26、单FWSM实现不同安全区域的域间通信

单FWSM实现不同安全区域的域间通信

在数据中心环境中，防火墙集成后，不同安全区域之间的域间通信变得十分常见。下面将详细介绍如何通过单个FWSM实现不同安全区域的域间通信，以及相关的配置和路由学习方法。

1. 多上下文模式下的域间通信场景

在企业网络中，FWSM可配置为多上下文路由模式，并在第3层下一跳进行VRF终止，以实现分区和路由隔离。例如，在图中所示的场景里，存在一个公共安全域（VRF COM），以及部门1（DEPT1）和部门2（DEPT2）两个独立的安全域（分别表示为不同的VRF）。

当数据包从DEPT1访问DEPT2时，它会先经过DEPT1上下文，然后到达VRF COM，接着进入DEPT2上下文，最终抵达DEPT2的路由域。此场景假设安全策略允许上下文之间的IP数据包流动。

2. 配置PFC

PFC被配置为每个安全域中FWSM的第3层下一跳设备，通过使用第3层VPN技术隔离路由表来实现。具体配置步骤如下：
1. 定义代表每个安全域的VRF ：

ip vrf COM
 rd 1:1   
 route-target export 1:101
 route-target import 1:101
!
ip vrf DEPT1
 rd 1:2
 route-target export 1:102
 route-target import 1:102
!
ip vrf DEPT2
 rd 1:3
 route-target export 1:103
route-target import 1:103