防火墙——虚拟系统理论讲解

小乔

虚拟系统基本概念

1.虚拟系统（Virtual System）指的是一台物理设备上划分出的多台相互独立的逻辑设备——虚拟系统之间可以实现网络隔离

2.每台逻辑设备相当于一台真实的设备，有自己的接口、地址集、用户/组、路由表项以及策略，并可通过虚拟系统管理员进行配置和管理。

3.可以从逻辑上将一台FW设备划分为多个虚拟系统，也就是多个FW设备

虚拟系统和VPN实例的关系虚拟系统和VPN实例在应用上的区别

虚拟系统主要作用是业务隔离和路由隔离

VPN实例主要作用是路由隔离

虚拟系统和VPN实例之间的联系

虚拟系统在创建时会自动生成VPN实例，不过相比于手动创建VPN实例的路由隔离功能还多了业务隔离的功能

FW上VPN实例的两种形态

创建虚拟系统时自动生成的VPN实例——VPN实例名称和虚拟系统名称相同

手动创建VPN实例——一般用在MPLS场景中，用于路由隔离

虚拟系统两种类型根系统（Public）

FW上缺省存在的一个特殊的虚拟系统

当虚拟系统未开启时，管理员对FW的配置就是对根系统的配置，FW的管理员就是根系统的管理员

当虚拟系统开启时，根系统会继承先前FW的配置，FW上已有的管理员将成为根系统的管理员

根管理员可以管理根系统和虚拟系统的配置

虚拟系统（VSYS）  

虚拟系统就是从FW上划分出来的、独立运行的逻辑设备

虚拟系统的管理员需要有根系统管理员进行创建，其只能管理所属虚拟系统的配置，不可以管理其他虚拟系统

用户名统一格式：管理员名@@虚拟防火墙名

                               
登录/注册后可看大图

虚拟系统资源分配

合理分配资源单个虚拟系统的资源进行约束，使得资源利用率达到最高

分配方法定额分配

此类资源不支持用户手动分配，直接按照系统规格自动分配固定的资源数

资源类型包括:

        SSL VPN虚拟网关

                根系统最多可创建的虚拟网关数量受整机规格限制

                单个虚拟系统最多4个虚拟网关（每个虚拟网关支持3个虚拟地址）

                所有虚拟系统和根系统最多可创建的虚拟网关数量不超过整机规格。

        安全区域

                根系统和虚拟系统的安全区域规格相同，最多支持100个安全区域

                根系统和虚拟系统均拥有4个缺省的安全区域

        五元组抓包队列

                根系统有4个抓包队列。

                单个虚拟系统有2个抓包队列

手工分配

此类资源用户可以通过命令行或者Web界面进行分配

配置额度——针对手工分配而言

保证值

        虚拟系统可使用的某项资源的最小数量

        一旦分配，会由此虚拟系统独占

最大值

        虚拟系统可使用的某项资源的最大数量

公网接口

当通过资源类来限制虚拟系统的带宽资源时，虚拟系统的流量统计是基于公网接口统计的

注意事项

此处的公网接口不是指FW连接Internet的接口

在接口下配置了set public-interface就是公网接口，没有配置的就是私网接口

在跨虚拟系统转发场景中Virtual-if接口默认为公网接口

流量统计方法

入方向（inbound）流量：

        从公网接口流向私网接口的流量。受入方向带宽的限制。

出方向（outbound）流量：

        从私网接口流向公网接口的流量。

整体（entire）流量：

        虚拟系统的全部流量 = 入方向流量 + 出方向流量 + 私网接口到私网接口的流量 + 公网接口到公网接口的流量。

虚拟系统分流基本概念

通过分流能够将进入设备的报文送入正确的虚拟系统处理

分流方法三层——基于接口分流

将接口与虚拟系统绑定后，从此接口接收到的报文都会被认为属于该虚拟系统，并根据该虚拟系统的配置进行处理。

                               
登录/注册后可看大图

二层——基于Vlan分流

将VLAN与虚拟系统绑定后，该VLAN内的报文都将被送入与其绑定的虚拟系统进行处理。

                               
登录/注册后可看大图

大二层——基于VNI分流

将VNI(VXLAN Network Identifier)与虚拟系统绑定后， FW根据VXLAN头中VNI以及VNI与虚拟系统的绑定关系，决定解封装后的报文送入哪个虚拟系统处理。

注意：

VNI与虚拟系统绑定后，对应的Vbdif接口也会随VNI分配给相应的虚拟系统。

虚拟系统中，报文的入接口为Vbdif接口。

​

                               
登录/注册后可看大图

虚拟系统互访场景虚拟接口概念

虚拟系统之间互访、虚拟系统和根系统之间互访都是通过虚拟接口实现的

注意事项：

虚拟接口的链路层和协议层始终是UP的

虚拟接口必须配置IP地址——（但是在实际模拟器上实验时没有配置IP地址也可以实现），并加入安全区域，否则无法工作

根系统的虚拟接口名为Virtual-if0，其他虚拟系统的Virtual-if接口号从1开始自动分配

                               
登录/注册后可看大图

---

引流表概念基本概念——根系统使用的表

记录的是IP地址和虚拟系统的归属关系（支持IPV4和IPV6）

当有多个虚拟系统时，根系统可以通过引流表找到对应的虚拟系统

                               
登录/注册后可看大图

报文命中引流表的两种情况

正向命中：

       当根系统去访问虚拟系统时，如果目的地址匹配到引流表“Destination Address”字段，正向命中引流表，根系统就按照引流表转发报文，将报文送到对应虚拟系统

反向命中：

       当虚拟系统去访问跟系统时，当源地址匹配到引流表的“Destination Address”字段，报文反向命中引流表，根系统就按照路由表转发报文

注意事项

报文命中引流表时，根系统不再按照防火墙转发流程处理报文，而是按路由表或引流表直接转发报文。

根系统中不需要为命中引流表的报文配置策略，根系统也不会为命中引流表的报文创建会话。

---

虚拟系统与根系统互访

需要在根系统和虚拟系统上配置相应的路由和安全策略

会使用到路由表和引流

路由配置

客户1访问客户2、客户2访问客户1配置一致

       虚拟系统配置去客户端A和去根系统的路由（去、回都配）

       根系统配置去客户端B的路由，配置关于虚拟系统的引流表

工作图

根系统访问虚拟系统（正向）

                               
登录/注册后可看大图

虚拟系统访问根系统（反向）

                               
登录/注册后可看大图

---

两个虚拟系统之间直接互访

缺省FW虚拟系统之间是互相隔离的，不同虚拟系统下的主机不能通信

如果有互访的需求，就需要配置相应的路由和安全策略

只通过路由表就可以互访

路由配置

客户1访问客户2、客户2访问客户1配置一致

       虚拟系统A配置去虚拟系统B和去客户1的路由

       虚拟系统B配置去虚拟系统A和去客户2的路由

工作图

                               
登录/注册后可看大图

---

两个虚拟系统之间跨共享虚拟系统互访

在两个虚拟系统之间增加一个共享虚拟系统（Shared-vsys）作为路由中转，实现两个虚拟系统之间的互访

同一报文最多被中转三次

路由配置

网络A访问网路B，当网络B访问网络A是配置相反

       虚拟系统A配置去共享虚拟系统和网络A的路由

       共享虚拟系统配置去虚拟系统B的路由

       虚拟系统B配置去网络B的路由

工作图

                               
登录/注册后可看大图