华为虚拟系统

概述

什么是虚拟系统，按照我的理解，虚拟系统就是防火墙上面的进程原先是一个进程在防火墙上面运作并执行相关的安全职能，但现在我们可以通过创建多个进程，以防火墙的硬件基础从逻辑上虚拟化出多个执行防火墙安全职能的进程。通过主虚拟系统向子虚拟系统分配接口，vlan，策略数等等相关系统资源，使得子虚拟系统可以在被分配了一定的系统资源后独立的对这块系统资源进行管理。其主要的作用就好比一块大土地被分割成了多块小土地，然后每个人，每个管理员所管辖的范围也仅仅限于小土地，这就减少了管理的难度，和管理的事务量。

应用场景

一个公司内的不同管理部分之间通过将一台防火墙分割成多个虚拟系统，从而起到一台防火墙由多台管理员管理，一台防火墙管理多个部分。

云计算及中心的不同租户通过防火墙的虚拟化，虚拟出不同租户的安全网关

虚拟系统

根系统

根系统是FW上缺省的虚拟系统，默认使用的就是根系统，启用虚拟系统后，根系统会继承先前FW上的配置。根系统的作用是管理其他虚拟系统，并为虚拟系统间的通信提供服务

子虚拟系统

子虚拟虚拟系统是由根系统创建出来的内容

管理员

 

在这种虚拟系统的情况下，我们创建的管理员分为根系统管理员和虚拟系统的管理员，虚拟系统的管理员由根系统管理员去创建，根系统管理员通过为虚拟系统分配系统资源给虚拟系统，在当虚拟系统管理员登陆后，就只能控制被分配到的系统资源。

虚拟系统的管理员名：管理员名@@虚拟系统名

 

虚拟系统的资源分配

虚拟系统的资源分配分为定额分配和手工分配和资源共享抢占

定额分配：不允许人为手工地指定分配的数量

手工分配：人为指定分配的资源数

共享抢占分配：大家一起共用的系统资源，抢占到了就使用

手工分配：接口，vlan，IP，策略数

定额分配：安全区域，五元组抓包，SSL VPN虚拟网关

共享抢占资源：地址和地址组，地区和地区组，NAT地址池，各种表项server-map ，arp映射

如图所示这是创建一个用于分配给虚拟系统资源类的时候可以输入并限制的内容，其中会话数就是限制某个虚拟系统的会话的数目，新建会话速率就是限制虚拟系统新建会话的速率。

我们在对虚拟系统进行出入接口带宽限制的时候，需要将接口标识为公接口，其中未进行标识的接口称为私接口，进行标识的接口称为公接口，从私接口到公接口的方向称为出方向，公接口到私接口称为入方向。

• 整体（entire）流量：虚拟系统的全部流量 = 入方向流量 + 出方向流量 + 私网接口到私网接口的流量 + 公网接口到公网接口的流量。整体流量受整体带宽的限制。

HUAWEI USG6000E 产品文档

所以我们在对虚拟系统的带宽流量进行限制的时候需要先将接口设置为公接口，然后我们就可以知道对于虚拟系统来说，哪个方向是入方向，哪个方向是出方向。

上面记录了具体的资源分配的内容

虚拟系统的分流

分流就是指数据流流入防火墙后，防火墙将如何定义该数据流是属于哪个虚拟系统

分流的方式：

基于接口分流：

顾名思义就是将接口分配给子虚拟系统，当分配给子虚拟系统的接口接收到数据流后，防火墙中的系统就会将该数据流认作是流向子虚拟系统的。

 

基于vlan

基于vlan就是将vlan分配给子虚拟系统，当接收到带有vlan标签的数据流的时候，我们就会根据该数据报文的vlan标签，判断该vlan标签到底是否是属于某个子虚拟系统

说到这个地方我觉得大家对虚拟系统已经有个大概的理解，我们通过创建虚拟子系统，创建资源类，并将资源类和虚拟子系统进行绑定，于是虚拟子系统获取到相关的系统资源后，就可以进行独立的管理和工作。那么我们现在看一下我们所说的第一个应用场景，在一个公司内部使用一台防火墙虚拟出多个子系统，每个子系统由各个部门的管理员去进行管理，那么如果要实现这个场景，那么我们就需要判断每个部门所需的大致的系统资源，然后创建出对应的部门的虚拟系统以及虚拟系统的管理员，再将虚拟系统和资源类进行绑定，最后就可以进行上线了。

虚拟系统间的互访

但是现在还没有考虑到虚拟系统之间的互访到底是如何进行的。

 每个虚拟系统都有相对应的vlanif接口，根系统的vlanif接口是vlanif0，之后每创建一个子虚拟系统，那么每个子虚拟系统都会被分配到一个vlanif接口，如果是创建的第一个子虚拟系统，那么它分配到的vlanif接口的编号就是1，第二个子虚拟系统的vlanif接口的编号就是2。根系统和子虚拟系统之间借助vlanif接口进行通信，我们不必为其分配IP地址，但是必须将vlanif接口规划到安全区域内，这样vlanif接口才可以正常的使用。

子虚拟系统间的互访

 看这个图，当PC1想要去访问PC3的时候，我们应该配置什么静态路由和什么样的安全策略？首先上面我们已经说到，vlanif接口是虚拟系统之间互相访问的媒介，同时只有将vlanif规划到安全区域后这些vlanif接口才能正常工作。所以要实现虚拟系统间的互访的第一步就是将vlanif接口规划到安全区域。当我们将各个虚拟系统的vlanif接口加入到安全区域后，我们第二个步骤就是思考如何创建虚拟系统之间的路由条目，并放行相对应的安全策略。我们来针对子虚拟系统1和子虚拟系统2之间的互访来尝试创建一下：

