防火牆的虛擬系統

brtchen發表於2021-04-29
防火牆

什麼是虛擬系統

虛擬系統(Virtual System)是在一臺物理裝置上劃分出的多臺相互獨立的邏輯裝置。

您可以從邏輯上將一臺 FW裝置劃分為多個虛擬系統。每個虛擬系統相當於一臺真實的裝置,有自己的介面、地址集、使用者/組、路由表項以及策略,並可透過虛擬系統管理員進行配置和管理。


FW上存在兩種型別的虛擬系統:

  • 根系統(public)====預設存在的,

    根系統是 FW上預設存在的一個特殊的虛擬系統。即使虛擬系統功能未啟用,根系統也依然存在。此時,管理員對 FW進行配置等同於對根系統進行配置。啟用虛擬系統功能後,根系統會繼承先前 FW上的配置。

    在虛擬系統這個特性中,根系統的作用是管理其他虛擬系統,併為虛擬系統間的通訊提供服務。

  • 虛擬系統(VSYS)

    虛擬系統是在 FW上劃分出來的、獨立執行的邏輯裝置。

虛擬系統與VPN例項

除了虛擬系統之外, FW還支援VPN例項(VPN Instance),兩者都有隔離的作用,虛擬系統的主要作用是業務隔離和路由隔離(靜態路由),VPN例項的主要作用是路由隔離。沒有實現虛擬化的功能需要使用VPN例項來配置多例項功能,如動態路由、組播等。

FW上的VPN例項包括如下兩種形態:

  • 建立虛擬系統時自動生成的VPN例項

    建立虛擬系統時,會自動生成相同名字的VPN例項。

  • 管理員手動建立的VPN例項

    管理員使用 ip vpn-instance命令手動建立的VPN例項,該VPN例項主要用於MPLS場景中,作用是路由隔離。我們所說的用來進行路由隔離的VPN例項,指的就是管理員手動建立的VPN例項。

  • 根系統管理員

    啟用虛擬系統功能後,裝置上已有的管理員將成為根系統的管理員。管理員的登入方式、管理許可權、認證方式等均保持不變。根系統管理員負責管理和維護裝置、配置根系統的業務。

    只有具有虛擬系統管理許可權的根系統管理員(本章節後續內容中提及的根系統管理員都是指此類管理員)才可以進行虛擬系統相關的配置,如建立、刪除虛擬系統,為虛擬系統分配資源等。

  • 虛擬系統管理員

    建立虛擬系統後,根系統管理員可以為虛擬系統建立一個或多個管理員。虛擬系統管理員的作用範圍與根系統管理員有所不同:虛擬系統管理員只能進入其所屬的虛擬系統的配置介面,能配置和檢視的業務也僅限於該虛擬系統;根系統管理員可以進入所有虛擬系統的配置介面,如有需要,可以配置任何一個虛擬系統的業務。

    為了正確識別各個管理員所屬的虛擬系統,虛擬系統管理員使用者名稱格式統一為“管理員名@@虛擬系統名”。

虛擬系統的分流

透過分流能將進入裝置的報文送入正確的虛擬系統處理。

FW 上未配置虛擬系統時,報文進入 FW 後直接根據根系統的策略和表項(會話表、MAC地址表、路由表等)對其進行處理。 FW 上配置了虛擬系統時,每個虛擬系統都相當於一 個獨 立的裝置,僅依據虛擬系統內的策略和表項對報文進行處理。因此,報文進入 FW 後,首先要確定報文與虛擬系統的歸屬關係,以決定其進入哪個虛擬系統進行處理。我們將確定報文與虛擬系統歸屬關係的過程稱為分流。

FW支援基於介面分流、基於VLAN分流和基於VNI分流三種分流方式。介面工作在三層時,採用基於介面的分流方式;介面工作在二層時,採用基於VLAN的分流方式;虛擬系統和VXLAN結合使用時,採用基於VNI的分流方式。

