防火牆的虛擬系統
什麼是虛擬系統
虛擬系統(Virtual System)是在一臺物理裝置上劃分出的多臺相互獨立的邏輯裝置。
您可以從邏輯上將一臺 FW裝置劃分為多個虛擬系統。每個虛擬系統相當於一臺真實的裝置,有自己的介面、地址集、使用者/組、路由表項以及策略,並可透過虛擬系統管理員進行配置和管理。
FW上存在兩種型別的虛擬系統:
-
根系統(public)====預設存在的,
根系統是 FW上預設存在的一個特殊的虛擬系統。即使虛擬系統功能未啟用,根系統也依然存在。此時,管理員對 FW進行配置等同於對根系統進行配置。啟用虛擬系統功能後,根系統會繼承先前 FW上的配置。
在虛擬系統這個特性中,根系統的作用是管理其他虛擬系統,併為虛擬系統間的通訊提供服務。
-
虛擬系統(VSYS)
虛擬系統是在 FW上劃分出來的、獨立執行的邏輯裝置。
虛擬系統與VPN例項
除了虛擬系統之外, FW還支援VPN例項(VPN Instance),兩者都有隔離的作用,虛擬系統的主要作用是業務隔離和路由隔離(靜態路由),VPN例項的主要作用是路由隔離。沒有實現虛擬化的功能需要使用VPN例項來配置多例項功能,如動態路由、組播等。
FW上的VPN例項包括如下兩種形態:
-
建立虛擬系統時自動生成的VPN例項
建立虛擬系統時,會自動生成相同名字的VPN例項。
-
管理員手動建立的VPN例項
管理員使用 ip vpn-instance命令手動建立的VPN例項,該VPN例項主要用於MPLS場景中,作用是路由隔離。我們所說的用來進行路由隔離的VPN例項,指的就是管理員手動建立的VPN例項。
-
根系統管理員
啟用虛擬系統功能後,裝置上已有的管理員將成為根系統的管理員。管理員的登入方式、管理許可權、認證方式等均保持不變。根系統管理員負責管理和維護裝置、配置根系統的業務。
只有具有虛擬系統管理許可權的根系統管理員(本章節後續內容中提及的根系統管理員都是指此類管理員)才可以進行虛擬系統相關的配置,如建立、刪除虛擬系統,為虛擬系統分配資源等。
-
虛擬系統管理員
建立虛擬系統後,根系統管理員可以為虛擬系統建立一個或多個管理員。虛擬系統管理員的作用範圍與根系統管理員有所不同:虛擬系統管理員只能進入其所屬的虛擬系統的配置介面,能配置和檢視的業務也僅限於該虛擬系統;根系統管理員可以進入所有虛擬系統的配置介面,如有需要,可以配置任何一個虛擬系統的業務。
為了正確識別各個管理員所屬的虛擬系統,虛擬系統管理員使用者名稱格式統一為“管理員名@@虛擬系統名”。
虛擬系統的分流
透過分流能將進入裝置的報文送入正確的虛擬系統處理。
FW 上未配置虛擬系統時,報文進入 FW 後直接根據根系統的策略和表項(會話表、MAC地址表、路由表等)對其進行處理。 FW 上配置了虛擬系統時,每個虛擬系統都相當於一 個獨 立的裝置,僅依據虛擬系統內的策略和表項對報文進行處理。因此,報文進入 FW 後,首先要確定報文與虛擬系統的歸屬關係,以決定其進入哪個虛擬系統進行處理。我們將確定報文與虛擬系統歸屬關係的過程稱為分流。
FW支援基於介面分流、基於VLAN分流和基於VNI分流三種分流方式。介面工作在三層時,採用基於介面的分流方式;介面工作在二層時,採用基於VLAN的分流方式;虛擬系統和VXLAN結合使用時,採用基於VNI的分流方式。
基於介面分流
將介面與虛擬系統繫結後,從此介面接收到的報文都會被認為屬於該虛擬系統,並根據該虛擬系統的配置進行處理。
如 所示,虛擬系統VSYSA、VSYSB、VSYSC有專屬的內網介面 GigabitEthernet 0/0/1、 GigabitEthernet 0/0/2、 GigabitEthernet 0/0/3。 GigabitEthernet 0/0/1、 GigabitEthernet 0/0/2、 GigabitEthernet 0/0/3接收到的報文經過分流,將分別送入VSYSA、VSYSB、VSYSC進行路由查詢和策略處理。
將VLAN與虛擬系統繫結後,該VLAN內的報文都將被送入與其繫結的虛擬系統進行處理。
如 所示, FW的內網介面 GigabitEthernet 0/0/1為Trunk介面,並允許VLAN10、VLAN20和VLAN30的報文透過。VLAN10、VLAN20、VLAN30分別繫結虛擬系統VSYSA、VSYSB和VSYSC。對於 GigabitEthernet 0/0/1接收到的報文, FW會根據報文幀頭部的VLAN Tag確定報文所屬的VLAN,再根據VLAN與虛擬系統的繫結關係,將報文引入相應的虛擬系統。
報文進入虛擬系統後,根據該虛擬系統的MAC地址表查詢到出介面,確定報文出入介面的域間關係,再根據配置的域間策略對報文進行轉發或丟棄。
基於VNI分流
虛擬系統互訪
FW支援虛擬系統與根系統互訪、兩個虛擬系統間直接互訪、兩個虛擬系統跨根系統互訪以及兩個虛擬系統跨共享虛擬系統互訪四種基本場景。透過對基本場景的認識,可以幫助您更好地理解虛擬系統互訪的基本原理並正確地進行相關配置。
按照互訪角色劃分,虛擬系統互訪可分為 虛擬系統與根系統互訪和 兩個虛擬系統間互訪兩類。
a、虛擬系統與根系統互訪
拓撲
邏輯拓撲:
華為防火牆首次登陸強制修改密碼,預設使用者名稱:admin,預設密碼 Admin@123
防火牆:
[USG6000V1]vsys enable \\啟用防火牆虛擬系統功能
[USG6000V1]vsys name A \\建立虛擬防火牆A
[USG6000V1-vsys-A]assign interface GigabitEthernet 1/0/0 \\將介面關聯到虛牆A
[USG6000V1]switch vsys A \\切換到虛牆A
[USG6000V1-A]firewall zone trust \\ 切換到trust 區域
