虛擬系統(tǒng)培訓(xùn)文檔

虛擬系統(tǒng)培訓(xùn)文檔測(cè)試部：涂建偉2007/04/12第一頁(yè)，共五十二頁(yè)。培訓(xùn)內(nèi)容虛擬系統(tǒng)設(shè)計(jì)需求虛擬系統(tǒng)工作原理競(jìng)爭(zhēng)對(duì)手產(chǎn)品典型應(yīng)用虛擬系統(tǒng)配置說明虛擬系統(tǒng)FAQ第二頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)設(shè)計(jì)需求虛擬系統(tǒng)設(shè)計(jì)的動(dòng)機(jī) 將一臺(tái)物理設(shè)備虛擬成多臺(tái)邏輯上相互獨(dú)立的虛擬設(shè)備，以滿足某些行業(yè)對(duì)防火墻的使用需要第三頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)設(shè)計(jì)需求如教育行業(yè)，不同科系的網(wǎng)絡(luò)合在一起，共用一臺(tái)出口設(shè)備，需要管理員給這些科系分別配置訪問權(quán)限第四頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)設(shè)計(jì)需求電信機(jī)房中托管著很多不同企業(yè)的服務(wù)器，其上運(yùn)行業(yè)務(wù)也各有不同第五頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)設(shè)計(jì)需求問題一 不同公司或科系的網(wǎng)絡(luò)混在一起，為網(wǎng)絡(luò)病毒大面積的傳播提供了有利條件第六頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)設(shè)計(jì)需求問題二 不同公司或科系的網(wǎng)絡(luò)混在一起，彼此之間可以相互訪問，一旦一部分發(fā)生了安全漏洞，會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)存在安全漏洞第七頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)設(shè)計(jì)需求問題三 隨著公司和科系部門的增加，對(duì)防火墻的配置管理難度也在不斷的增加，配置維護(hù)的管理工作量也在不斷的加大第八頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理虛擬系統(tǒng)的基本理論前提 共享一臺(tái)防火墻設(shè)備的用戶流量是可以通過某種方式明確劃分的

第九頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理流量劃分方式分為兩種： 1、按照接口獨(dú)享劃分 2、按照VLAN來(lái)劃分第十頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理按照接口獨(dú)享方式劃分 虛擬設(shè)備只擁有獨(dú)占的網(wǎng)絡(luò)接口，虛擬設(shè)備之間沒有共享的網(wǎng)絡(luò)接口 只接收和轉(zhuǎn)發(fā)遞送到虛擬設(shè)備所屬接口上的流量，這里的網(wǎng)絡(luò)接口可以是物理接口也可以是虛擬接口（如vlan接口或子接口）。第十一頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理按照VLAN方式來(lái)劃分 可以定義一個(gè)vlan虛接口是某虛擬系統(tǒng)獨(dú)占，該vlan下所接收的流量都屬于某虛擬系統(tǒng)所有（vlan本身就具有這種特性） trunk接口在本質(zhì)上卻是共享，這里我們只能通過vlanid來(lái)區(qū)分流量的歸屬第十二頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理總結(jié)出流量劃分的規(guī)則是：每個(gè)虛擬系統(tǒng)都定義自己所需要管理的獨(dú)占網(wǎng)絡(luò)接口和vlanid虛擬系統(tǒng)獨(dú)占接口上接收到的流量歸屬于該接口所屬的虛擬系統(tǒng)處理從trunk口上進(jìn)入的流量歸屬于該流量vlanid所屬的虛擬系統(tǒng)處理第十三頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理

按照上面的規(guī)則，流量在進(jìn)入系統(tǒng)之后就可以進(jìn)行明確劃分，劃分之后會(huì)流經(jīng)TOS中其他模塊進(jìn)行的后續(xù)處理

第十四頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理 如下圖所示： 不同系統(tǒng)的流量在流經(jīng)SE，路由等模塊是只匹配屬于本虛擬系統(tǒng)的規(guī)則，忽略其他虛擬系統(tǒng)的規(guī)則。第十五頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理原有系統(tǒng)的數(shù)據(jù)處理示意圖

接口沒有子接口之分，所有接口包括VLAN接口收上來(lái)的報(bào)文都由TOS系統(tǒng)按統(tǒng)一流程的處理，不同接口之間的流量不作區(qū)分，在處理上是處于同等的地位原始的TOS系統(tǒng)中，防火墻規(guī)則和路由轉(zhuǎn)發(fā)規(guī)則都沒有做出劃分，所有規(guī)則都會(huì)應(yīng)用于所有流經(jīng)該模塊的流量第十六頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理虛擬系統(tǒng)的數(shù)據(jù)處理示意圖

