定义
虚拟系统是在一台物理设备上划分出的多台相互独立的逻辑设备,通过虚拟系统特性可以将一台物理设备从逻辑上划分为两个或多个虚拟系统。每个虚拟系统相当于一台真实的设备,拥有自己的接口、地址集、路由表项以及策略等资源,管理员可以对虚拟系统内部的业务和资源进行单独的配置和管理。
目的
大中型企业的网络通常环境复杂、设备数量众多,随着企业业务规模的不断增大,各业务部门的职能和权责划分也越来越清晰,且每个部门都有不同的安全需求。这将导致部署在企业网络边界处的设备配置异常复杂,增加了网络的管理难度和维护成本。
如图1所示,通过虚拟系统可以将企业网络按照不同的业务部门划分为不同的子网,在实现网络隔离的基础上控制各子网之间的安全互访,使得业务管理更加清晰和简便。
受益
通过虚拟系统特性能够使设备实现以下几个方面的虚拟化。
- 设备资源虚拟化:管理员可以为每个虚拟系统分配独享的软硬件资源并对资源的配额进行限制,在充分利用整机资源的同时避免由于某个虚拟系统的业务繁忙影响到其他虚拟系统业务的正常运行。
- 业务配置虚拟化:通过虚拟系统管理视图,管理员可以像配置一台独立的物理设备一样独立的完成虚拟系统的业务配置,简化了网络的管理模式及业务配置的复杂度,非常适合大规模的组网环境。
- 路由表项虚拟化:每个虚拟系统都拥有独立的路由表,不同虚拟系统下的子网即使使用了相同的地址范围仍然可以正常进行通信。同时,虚拟系统之间的流量相互隔离,仅在有业务需求时才能够通过配置实现安全互访。
- 安全功能虚拟化:每个虚拟系统都可以配置独立的安全策略及其他安全功能,实现对虚拟系统下局域网的安全防护,只有属于该虚拟系统的报文才会受到该虚拟系统下配置的安全功能影响。