hcscp1109 防火墻虛擬系統 issue 3 0

1、本頁不打印修訂記錄版權所有 2017 華為技術第0頁作者/工號時間審核人/工號新開發(fā)/優(yōu)化夏穎/3274102017.3.22吉小東/333220新開發(fā)課程編碼適用產品產品版本課程版本HCSCP1109USG6000VR51V3.0虛擬系統版權所有 2017 華為技術前言 在企業(yè)網絡中對于的要求隨著業(yè)務的多樣化要求也相應增多，這一部分的需求包括虛擬化應用等。的可靠性以及的 本章介紹虛擬化技術的相關應用及基本原理。版權所有 2017 華為技術第2頁目標 學完本課程后，您將能夠：p 描述虛擬系統的應用場景p 描述虛擬系統的基本原理p 配置虛擬系統p 掌握虛擬系統的故障排

2、除方法版權所有 2017 華為技術第3頁目錄1. 虛擬系統概述2. 虛擬系統實現原理3. 虛擬系統配置部署4. 虛擬系統故障排除版權所有 2017 華為技術第4頁虛擬系統簡介 虛擬系統（Virtual System）是在一臺物理設備上劃分出的多臺相互獨立的邏輯設備。每個虛擬系統相當于一臺真實的設備，有自己的接口、地址集、用戶/組、路由表項以及策略， 并可通過虛擬系統管理員進行配置和管理。 虛擬系統特點：p 管理獨立p 表項獨立p 資源固定p 流量隔離版權所有 2017 華為技術第5頁虛擬系統VSYSvsys name vsys -name版權所有 2017 華為技術第6頁interfaceVS

3、YS3interfaceVSYS2interfaceVSYS1應用場景 大中型企業(yè)網絡隔離 企業(yè)內部網絡通過的虛擬系統將網絡隔離為研發(fā)部門、財經部門和行政部門。各部門之間可以根據權限互相訪問，不同部門的管理員權限區(qū)分明確。企業(yè)內部網絡FW研發(fā)部門虛擬系統（研發(fā)）財經部門虛擬系統（財經）行政部門 業(yè)務數據流虛擬系統（行政）版權所有 2017 華為技術第7頁應用場景 云計算的安全網關 企業(yè)A和企業(yè)B分別在云計算中心放置了服務器。作為云計算中心出口的安全網關，能夠隔離不同企業(yè)的網絡及流量，并根據需求進行安全防護。云計算中心企業(yè)A網絡企業(yè)B網絡 業(yè)務數據流版權所有 2017 華為技術第8頁FW虛擬系統

4、A虛擬系統B企業(yè)A企業(yè)B目錄1. 虛擬系統概述2. 虛擬系統實現原理3. 虛擬系統配置部署4. 虛擬系統故障排除版權所有 2017 華為技術第9頁虛擬系統類型上存在根系統和虛擬系統兩種類型的虛擬系統。 Np 根系統(public)：Np 虛擬系統(VSYS)：在N上缺省存在的一個特殊的虛擬系統。上劃分出來的、獨立運行的邏輯設備。版權所有 2017 華為技術第10頁 根系統虛擬系統N虛擬系統B虛擬系統A虛擬系統類型上存在根系統和虛擬系統兩種類型的虛擬系統。 Np 根系統(public)：Np 虛擬系統(VSYS)：在N上缺省存在的一個特殊的虛擬系統。上劃分出來的、獨立運行的邏輯設備。版權所有 2

5、017 華為技術第11頁 根系統虛擬系統N虛擬系統B虛擬系統A虛擬系統和VPN實例關系vsys1vsysnvpn-instancevsys1vpn-instancevsysnrootvpn-instancevpn-npublic 創(chuàng)建虛擬系統時自動生成的VPN實例p 創(chuàng)建虛擬系統時，會自動生成相同名字的VPN實例。底層轉發(fā)依賴于該VPN實例，上層配置業(yè)務時不依賴于VPN實例。 管理員手動創(chuàng)建的VPN實例p 管理員也可用ip vpn-instance命令手動創(chuàng)建VPN實例，用于路由隔離。版權所有 2017 華為技術第12頁虛擬系統管理員 根據虛擬系統的類型，管理員分為根系統管理員和虛擬系統管理員