第十七頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理設(shè)備上存在子接口,在使用上把每個(gè)實(shí)接口、子接口、VLAN接口都作同等對(duì)待，接口屬性獨(dú)立存在第十八頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理系統(tǒng)間的流量互不相干，流量管理也是獨(dú)立存在，互不影響第十九頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理目前功能模塊只有PF、FW、NAT支持虛擬系統(tǒng)第二十頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理流量的vsid和規(guī)則的vsid要匹配，如果不相同，則該規(guī)則不應(yīng)用于該流量第二十一頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理連接表實(shí)現(xiàn)對(duì)VSID的支持第二十二頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理對(duì)象支持虛擬系統(tǒng)第二十三頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理靜態(tài)和策略路由表支持虛擬系統(tǒng)

對(duì)多播路由的支持后續(xù)版本中完成第二十四頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理虛擬系統(tǒng)有獨(dú)立的管理帳戶第二十五頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理虛擬系統(tǒng)之間的配置完全獨(dú)立第二十六頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理管理權(quán)限有限部分系統(tǒng)信息（只讀）獨(dú)占接口的配置（只讀）路由規(guī)則（只讀）對(duì)象配置（讀寫）

PF規(guī)則（讀寫）FW規(guī)則（讀寫）NAT規(guī)則（讀寫）而對(duì)于其他的配置項(xiàng)目，比如DPI等，以后相關(guān)模塊對(duì)虛擬系統(tǒng)支持之后逐步開放第二十七頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)工作原理虛擬系統(tǒng)之間的通訊

目前不支持?。。〉诙隧?yè)，共五十二頁(yè)。競(jìng)爭(zhēng)對(duì)手產(chǎn)品清華紫光的unisgate電信級(jí)安全網(wǎng)關(guān)NETSCREEN的高端產(chǎn)品系統(tǒng)

NETSCREEN已經(jīng)實(shí)現(xiàn)全部功能的支持同時(shí)還支持虛擬系統(tǒng)的配置獨(dú)立第二十九頁(yè)，共五十二頁(yè)。典型應(yīng)用一：透明方式設(shè)備以純透明方式接入用戶使用兩個(gè)TRUNK接口ETH0、ETH1，支持的VLAN為vlan10和vlan20Vlan10屬于虛擬系統(tǒng)10，vlan20屬于虛擬系統(tǒng)20兩個(gè)虛擬系統(tǒng)訪問權(quán)限不同：虛擬系統(tǒng)10只允許訪問web服務(wù)，虛擬系統(tǒng)20只允許訪問smtp和pop3

第三十頁(yè)，共五十二頁(yè)。典型應(yīng)用一：配置案例使用超級(jí)管理員登錄在用戶認(rèn)證--管理員處--添加虛擬系統(tǒng)管理員

添加兩個(gè)虛擬系統(tǒng)管理員vs10和vs20分別管理虛擬系統(tǒng)10和20第三十一頁(yè)，共五十二頁(yè)。典型應(yīng)用一：配置案例添加VLAN10和VLAN20，修改它們的虛系統(tǒng)號(hào)為10和20修改eth0和eth1為交換接口TRUNK模式配置它們支持vlan10和vlan20

第三十二頁(yè)，共五十二頁(yè)。典型應(yīng)用一：配置案例使用虛擬系統(tǒng)10管理員登錄管理設(shè)備添加虛擬系統(tǒng)10的子網(wǎng)對(duì)象

添加虛擬系統(tǒng)10的自定義服務(wù)對(duì)象第三十三頁(yè)，共五十二頁(yè)。典型應(yīng)用一：配置案例添加兩條訪問控制規(guī)則，只開放WEB的訪問權(quán)限使用虛擬系統(tǒng)20管理員登錄管理設(shè)備添加虛擬系統(tǒng)20的子網(wǎng)對(duì)象第三十四頁(yè)，共五十二頁(yè)。典型應(yīng)用一：配置案例添加虛擬系統(tǒng)20的自定義服務(wù)對(duì)象添加兩條訪問控制規(guī)則，只開放smtp和pop3的訪問權(quán)限第三十五頁(yè)，共五十二頁(yè)。典型應(yīng)用二：路由方式設(shè)備以混合模式接入用戶使用一個(gè)物理接口eth0做為用戶出口，在其上配置多個(gè)子接口veth0.1和veth0.2分別給不同的用戶使用用一個(gè)TRUNK接口eth1做內(nèi)接口，把內(nèi)部用戶按VLAN分開，每個(gè)用戶使用一個(gè)獨(dú)立的VLAN。Veth0.1和vlan10屬于虛擬系統(tǒng)10，

Veth0.2和vlan20屬于虛擬系統(tǒng)20兩個(gè)虛擬系統(tǒng)訪問權(quán)限不同：虛擬系統(tǒng)10只允許訪問web服務(wù)，虛擬系統(tǒng)20只允許訪問smtp和pop3第三十六頁(yè)，共五十二頁(yè)。典型應(yīng)用二：配置案例使用超級(jí)管理員登錄在用戶認(rèn)證--管理員處--添加虛擬系統(tǒng)管理員

