防火墙学习4---虚拟系统相关概念介绍

备注：本人学习华为防火墙的笔记记录方式，如有错误，请指出。

一、虚拟系统简介

防火墙的虚拟系统（Virtual System）是在一台物理设备上划分出的多台相互独立的逻辑设备。

每个虚拟系统相当于一台真实的设备。有自己的接口、地址集、用户/组、路由表项以及策略。

虚拟系统具有以下特点：

• 每个虚拟系统由独立的管理员进行管理，使得多个虚拟系统的管理更加清晰简单，所以非常适合大规模的组网环境。
• 每个虚拟系统拥有独立的配置及路由表项，这使得虚拟系统下的局域网即使使用了相同的地址范围，仍然可以正常进行通信。
• 可以为每个虚拟系统分配固定的系统资源，保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统。
• 虚拟系统之间的流量相互隔离，更加安全。在需要的时候，虚拟系统之间也可以进行安全互访。
• 虚拟系统实现了硬件资源的有效利用，节约了空间、能耗以及管理成本。
• 虚拟系统的逻辑图
• 

二、虚拟系统的资源分配

虚拟系统业务的基础资源支持定额分配或手工分配，其中：

定额分配：此类资源直接按照系统规格自动分配固定的资源数，不支持用户手动分配。

手工分配：此类资源支持用户通过命令行或Web界面中的资源类界面手动分配。

其他的资源项则是各个虚拟系统一起共享抢占整机资源，不支持用户手动分配。

管理员为虚拟系统手工分配资源时，首先需要配置资源类，并在资源类中指定各个资源项的保证值和最大值，然后将资源类与虚拟系统绑定。

保证值：虚拟系统可使用某项资源的最小数量。这部分资源一旦分配给虚拟系统，就被该虚拟系统独占。

最大值：虚拟系统可使用某项资源的最大数量。虚拟系统可使用的资源能否达到最大值视其他虚拟系统对该项资源的使用情况而定。

如果虚拟系统不绑定资源类，则虚拟系统的资源不受限制，虚拟系统和根系统以及其他未绑定资源类的虚拟系统一起共同抢占整机的剩余资源。

举例：创建一个资源类，并指定IPv4的保证值和最大值分别为1000,5000；指定策略的保证值为1000；

vsys enable
#

resource-class huawei
 resource-item-limit session reserved-number 1000 maximum 5000
 resource-item-limit policy reserved-number 1000
#

display resource global-resource 后接不同的参数查看相关资源

三、虚拟系统的分流

报文进入FW后，首先要确定报文与虚拟系统的归属关系，以决定其进入哪个虚拟系统进行处理的过程称为分流。

FW支持基于接口分流、基于VLAN分流和基于VNI分流三种分流方式。接口工作在三层时，采用基于接口的分流方式；接口工作在二层时，采用基于VLAN的分流方式；虚拟系统和VXLAN结合使用时，采用基于VNI的分流方式。

①将接口与虚拟系统绑定后，从此接口接收到的报文都会被认为属于该虚拟系统，并根据该虚拟系统的配置进行处理。（如下图所示，虚拟系统VSYSA、VSYSB、VSYSC有专属的内网接口GigabitEthernet 0/0/1、GigabitEthernet 0/0/2、GigabitEthernet 0/0/3。GigabitEthernet 0/0/1、GigabitEthernet 0/0/2、GigabitEthernet 0/0/3接收到的报文经过分流，将分别送入VSYSA、VSYSB、VSYSC进行路由查找和策略处理。）

举例：将1/2/3接口分别分配给虚拟系统vsysa、vsysb、vsysc

vsys enable  企业虚拟系统
#
vsys name vsysa 1
 assign interface GigabitEthernet1/0/1      将g1/0/1接口分配给虚拟系统vsysa
#
vsys name vsysb 2
 assign interface GigabitEthernet1/0/2     将g1/0/2接口分配给虚拟系统vsysb
#
vsys name vsysc 3
 assign interface GigabitEthernet1/0/3     将g1/0/3接口分配给虚拟系统vsysc
#

②将VLAN与虚拟系统绑定后，该VLAN内的报文都将被送入与其绑定的虚拟系统进行处理。如下图所示，FW的内网接口GigabitEthernet 0/0/1为Trunk接口，并允许VLAN10、VLAN20和VLAN30的报文通过。VLAN10、VLAN20、VLAN30分别绑定虚拟系统VSYSA、VSYSB和VSYSC。对于GigabitEthernet 0/0/1接收到的报文，FW会根据报文帧头部的VLAN Tag确定报文所属的VLAN，再根据VLAN与虚拟系统的绑定关系，将报文引入相应的虚拟系统。

报文进入虚拟系统后，根据该虚拟系统的MAC地址表查询到出接口，确定报文出入接口的域间关系，再根据配置的域间策略对报文进行转发或丢弃。

#
vsys enable
#
vsys name vsysa 2
 assign vlan 10
#
vsys name vsysb 3
 assign vlan 20
#
vsys name vsysc 4
 assign vlan 30
#

③将VNI(VXLAN Network Identifier)与虚拟系统绑定后，该VXLAN内的报文都将被送入与其绑定的虚拟系统进行处理。

四、虚拟系统与VPN实例

虚拟系统的主要作用是业务隔离和路由隔离（静态路由）；创建虚拟系统时，会自动生成相同名字的VPN实例。

举例：创建vsysa、vsysb、vsysc，查看是否生成对应的vpninstance

#
vsys enable
#
vsys name vsysa 2
 assign interface GigabitEthernet1/0/1
#
vsys name vsysb 3
 assign interface GigabitEthernet1/0/2
#
vsys name vsysc 4
 assign interface GigabitEthernet1/0/3
#

VPN实例的主要作用是路由隔离；没有实现虚拟化的功能需要使用VPN实例来配置多实例功能，如动态路由、组播等。

五、虚拟接口

虚拟接口是创建虚拟系统时系统自动为其创建的一个逻辑接口，作为虚拟系统自身与其他虚拟系统之间通信的接口；虚拟接口必须加入安全区域，否则无法正常工作。

虚拟接口名的格式为“Virtual-if+接口号”，根系统的虚拟接口名为Virtual-if0，其他虚拟系统的Virtual-if接口号从1开始，根据系统中接口号占用情况自动分配。

例如：创建了四个虚拟系统，查看是否存在对应的虚拟接口