6、。兩類管理員的作用范圍和功能都不相同。配置虛擬系統業(yè)務創(chuàng)建虛擬系統管理員根系統管理員創(chuàng)建虛擬系統分配虛擬系統資源配置根系統業(yè)務/配置虛擬系統間互訪版權所有 2017 華為技術第13頁 根系統虛擬系統N虛擬系統B虛擬系統A虛擬系統A虛擬系統B虛擬系統N 管理員管理員管理員資源分配 合理地分配資源可以對單個虛擬系統的資源進行約束，避免因某個虛擬系統占用過多的資源，導致其他虛擬系統無法獲取資源、業(yè)務無法正常運行的情況。資源分配支持定額分配或手工分配。 Np 定額分配：SSL VPN虛擬網關，安全區(qū)域。p 手工分配：接口，VLAN，在線用戶數，SSL VPN并發(fā)用戶數，用戶數，用戶組，安全組數，策略數

7、，帶寬。 共享搶占資源。p 地址和地址組，地區(qū)和地區(qū)組，自定義服務和服務組等。版權所有 2017 華為技術第14頁帶寬限制和公網接口 資源類中的帶寬資源分為入方向帶寬、出方向帶寬和整體帶寬三類。一條數據流是受哪類帶寬資源限制與流量的出接口或入接口有關。 公網接口并不是特指連接Internet的接口。而是指接口下配置了setpublic-interface命令的接口。私網接口則是指未配置set public-interface的接口。eire版權所有 2017 華為技術第15頁Private interfacePublic interface inboundntire虛擬系統Aentoutbou

8、ndPrivate interfacePublic interface虛擬系統分流 用于確定報文與虛擬系統歸屬關系的過程稱為分流。 通過分流能將進入設備的報文送入正確的虛擬系統處理。支持基于接口分流和基于VLAN分流兩種分流方式。p 基于接口的分流方式：接口工作在三層。p 基于VLAN的分流方式：接口工作在二層。版權所有 2017 華為技術第16頁基于接口的虛擬系統分流 將接口與虛擬系統綁定后，從此接口接收到的報文都會被認為屬于該虛擬系統，并根據該虛擬系統的配置進行處理。GE1/0/4VVSYSC分流G1/0/1(VSYSA)G1/0/3(VSYSC)G1/0/2(VSYSB)

9、/24/24/24版權所有 2017 華為技術第17頁SYSBVSYSA基于VLAN的虛擬系統分流 將VLAN與虛擬系統綁定后，該VLAN內的報文都將被送入與其綁定的虛擬系統進行處理。GE1/0/2Trunk VLAN 10,20,30VVSYSCVLAN 10VLAN 30VLAN 20分流G1/0/1Trunk VLAN10,20,30VLAN Tag 10VLAN Tag 30VLAN Tag 20VLAN 30VLAN 10VLAN 20版權所有 2017 華為技術第18頁SYSBVSYSA虛擬系統互訪 虛擬接口 虛擬接口是創(chuàng)建虛擬系統時系統自動為其創(chuàng)建

10、的一個邏輯接口，作為虛擬系統自身與其他虛擬系統之間通信的接口。版權所有 2017 華為技術第19頁虛擬接口虛擬鏈路根系統虛擬系統B虛擬系統A虛擬系統N虛擬系統互訪 虛擬系統訪問根系統vsysa路由表public路由表目的地址出接口下一跳/0GE1/0/54 3 按照轉發(fā)流程處理報文，根據路由表轉發(fā)報文，并建立會話。4 訪問Internet/24GE1/0/1GE1/0/2Virtual-if1虛擬系統A（vsysa）Virtual-if0根系統（public）運營商網關5版權所有 2017 華為技術第20頁2 按照轉發(fā)

11、流程處理報文，根據路由表轉發(fā)報文，并建立會話。目的地址出接口下一跳/0Virtual-if0/24GE1/0/ 虛擬系統互訪 根系統訪問虛擬系統vsysa路由表public路由表目的地址出接口下一跳/24Virtual-if/0GE1/0/54 2 按照轉發(fā)流程處理報文，根據路由表轉發(fā)報文，并建立會話。/241 發(fā)送訪問請求GE1/0/2GE1/0/1Virtual-if1虛擬系統A（vsysa）Virtual-if0根系統（public）運營商網關1.1

