防火墙虚拟系统简介

虚拟系统简介

定义

虚拟系统是在一台物理设备上划分出的多台相互独立的逻辑设备，通过虚拟系统特性可以将一台物理设备从逻辑上划分为两个或多个虚拟系统。每个虚拟系统相当于一台真实的设备，拥有自己的接口、地址集、路由表项以及策略等资源，管理员可以对虚拟系统内部的业务和资源进行单独的配置和管理。

目的

大中型企业的网络通常环境复杂、设备数量众多，随着企业业务规模的不断增大，各业务部门的职能和权责划分也越来越清晰，且每个部门都有不同的安全需求。这将导致部署在企业网络边界处的设备配置异常复杂，增加了网络的管理难度和维护成本。

如图1所示，通过虚拟系统可以将企业网络按照不同的业务部门划分为不同的子网，在实现网络隔离的基础上控制各子网之间的安全互访，使得业务管理更加清晰和简便。

图1 虚拟系统常见组网

受益

通过虚拟系统特性能够使设备实现以下几个方面的虚拟化。

• 设备资源虚拟化：管理员可以为每个虚拟系统分配独享的软硬件资源并对资源的配额进行限制，在充分利用整机资源的同时避免由于某个虚拟系统的业务繁忙影响到其他虚拟系统业务的正常运行。
• 业务配置虚拟化：通过虚拟系统管理视图，管理员可以像配置一台独立的物理设备一样独立的完成虚拟系统的业务配置，简化了网络的管理模式及业务配置的复杂度，非常适合大规模的组网环境。
• 路由表项虚拟化：每个虚拟系统都拥有独立的路由表，不同虚拟系统下的子网即使使用了相同的地址范围仍然可以正常进行通信。同时，虚拟系统之间的流量相互隔离，仅在有业务需求时才能够通过配置实现安全互访。
• 安全功能虚拟化：每个虚拟系统都可以配置独立的安全策略及其他安全功能，实现对虚拟系统下局域网的安全防护，只有属于该虚拟系统的报文才会受到该虚拟系统下配置的安全功能影响。

根系统与虚拟系统

虚拟系统的分类

图2 虚拟系统划分的逻辑示意图

设备上存在两种类型的虚拟系统，分别称作根系统（public）和虚拟系统(vsys)，其中：

• 根系统是设备上缺省存在的一个特殊的虚拟系统，其作用是管理其他虚拟系统，包括为虚拟系统分配资源、为虚拟系统间的通信提供服务等。即使虚拟系统功能未启用，根系统也依然存在。此时，管理员对设备进行配置等同于对根系统进行配置。启用虚拟系统功能后，根系统会继承先前设备上的配置。
• 虚拟系统是指在设备上划分出来的独立运行的逻辑设备，需要在根系统下创建并为其分配资源。

如果设备上未配置虚拟系统，则报文进入设备后直接根据根系统的策略和表项（会话表、MAC地址表、路由表等）进行处理；如果设备上配置了虚拟系统，则每个虚拟系统都相当于一台独立的设备，报文进入虚拟系统后会依据虚拟系统内的策略和表项进行处理。

虚拟系统与VPN实例

设备通过虚拟系统能够实现资源、业务及转发的虚拟化，其中，实现虚拟系统之间路由隔离的底层转发的虚拟化是通过VPN实例来实现的。

VPN实例

VRF（Virtual Routing Forwarding）是一种在计算机网络中广泛使用的技术，它通过隔离路由表将一台物理路由器虚拟成多台相互独立的逻辑路由器，这些逻辑路由器也称作VPN实例（VPN Instance），相同或重叠的IP地址可以在不同的VPN实例下不冲突地使用，以达到转发业务的隔离和网络资源的最大化利用。

设备支持VPN实例，VPN实例有RD（Route Distinguisher）和VRF-ID两个属性：

• 不同VPN实例通过RD值区分相同的地址前缀来实现路由的隔离；
• 不同VPN实例通过VRF-ID值划分资源、配置和业务。

通过display ip vpn-instance verbose命令可以查看VPN实例的RD和VRF-ID值，回显信息中的Service ID取值即为VPN实例的VRF-ID值，Route Distinguisher取值即为VPN实例的RD值。

<HUAWEI> display ip vpn-instance verbose 
Total VPN-Instances configured : 1   
Total IPv4 VPN-Instances configured : 1  
Total IPv6 VPN-Instances configured : 0  

VPN-Instance Name and ID : vpn1, 1  
 Description : vrf1  
 Service ID : 123
 Interfaces : LoopBack1 
Address family ipv4    
 Create date : 2019/10/01 10:00:00 UTC-08:00    
 Up time : 0 days, 00 hours, 00 minutes and 00 seconds  
 Route Distinguisher : 100:1
 Export VPN Targets :  1:1  
 Import VPN Targets :  1:1
 ......

虚拟系统与VPN实例的关系

虚拟系统特性缩小了VPN实例的应用范畴，实现各个虚拟系统之间路由隔离的底层转发业务依然依赖于VPN实例的RD值来实现；而资源、配置及业务的隔离则依赖于VSYS ID来实现。

图3 虚拟系统与VPN实例的逻辑关系示意图

设备使用VSYS ID来区分不同的虚拟系统，这是虚拟系统实现资源、配置和业务虚拟化的关键。每个虚拟系统都有且仅有一个唯一的VSYS ID值，VSYS ID可以在创建虚拟系统时指定，如果未指定VSYS ID，则设备会在虚拟系统创建时自动为虚拟系统分配一个未被占用的VSYS ID值。

通过display vsys命令可以查看虚拟系统的VSYS ID值，回显信息中的ID取值即为虚拟系统的VSYS ID值。

<HUAWEI> display vsys
Total Virtual system Configured: 2  Remained : 4093 
--------------------------------------------------------- 
Name      ID      Startup Time       
--------------------------------------------------------- 
public    0       2019/10/01 00:00:00 
vsysa     1       2019/10/01 00:00:00 
---------------------------------------------------------