虚拟系统简介:虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。
您可以从逻辑上将一台FW设备划分为多个虚拟系统。每个虚拟系统相当于一台真实的设备,有自己的接口、地址集、用户/组、路由表项以及策略,并可通过虚拟系统管理员进行配置和管理。
虚拟系统具有以下特点:
1、每个虚拟系统由独立的管理员进行管理,使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模的组网环境。
2、每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。
3、可以为每个虚拟系统分配固定的系统资源,保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统。
4、虚拟系统之间的流量相互隔离,更加安全。在需要的时候,虚拟系统之间也可以进行安全互访。
5、虚拟系统实现了硬件资源的有效利用,节约了空间、能耗以及管理成本。
应用场景:
1、大中型企业的网络隔离 2、云计算中心的安全网关
虚拟系统的资源分配--不同系列的USG防火墙,关键资源有些不同;
关键资源:
定额分配:此类资源直接按照系统规格自动分配固定的资源数,不支持用户手动分配。
SSL VPN虚拟网关(最多4个虚拟网) 安全区域(4个缺省的,不能修改删除) 五元组抓包队列(有2个)等;
手工分配:用户组 安全组 用户数 策略数 IPSEC隧道 L2TP隧道数 带宽 等
非关键资源:共享抢占的资源
各种表项,如Server-map表、IP-MAC地址绑定表、ARP表、MAC地址表等
地址和地址组 地区和地区组 NAT地址池 证书 时间段 带宽通道 静态路由条目等;
虚拟系统之间互访
1、虚拟系统与虚拟系统之间互访----通过根墙;
根系统只根据路由表对虚拟系统之间的访问报文进行转发,不进行其他安全功能的处理。
配置:
vsysa:ip route-sta 10.3.1.0 24 pub 去往B墙
vsysb:ip route-sta 10.3.0.0 24 pub 去往A墙
pub: ip route-sta 10.3.0.0 24 vpn-inst vsysa --产生的路由存于root(根墙)
Ip route-sta 10.3.1.0 24 vpn-inst vsysb
2、虚拟系统与虚拟系统之间互访----直接访问;
pub: ip route-static vpn-instance vsysa 10.3.1.3 255.255.255.255 vpn-instance vsysb A去B的
ip route-static vpn-instance vsysb 10.3.0.3 255.255.255.255 vpn-instance vsysa B去A 的
[sysname] display ip routing-table vpn-instance vsysa ---vsysa 路由表的
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.3.1.3/32 Static 60 0 D 0.0.0.0 Virtual-if2
[sysname] display ip routing-table vpn-instance vsysb ---vsysb 的路由表
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.3.0.3/32 Static 60 0 D 0.0.0.0 Virtual-if1
3、两个虚拟系统之间跨共享虚拟系统(Shared-vsys)互访
Root: ip route-static vpn-instance vsysa 10.3.1.0 255.255.255.0 vpn-instance Shared_vsys A去公共墙
ip route-static vpn-instance vsysb 10.3.0.0 255.255.255.0 vpn-instance Shared_vsys B去公共墙
配置完成后,vsysa中会生成如下的路由表。
[sysname] display ip routing-table vpn-instance vsysa
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.3.1.0/24 Static 60 0 D 0.0.0.0 Virtual-if3
Root: ip route-static vpn-instance Shared_vsys 10.3.1.0 255.255.255.0 vpn-instance vsysb 公共去B
ip route-static vpn-instance Shared_vsys 10.3.0.0 255.255.255.0 vpn-instance vsysa 公共去A
配置完成后,Shared-vsys中会生成如下的路由表。
[sysname] display ip routing-table vpn-instance Shared_vsys
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.3.1.0/24 Static 60 0 D 0.0.0.0 Virtual-if2
扩展知识点:
引流表中记录的是IP地址和虚拟系统的归属关系。如下的引流表,表示10.3.0.8这个IP地址属于虚拟系统vsysa。
[sysname] firewall import-flow public 10.3.0.8 10.3.0.8 vpn-instance vsysa
Warning: The destination of this IP range should be in this vsys network, otherwise it may cause flow loop! Continue?[Y/N]: Y
[sysname] display firewall import-flow public 10.3.0.8
Import Flow Tables:
Source Instance Destination Address Destination Instance
--------------------------------------------------------------------------------------------------
public 10.3.0.8 vsysa
--------------------------------------------------------------------------------------------------
Total:1
报文命中引流表时,根系统不再按照防火墙转发流程处理报文,而是按路由表或引流表直接转发报文。因此,根系统中不需要为命中引流表的报文配置策略,根系统也不会为命中引流表的报文创建会话。
报文命中引流表分为正向命中和反向命中两种情况:
正向命中:根系统发往虚拟系统的报文,目的地址匹配引流表中的“Destination Address”,则报文正向命中引流表。报文正向命中引流表时,根系统按引流表转发报文,将报文送入命中的表项对应的“Destination Instance”中处理。
反向命中:虚拟系统发往根系统的报文,源地址匹配引流表中的“Destination Address”,源虚拟系统匹配引流表中的“Destination Instance”,则报文反向命中引流表。报文反向命中引流表时,根系统按路由表转发报文。
部分场景中,根系统需要按照防火墙转发流程对报文进行处理,如做NAT、做IPSec封装等。此时,应避免报文命中引流表,否则会导致业务异常。
参考文档:华为HedEx文档
