一、虚拟系统的介绍
虚拟系统概念
虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。您可以从逻辑上将一台FW设备划分为多个虚拟系统。每个虚拟系统相当于一台真实的设备,有自己的接口、地址集、用户/组、路由表项以及策略,并可通过虚拟系统管理员进行配置和管理。
虚拟系统特点
虚拟系统具有以下特点:•每个虚拟系统由独立的管理员进行管理,使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模的组网环境。•每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即使使用了相同的地址范围,仍然可以正常进行通信。•可以为每个虚拟系统分配固定的系统资源,保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统。•虚拟系统之间的流量相互隔离,更加安全。在需要的时候,虚拟系统之间也可以进行安全互访。•虚拟系统实现了硬件资源的有效利用,节约了空间、能耗以及管理成本。 虚拟系统可以用于大中型企业的网络隔离和云计算中心的安全网关。
二、原理概述
1、虚拟系统的资源分配
合理地分配资源可以对单个虚拟系统的资源进行约束,避免因某个虚拟系统占用过多的资源,导致其他虚拟系统无法获取资源、业务无法正常运行的情况。安全区域、策略、会话等实现虚拟系统业务的基础资源支持定额分配或手工分配,其中•定额分配:此类资源直接按照系统规格自动分配固定的资源数,不支持用户手动分配。•手工分配:此类资源支持用户通过命令行或Web界面中的资源类界面手动分配。
2、虚拟系统的分流
通过分流能将进入设备的报文送入正确的虚拟系统处理。FW上未配置虚拟系统时,报文进入FW后直接根据根系统的策略和表项(会话表、MAC地址表、路由表等)对其进行处理。FW上配置了虚拟系统时,每个虚拟系统都相当于一台独立的设备,仅依据虚拟系统内的策略和表项对报文进行处理。因此,报文进入FW后,首先要确定报文与虚拟系统的归属关系,以决定其进入哪个虚拟系统进行处理。我们将确定报文与虚拟系统归属关系的过程称为分流。FW支持基于接口分流、基于VLAN分流和基于VNI分流三种分流方式。接口工作在三层时,采用基于接口的分流方式;接口工作在二层时,采用基于VLAN的分流方式;虚拟系统和VXLAN结合使用时,采用基于VNI的分流方式。
三、配置案例-虚拟系统实现云计算中心网关
组网需求:
如图1所示,某云计算数据中心采用FW用于网关出口的安全防护,实际的要求如下:•每个购买云服务的企业或个人都属于数据中心的客户,可以独自管理和访问属于自己的服务器资源。•FW虽然只有一个公网接口,但是公网IP地址数量比较充足。通过在FW上配置服务器映射(NAT Server),客户可以通过独立的公网IP地址访问属于自己的服务器资源。
配置脚本:
sysname FW#vsys enable#nat server publicserver_vsysa 0 protocol tcp global 1.1.1.2 8080 inside 10.3.0.2 www no-reversenat server publicserver_vsysb 1 protocol tcp global 1.1.1.3 8080 inside 10.3.1.2 www no-reverse#resource-class r1resource-item-limit session reserved-number 10000 maximum 50000resource-item-limit bandwidth 20 entire#resource-class r2resource-item-limit session reserved-number 10000 maximum 50000resource-item-limit bandwidth 30 entire#vsys name vsysa 1assign resource-class r1assign interface GigabitEthernet1/0/2.1#vsys name vsysb 2assign resource-class r2assign interface GigabitEthernet1/0/2.2#interface GigabitEthernet1/0/1ip address 1.1.1.1 255.255.255.0#interface GigabitEthernet1/0/2.1vlan-type dot1q 10ip binding vpn-instance vsysa#interface GigabitEthernet1/0/2.2vlan-type dot1q 20ip binding vpn-instance vsysb#interface Virtual-if0ip address 172.16.0.1 255.255.255.0#firewall zone trustset priority 85add interface Virtual-if0#firewall zone untrustset priority 5add interface GigabitEthernet1/0/1#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254ip route-static 10.3.0.0 255.255.255.0 vpn-instance vsysaip route-static 10.3.1.0 255.255.255.0 vpn-instance vsysb#security-policyrule name internet_to_serversource-zone untrustdestination-zone trustdestination-address 10.3.0.0 16action permit#return虚拟系统vsysa的配置脚本#interface GigabitEthernet1/0/2.1vlan-type dot1q 10ip address 10.3.0.1 255.255.255.0ip binding vpn-instance vsysa#interface Virtual-if1ip address 172.16.1.1 255.255.255.0#firewall zone trustset priority 85add interface GigabitEthernet1/0/2.1#firewall zone untrustset priority 5add interface Virtual-if1#ip route-static 0.0.0.0 0.0.0.0 public#security-policyrule name internet_to_serversource-zone untrustdestination-zone trustdestination-address 10.3.0.0 24action permit#return虚拟系统vsysb的配置脚本#interface GigabitEthernet1/0/2.2vlan-type dot1q 20ip address 10.3.1.1 255.255.255.0ip binding vpn-instance vsysb#interface Virtual-if2ip address 172.16.2.1 255.255.255.0#firewall zone trustset priority 85add interface GigabitEthernet1/0/2.2#firewall zone untrustset priority 5add interface Virtual-if2#ip route-static 0.0.0.0 0.0.0.0 public#security-policyrule name internet_to_serversource-zone untrustdestination-zone trustdestination-address 10.3.1.0 24action permit#return
