及与互联网通信问题。 实验拓扑： 基础要求： 熟悉防火墙虚拟化基础原理 熟悉防火墙不同虚拟系统间，不同网段间通信的流程 熟悉防火墙NAT原理，包括源NAT及NAT Server 实验步骤： 1、 按图所示，配置防火墙及路由器基础配置，包括IP地址配置（防火墙连接PC的主机地址为.254，面向R1的主机地址为.1），安全区域规划，虚拟接口安全区域规划如下图。 2、由于各部门处于相同网段，所以各部门会出现内部PC IP地址完全重复的问题。如下图，将PC1-PC2地址分别设置为192.168.10.1/24。 3、 首先解决部门间通信问题。 目前由于各PC地址完全重复，所以根本无法直接通信。如果要实现PC1到PC2的通信，我们可以在VFW2上部署NAT Server，转换目的IP，然后在VFW1上部署源NAT，转换源IP。在虚拟系统上部署NAT时，需要提前在各系统上绑定公网IP。如下图： 4、 实现PC1到PC2的通信。 在VFW1上配置源nat. 此处地址池的地址为上面在虚拟系统上绑定的公网IP。然后配置NAT策略，如下图： 到此实现了PC1发送数据到根系统时，源地址转换为NAT池中的IP。现解决目的地址冲突问题。在VFW2上配置NAT Server，如下图： 至此，PC1要与PC2通信时，目的地址就被转换为100.1.1.20. 5、 由于在虚拟系统上增加了两个公网IP，所以需要在根系统上，配置路由信息，保证数据到达根系统后，能正确回传给各虚拟系统。如下图： 在VFW1—>VFW2上分别放行安全策略之后，进行PC间连通性测试。如下图。 从图中可以看到PC1 ping PC2时，目的地址为PC2转换之后的地址100.1.1.20.通过抓包我们能看到，报文到达PC2时，源地址为PC1转换之后的地址。 至此，解决了部门间通信问题。 6、 接下来解决各部门与互联网通信问题。 由于我们已经在VFW1上配置了源NAT，如果在PC1上去ping internet时，肯定会实现源IP的转换，那我们尝试直接去ping互联网IP。 测试图如下： 发现在PC1上ping测并没有成功，从抓包情况分析，我们发现R1上频繁发送ARP解析请求。说明数据已经发送到了R1上，但R1在回包时，由于无法解析目标MAC，导致报文丢弃。解决方法，在防火墙上开启ARP代理。 开启ARP代理后，防火墙代替目的PC完成ARP回应。测试成功。 VFW2配置同样的源NAT策略后，测试成功。 实验总结： 在防火墙虚拟化部署过程中，最好实现网段规划的统一性，如果出现各部门网段一致的情况，需要在各虚拟系统上分别做源NAT和NAT Server，来解决此问题。在为各系统部署NAT时，需要先绑定公网IP，才能部署NAT，并且在互联网访问时，也可以直接复用此公网IP。