基於介面分流

將介面與虛擬系統繫結後,從此介面接收到的報文都會被認為屬於該虛擬系統,並根據該虛擬系統的配置進行處理。

如 所示,虛擬系統VSYSA、VSYSB、VSYSC有專屬的內網介面 GigabitEthernet 0/0/1GigabitEthernet 0/0/2GigabitEthernet 0/0/3GigabitEthernet 0/0/1GigabitEthernet 0/0/2GigabitEthernet 0/0/3接收到的報文經過分流,將分別送入VSYSA、VSYSB、VSYSC進行路由查詢和策略處理。

基於VLAN分流

將VLAN與虛擬系統繫結後,該VLAN內的報文都將被送入與其繫結的虛擬系統進行處理。

如 所示, FW的內網介面 GigabitEthernet 0/0/1為Trunk介面,並允許VLAN10、VLAN20和VLAN30的報文透過。VLAN10、VLAN20、VLAN30分別繫結虛擬系統VSYSA、VSYSB和VSYSC。對於 GigabitEthernet 0/0/1接收到的報文, FW會根據報文幀頭部的VLAN Tag確定報文所屬的VLAN,再根據VLAN與虛擬系統的繫結關係,將報文引入相應的虛擬系統。

報文進入虛擬系統後,根據該虛擬系統的MAC地址表查詢到出介面,確定報文出入介面的域間關係,再根據配置的域間策略對報文進行轉發或丟棄。

基於VNI分流


虛擬系統互訪

FW支援虛擬系統與根系統互訪、兩個虛擬系統間直接互訪、兩個虛擬系統跨根系統互訪以及兩個虛擬系統跨共享虛擬系統互訪四種基本場景。透過對基本場景的認識,可以幫助您更好地理解虛擬系統互訪的基本原理並正確地進行相關配置。

按照互訪角色劃分,虛擬系統互訪可分為 虛擬系統與根系統互訪兩個虛擬系統間互訪兩類。

a、虛擬系統與根系統互訪

拓撲

邏輯拓撲:


華為防火牆首次登陸強制修改密碼,預設使用者名稱:admin,預設密碼 Admin@123


防火牆:

[USG6000V1]vsys  enable \\啟用防火牆虛擬系統功能

[USG6000V1]vsys  name  A \\建立虛擬防火牆A

[USG6000V1-vsys-A]assign  interface  GigabitEthernet  1/0/0  \\將介面關聯到虛牆A

[USG6000V1]switch  vsys  A    \\切換到虛牆A

[USG6000V1-A]firewall  zone  trust  \\ 切換到trust 區域

[USG6000V1-A-zone-trust]add interface  GigabitEthernet  1/0/0  \\關聯介面

[USG6000V1-A]firewall  zone  untrust 

[USG6000V1-A-zone-untrust]add  interface  Virtual-if 1

在每個虛牆上指預設路由指向public

ip route-static  0.0.0.0 0 public

根牆放通所有路由

[USG6000V1]security-policy

[USG6000V1-policy-security]default  action  permit 

Warning:Setting the default packet filtering to permit poses security risks. You

 are advised to configure the security policy based on the actual data flows. Ar

e you sure you want to continue?[Y/N]y

根牆寫回程路由

[USG6000V1]ip route-static 10.1.11.0 24 vpn-instance  A

[USG6000V1]ip route-static 10.1.12.0 24 vpn-instance  B

虛牆上配置安全策略,放通trust-untrust區域的路由

[USG6000V1-A]security-policy

[USG6000V1-A-policy-security]rule name  trust-untrust

[USG6000V1-A-policy-security-rule-trust-untrust]source-zone  trust 

[USG6000V1-A-policy-security-rule-trust-untrust]destination-zone untrust 

[USG6000V1-A-policy-security-rule-trust-untrust]action  permit 

測試驗證




根牆的會話表項太多會影響效能====根牆使用引流表

1、先把根牆的兩個靜態路由取消

2、根牆上配置引流表

3、驗證:根牆無會話表項,只有虛牆中有會話表項,減輕了根牆的壓力。


b、配置虛牆之間直接互訪

虛牆之間的互訪,需要由 根管理員進行操作

根牆上配置策略放通相關路由後進行驗證:


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31535697/viewspace-2770403/,如需轉載,請註明出處,否則將追究法律責任。

相關文章