添加兩個(gè)虛擬系統(tǒng)管理員vs10和vs20分別管理虛擬系統(tǒng)10和20第三十七頁(yè)，共五十二頁(yè)。典型應(yīng)用二：配置案例添加VLAN10和VLAN20，修改它們的虛系統(tǒng)號(hào)為10和20，并給它們配置上相應(yīng)的IP地址10.1和20.1修改eth1為交換接口TRUNK模式配置eth1支持vlan10和vlan20

第三十八頁(yè)，共五十二頁(yè)。典型應(yīng)用二：配置案例添加veth0.01和veth0.02，修改它們的虛系統(tǒng)號(hào)為10和20，并給它們配置上相應(yīng)的IP地址110.1和120.1添加兩條目的為全0的策略路由第三十九頁(yè)，共五十二頁(yè)。典型應(yīng)用二：配置案例使用虛擬系統(tǒng)10管理員登錄管理設(shè)備添加虛擬系統(tǒng)10的子網(wǎng)對(duì)象

添加虛擬系統(tǒng)10的自定義服務(wù)對(duì)象第四十頁(yè)，共五十二頁(yè)。典型應(yīng)用二：配置案例添加兩條訪問控制規(guī)則，只開放WEB的訪問權(quán)限使用虛擬系統(tǒng)20管理員登錄管理設(shè)備添加虛擬系統(tǒng)20的子網(wǎng)對(duì)象第四十一頁(yè)，共五十二頁(yè)。典型應(yīng)用二：配置案例添加虛擬系統(tǒng)20的自定義服務(wù)對(duì)象添加兩條訪問控制規(guī)則，只開放smtp和pop3的訪問權(quán)限第四十二頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)配置說明虛擬系統(tǒng)目前只支持WEBUI的虛擬系統(tǒng)管理員配置界面虛擬系統(tǒng)目前不支持CLI的虛擬系統(tǒng)管理員配置界面超級(jí)管理員可以在CLI下進(jìn)行虛擬系統(tǒng)的配置管理（不推薦用戶使用）第四十三頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)配置說明命令行vsid取值含義定義

0： 根系統(tǒng) 1-254： 虛擬系統(tǒng)號(hào) 255： 保留虛擬系統(tǒng)號(hào)（現(xiàn)在未使用）第四十四頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)FAQ虛擬系統(tǒng)目前支持的模塊為NAT、FW、PFRULE，還沒有明確支持DPI、AV等模塊，使用時(shí)應(yīng)該盡可能不啟用這些模塊（包括協(xié)議支持）第四十五頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)FAQ啟用DPI的FTP協(xié)議支持后，在部分虛擬系統(tǒng)NAT環(huán)境下可能無(wú)法使用FTP的主動(dòng)模式，只用切換成FTP的被動(dòng)模式就可以正常進(jìn)行數(shù)據(jù)傳送第四十六頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)FAQ虛擬系統(tǒng)只支持WEBUI的管理，可以通過根系統(tǒng)下添加虛擬管理員來(lái)對(duì)虛擬系統(tǒng)進(jìn)行配置管理，CLI不支持虛擬系統(tǒng)管理員登錄（注：根系統(tǒng)下管理員可以在CLI下進(jìn)行虛擬系統(tǒng)的配置管理體，但不推薦使用）第四十七頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)FAQPFSERVICE的規(guī)則對(duì)各虛擬系統(tǒng)都可以生效，在根系統(tǒng)下配置就可以控制虛擬系統(tǒng)的管理權(quán)限第四十八頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)FAQPFRULE的缺省規(guī)則對(duì)各虛擬系統(tǒng)都可以生效，使用時(shí)要注意，配置不當(dāng)會(huì)導(dǎo)致其它系統(tǒng)的通訊造成影響第四十九頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)FAQIPMAC綁定對(duì)各虛擬系統(tǒng)都可以生效，對(duì)虛擬系統(tǒng)下的IPMAC綁定也要在根系統(tǒng)下配置才能生效第五十頁(yè)，共五十二頁(yè)。虛擬系統(tǒng)FAQ各虛擬系統(tǒng)下的主要對(duì)象都是獨(dú)立存在的，但部分對(duì)象是公用的（如：屬性對(duì)象、屬性組對(duì)象、預(yù)定義的服務(wù)對(duì)象）第五十一頁(yè)，共五十二頁(yè)。內(nèi)容總結(jié)虛擬系統(tǒng)培訓(xùn)文檔。虛擬系統(tǒng)FAQ。將一臺(tái)物理設(shè)備虛擬成多臺(tái)邏輯上相互獨(dú)立的虛擬設(shè)備，以滿足某些行業(yè)對(duì)防火墻的使用需要。不同公司或科系的網(wǎng)絡(luò)混在一起，為網(wǎng)絡(luò)病毒大面積的傳播提供了有利條件。共享一臺(tái)防