目录
虚拟系统基本概念
1.虚拟系统(Virtual System)指的是一台物理设备上划分出的多台相互独立的逻辑设备——虚拟系统之间可以实现网络隔离
2.每台逻辑设备相当于一台真实的设备,有自己的接口、地址集、用户/组、路由表项以及策略,并可通过虚拟系统管理员进行配置和管理。
3.可以从逻辑上将一台FW设备划分为多个虚拟系统,也就是多个FW设备
虚拟系统和VPN实例的关系
虚拟系统和VPN实例在应用上的区别
虚拟系统主要作用是业务隔离和路由隔离
VPN实例主要作用是路由隔离
虚拟系统和VPN实例之间的联系
虚拟系统在创建时会自动生成VPN实例,不过相比于手动创建VPN实例的路由隔离功能还多了业务隔离的功能
FW上VPN实例的两种形态
创建虚拟系统时自动生成的VPN实例——VPN实例名称和虚拟系统名称相同
手动创建VPN实例——一般用在MPLS场景中,用于路由隔离
虚拟系统两种类型
根系统(Public)
FW上缺省存在的一个特殊的虚拟系统
当虚拟系统未开启时,管理员对FW的配置就是对根系统的配置,FW的管理员就是根系统的管理员
当虚拟系统开启时,根系统会继承先前FW的配置,FW上已有的管理员将成为根系统的管理员
根管理员可以管理根系统和虚拟系统的配置
虚拟系统(VSYS)
虚拟系统就是从FW上划分出来的、独立运行的逻辑设备
虚拟系统的管理员需要有根系统管理员进行创建,其只能管理所属虚拟系统的配置,不可以管理其他虚拟系统
用户名统一格式:管理员名@@虚拟防火墙名
虚拟系统资源分配
合理分配资源单个虚拟系统的资源进行约束,使得资源利用率达到最高
虚拟系统资源分配方法
定额分配
此类资源不支持用户手动分配,直接按照系统规格自动分配固定的资源数
资源类型包括:
1、SSL VPN虚拟网关
根系统最多可创建的虚拟网关数量受整机规格限制
单个虚拟系统最多4个虚拟网关(每个虚拟网关支持3个虚拟地址)
所有虚拟系统和根系统最多可创建的虚拟网关数量不超过整机规格。
2、安全区域
根系统和虚拟系统的安全区域规格相同,最多支持100个安全区域
根系统和虚拟系统均拥有4个缺省的安全区域
3、五元组抓包队列
根系统有4个抓包队列。
单个虚拟系统有2个抓包队列
手工分配
此类资源用户可以通过命令行或者Web界面进行分配
手工分配的配置额度
1、保证值
虚拟系统可使用的某项资源的最小数量
一旦分配,会由此虚拟系统独占
2、最大值
虚拟系统可使用的某项资源的最大数量
公网接口
当通过资源类来限制虚拟系统的带宽资源时,虚拟系统的流量统计是基于公网接口统计的
注意事项
此处的公网接口不是指FW连接Internet的接口
在接口下配置了set public-interface就是公网接口,没有配置的就是私网接口
在跨虚拟系统转发场景中Virtual-if接口默认为公网接口
流量统计方法
入方向(inbound)流量:
从公网接口流向私网接口的流量。受入方向带宽的限制。
出方向(outbound)流量:
从私网接口流向公网接口的流量。
整体(entire)流量:
虚拟系统的全部流量 = 入方向流量 + 出方向流量 + 私网接口到私网接口的流量 + 公网接口到公网接口的流量。
虚拟系统分流
基本概念
通过分流能够将进入设备的报文送入正确的虚拟系统处理
分流方法
三层——基于接口分流
将接口与虚拟系统绑定后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。
二层——基于Vlan分流
将VLAN与虚拟系统绑定后,该VLAN内的报文都将被送入与其绑定的虚拟系统进行处理。
大二层——基于VNI分流
将VNI(VXLAN Network Identifier)与虚拟系统绑定后, FW根据VXLAN头中VNI以及VNI与虚拟系统的绑定关系,决定解封装后的报文送入哪个虚拟系统处理。
注意:
VNI与虚拟系统绑定后,对应的Vbdif接口也会随VNI分配给相应的虚拟系统。
虚拟系统中,报文的入接口为Vbdif接口。
虚拟系统互访场景
虚拟接口概念
虚拟系统之间互访、虚拟系统和根系统之间互访都是通过虚拟接口实现的
注意事项:
虚拟接口的链路层和协议层始终是UP的
虚拟接口必须配置IP地址并加入安全区域,否则无法工作——(但是在实际模拟器上实验时没有配置IP地址也可以实现,但是必须要加入安全区域)
根系统的虚拟接口名为Virtual-if0,其他虚拟系统的Virtual-if接口号从1开始自动分配
引流表概念
基本概念——根系统使用的表
记录的是IP地址和虚拟系统的归属关系(支持IPV4和IPV6)
当有多个虚拟系统时,根系统可以通过引流表找到对应的虚拟系统
报文命中引流表的两种情况
正向命中:
当根系统去访问虚拟系统时,如果目的地址匹配到引流表“Destination Address”字段,正向命中引流表,根系统就按照引流表转发报文,将报文送到对应虚拟系统
反向命中:
当虚拟系统去访问跟系统时,当源地址匹配到引流表的“Destination Address”字段,报文反向命中引流表,根系统就按照路由表转发报文
注意事项
报文命中引流表时,根系统不再按照防火墙转发流程处理报文,而是按路由表或引流表直接转发报文。
根系统中不需要为命中引流表的报文配置策略,根系统也不会为命中引流表的报文创建会话。
虚拟系统与根系统互访
需要在根系统和虚拟系统上配置相应的路由和安全策略
会使用到路由表和引流
路由配置
客户A连接虚拟系统,客户B连接根系统(以A去B为例子)
虚拟系统配置去客户端A和去根系统的路由(去、回都配)
根系统配置去客户端B的路由,配置关于虚拟系统的引流表
工作图
根系统访问虚拟系统(正向)
虚拟系统访问根系统(反向)
两个虚拟系统之间直接互访
缺省FW虚拟系统之间是互相隔离的,不同虚拟系统下的主机不能通信
如果有互访的需求,就需要配置相应的路由和安全策略
只通过路由表就可以互访
路由配置
客户A连接虚拟系统A,客户B连接虚拟系统B(以A去B为例子)
虚拟系统A配置去虚拟系统B和去客户1的路由
虚拟系统B配置去虚拟系统A和去客户2的路由
工作图
两个虚拟系统之间跨共享虚拟系统互访
在两个虚拟系统之间增加一个共享虚拟系统(Shared-vsys)作为路由中转,实现两个虚拟系统之间的互访
同一报文最多被中转三次
路由配置
客户A连接虚拟系统A,客户B连接虚拟系统B,企业内网连接共享系统(以A去B为例子)
虚拟系统A配置去共享虚拟系统和网络A的路由
共享虚拟系统配置去虚拟系统B的路由
虚拟系统B配置去网络B的路由
工作图
1277
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