子虚拟系统1：ip route-static  192.168.0.0 24 public 

首先对于子虚拟系统来说，它如果要访问子虚拟系统2，那么它就需要一条去往子虚拟系统2的路由，但是它的下一条该如何确定？我们前面说了根系统是子虚拟系统之间互访的桥梁，所以我们将下一跳设置为public，也就是根系统

子虚拟系统2：ip route-static 172.25.10.0 24 public

对于子虚拟系统2来说也是一样的，它的下一条也是要设置为根系统，也就是public

根系统： ip route-static 192.168.0.0 24 vpn-instance 子虚拟系统1

               ip route-static 172.25.10.0 24 vpn-instance 子虚拟系统2 

因为根系统是一个中间人，所以它就必须知道去往两台虚拟系统的路由，所以从上面我们可以看到根系统上面有两条路由条目，且下一跳分别是子虚拟系统1和子虚拟系统2

那么它们的安全策略该如何设置？

假设所有的虚拟系统的vlanif接口都加入到dmz区域，每个虚拟系统上面都有各自的安全区域，每个虚拟系统上面都有dmz，trust区域等，它们虽然名字相同但是却不相通，也就是相互独立的。那么现在回到这边，若子虚拟系统1想要去访问子虚拟系统2，，因为我们先前创建的静态路由的下一跳是public，也就是从vlanif接口出去，又因为vlanif接口被我们规划进了dmz区域，所以我们放行内部私网所在区域到dmz区域的流量，那么对于虚拟子系统2来说，它如果要接收来自虚拟系统1的流量，那么就必须放行dmz到trust的流量，原因和子虚拟系统1差不多，因为子虚拟系统2也是从vlanif口接收子虚拟系统1的流量，而子虚拟系统1希望访问子虚拟系统2的内部，所以放行的流量是放行从dmz到trust的流量。那根系统需要设置安全策略吗？根系统因为都是从vlanif接口收，vlanif接口发，所以是同区域的流量，所以根系统不需要设置相关的安全策略。

子虚拟系统与外部主机的访问

还是拿这个图，假设PC1要去访问PC2，那么子虚拟系统1要设置的路由和根系统要设置的路由如下所示：

子虚拟系统1：ip route-static 1.1.1.0 24 public

根系统：ip route-static 172.25.10.0 24 vpn-instance 子虚拟系统1

为什么这么设置？首先子虚拟系统1要想访问外部主机，那么它就必须用静态路由指明它的路由转发路径，因为是外部主机是与根系统直连的主机，所以我们的下一跳依然是根系统public。那么对于根系统来说，因为外部主机是与它直连的，所以它并不需要设置静态路由去指定去往该主机的路由。但是回程的时候，我们必须指定相应的静态路由，下一跳是子虚拟系统1.

安全策略的设置

子虚拟系统1：放行trust -> dmz的流量，原因和上面类似

根系统：放行dmz->untrust的流量，这个是因为根系统从dmz区域的vlanif接口接收到相关流量，然后通过查路由表发现目的区域是untrust，所以需要放行dmz-->untrust的流量。

通过这样的安全区域的设置，子虚拟系统的主机就可以访问外部主机了，但是外部主机不能直接访问子虚拟系统1的主机，因为该安全策略放行的只是单方向从子虚拟系统1到外部主机。

外部主机访问子虚拟系统主机

其实这种情况，我们只需要在上面的基础上做些修改即可。首先路由就不用修改了，只要修改安全策略即可。对于子虚拟系统来说，它还要多放行dmz-->trust的流量，对于根系统来说，它还要多放行untrust-->dmz的流量。这样就可以实现外部主机到内网主机的通信。

出现的问题

引流表的出现

通过上面的设置我们会发现在加入了虚拟系统后，安全策略设置麻烦，静态路由也设置的很麻烦，而且当一个主机访问其他主机的时候都会消耗两个会话资源。所以就出现了引流表，引流表只能在根系统上面创建，命令如下所示：

firewall import-flow public 192.168.0.1 192.168.0.254 vpn-instance vsysa

这个命令表示将192.168.0.1--->192.168.0.254的主机是属于虚拟系统vsysa的。

正向匹配

当创建了引流表后，当目的地址和目的子虚拟系统匹配上后，称为正向匹配，当流量正向匹配后，将直接由引流表进行转发。不创建相应的会话表项。

反向匹配

当流量的源地址和源虚拟子系统匹配上引流表后，称为反向匹配，反向匹配的流量在根系统上不会创建会话，而直接进行路由转发。

注意：引流表只能在根系统上创建，并在根系统上使用。

虚拟系统间不经由根系统直接进行访问

我们上面说到虚拟系统间如果要互访都要借助根系统，但是也是可以设置静态路由使得虚拟系统间直接进行访问。

还是这个图，PC1要访问PC3，那么我们就可以在根系统上创建静态路由：

ip route-static vpn-instance  子虚拟系统1 192.168.0.0 24 vpn-instance 子虚拟系统2

ip route-static vpn-instance 子虚拟系统2 172.5.10.0 24 vpn-instance 子虚拟系统1

当创建这样的两条静态路由后，在子虚拟系统上面也会产生相应的路由条目，对于子虚拟系统1来说它的路由条目为：

目的网络：192.168.0.0/24  下一跳：子虚拟系统2的vlanif接口

对于子虚拟系统2来说它的路由条目为：

目的网络：172.5.10.0/24 下一跳：子虚拟系统1的vlanif接口