[USG6000V1-A-zone-trust]add interface GigabitEthernet 1/0/0 \\關聯介面
[USG6000V1-A]firewall zone untrust
[USG6000V1-A-zone-untrust]add interface Virtual-if 1
在每個虛牆上指預設路由指向public
ip route-static 0.0.0.0 0 public
根牆放通所有路由
[USG6000V1]security-policy
[USG6000V1-policy-security]default action permit
Warning:Setting the default packet filtering to permit poses security risks. You
are advised to configure the security policy based on the actual data flows. Ar
e you sure you want to continue?[Y/N]y
根牆寫回程路由
[USG6000V1]ip route-static 10.1.11.0 24 vpn-instance A
[USG6000V1]ip route-static 10.1.12.0 24 vpn-instance B
虛牆上配置安全策略,放通trust-untrust區域的路由
[USG6000V1-A]security-policy
[USG6000V1-A-policy-security]rule name trust-untrust
[USG6000V1-A-policy-security-rule-trust-untrust]source-zone trust
[USG6000V1-A-policy-security-rule-trust-untrust]destination-zone untrust
[USG6000V1-A-policy-security-rule-trust-untrust]action permit
測試驗證
根牆的會話表項太多會影響效能====根牆使用引流表
1、先把根牆的兩個靜態路由取消
2、根牆上配置引流表
3、驗證:根牆無會話表項,只有虛牆中有會話表項,減輕了根牆的壓力。
b、配置虛牆之間直接互訪
虛牆之間的互訪,需要由
根管理員進行操作
根牆上配置策略放通相關路由後進行驗證:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31535697/viewspace-2770403/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 更好的實施虛擬防火牆策略防火牆
- ubuntu系統下的防火牆使用Ubuntu防火牆
- WAb防火牆與傳統防火牆防火牆
- 紅帽系的linux系統中防火牆--firewalldLinux防火牆
- XP系統故障 都是“防火牆”惹的禍(轉)防火牆
- win10防火牆在哪關_w10系統怎麼關閉防火牆Win10防火牆
- 設定linux虛擬機器的固定ip、防火牆的一些操作Linux虛擬機防火牆
- linux系統檢視防火牆是否開啟並清除防火牆規則的方法步驟Linux防火牆
- iptables配置-Linux系統安全防火牆Linux防火牆
- 盤點Linux系統中常用的防火牆工具!Linux防火牆
- Ubuntu系統中防火牆的使用和開放埠Ubuntu防火牆
- Linux系統中firewalld防火牆常用的操作命令Linux防火牆
- Win10系統如何關閉防火牆_win10防火牆徹底關閉方法Win10防火牆
- Win10系統防火牆怎麼關閉 win10防火牆在哪裡關閉Win10防火牆
- Linux系統iptables與Firewalld防火牆區別?Linux防火牆
- win10系統dnf防火牆怎麼解除_win10dnf解除防火牆的詳細步驟Win10防火牆
- win10系統怎麼解除安裝防火牆 windows10防火牆的解除安裝步驟Win10防火牆Windows
- Windows2008系統的高階防火牆Windows防火牆
- 5種方法逃過防火牆控制系統的研究(轉)防火牆
- 構築Unix系統內防火牆體系的多種方案(轉)防火牆
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- 虛擬作業系統作業系統
- 虛擬的熱點,眼前的蛋糕:作業系統虛擬化作業系統
- 防火牆防火牆
- windows10系統怎麼關閉防火牆通知Windows防火牆
- 如何在 Linux 系統中配置 firewalld 防火牆策略Linux防火牆
- linux系統中個人防火牆iptables的詳細教程Linux防火牆
- 基於Linux系統的包過濾防火牆(3)(轉)Linux防火牆
- 基於Linux系統的包過濾防火牆(1)(轉)Linux防火牆
- 基於Linux系統的包過濾防火牆(2)(轉)Linux防火牆
- win10系統怎麼開啟arp防火牆_win10開啟arp防火牆的步驟Win10防火牆
- win10系統如何關閉邁克菲防火牆_win10邁克菲防火牆的關閉方法Win10防火牆
- win10電腦防火牆怎麼關閉 win10系統自帶的防火牆在哪裡設定Win10防火牆
- 關於kangle虛擬主機系統與N點虛擬主機系統的比較
- 防火牆的分類防火牆
- 防火牆(firewall)防火牆
- SQL防火牆SQL防火牆
- 防火牆IPTABLES防火牆