12、.1.25版權所有 2017 華為技術第21頁3 按照轉發(fā)流程處理報文，根據路由表轉發(fā)報文，并建立會話。目的地址出接口下一跳/24GE1/0/ 虛擬系統互訪 虛擬系統間的互訪vsysa路由表vsysb路由表3 按照轉發(fā)流程處理報文，根據路由表轉發(fā)報文，并建立會 話。4 訪問ServerServer GE1/0/2GE1/0/1Virtual-if1虛擬系統A（vsysa）Virtual-if2虛擬系統B（vsysb）/24/24版權所有 2017 華為技術第22頁2 按照轉發(fā)流程處理報文，根據路由

13、表轉發(fā)報文，并建立會 話。目的地址出接口下一跳/24GE1/0/ 目的地址出接口下一跳/32Virtual-if/24GE1/0/ 目錄1. 虛擬系統概述2. 虛擬系統實現原理3. 虛擬系統配置部署p 關鍵配置(WEB)p 配置舉例4. 虛擬系統故障排除版權所有 2017 華為技術第23頁整體配置思路開始啟用虛擬系統功能配置資源類接口分配及公共接口設定分配VLAN配置公網IP地址創(chuàng)建虛擬系統結束 必選父項 可選子項 必選子項 版權所有 2017 華為技術第24頁使能虛擬系統版權所有 2017 華

14、為技術第25頁123配置資源類版權所有 2017 華為技術第26頁132在此頁面下可以選擇配置分配給虛擬系統的資源項。配置資源類版權所有 2017 華為技術第27頁132在此頁面下可以選擇配置分配給虛擬系統的資源項。創(chuàng)建虛擬系統并分配資源版權所有 2017 華為技術第28頁132接口分配版權所有 2017 華為技術第29頁1公網接口設定版權所有 2017 華為技術第30頁2接口添加完成后，可以選擇將該接口設置為公共接口VLAN分配版權所有 2017 華為技術第31頁公網IP配置版權所有 2017 華為技術第32頁目錄1. 虛擬系統概述2. 虛擬系統實現原理3. 虛擬系統配置部署p 關鍵配置(W

15、EB)p 配置舉例4. 虛擬系統故障排除版權所有 2017 華為技術第33頁虛擬系統配置舉例 虛擬系統間互訪FWGE1/0/3 /24GE1/0/1 /24GE1/0/4 /24GE1/0/2 /24Internet/24版權所有 2017 華為技術第34頁vsysavsysb區(qū)域A內部網絡Trust研發(fā)部門/24Trust非研發(fā)部門/24虛擬系統配置思路創(chuàng)建虛擬系統并分配資源配置虛擬系統間互訪啟用虛擬系統配置資源類版權所有 2017 華為技術第35頁數據規(guī)劃版權所有 2017 華為

16、技術第36頁步驟序號步驟詳解vsysa虛擬系統名：vsysa公網接口/地址/安全區(qū)域：GE1/0/1(/24)，Untrust 私網接口/IP地址/安全區(qū)域：GE1/0/3(/24)，Trust 私網地址范圍：/24允許訪問Internet的地址范圍：0vsysb虛擬系統名：vsysb公網接口/地址/安全區(qū)域：GE1/0/2(/24)，Untrust 私網接口/地址/安全區(qū)域：GE1/0/4(/24)，Trust 私網地址范圍：/24資源類名稱：r1會話保證值/最大值

17、：10000/50000 用戶數：300用戶組：10 策略數：300出方向帶寬：20M啟動虛擬系統 進入“面板”，在“系統信息”窗格中，單擊“虛擬系統”所在行的“配置”，啟用虛擬系統功能。版權所有 2017 華為技術第37頁配置資源類 選擇“系統 虛擬系統 資源類”，單擊“新建”，按如下所示配置。版權所有 2017 華為技術第38頁創(chuàng)建虛擬系統并分配資源類 選擇“系統 虛擬系統 虛擬系統”。 單擊“新建”，選擇“基礎配置”頁簽，按如下所示配置。版權所有 2017 華為技術第39頁接口分配 選擇“接口分配及公共接口設定”頁簽，為虛擬系統分配接口，按如下所示配置。版權所有 2017 華為技術第40

18、頁公共接口設定 將GE1/0/1接口設置為公共接口。 參考上述步驟，創(chuàng)建虛擬系統vsysb并為其分配資源r1、分配接口“GE1/0/2”和“GE1/0/4”。版權所有 2017 華為技術第41頁接口及路由配置 配置Virtual-if0接口，并將接口加入安全區(qū)域。 在根系統中為互訪的員工配置路由，實現vsysa與 vsysb互訪。 在虛擬系統vsysa中配置接口相關參數。Virtual-if1接口上的IP地址可 設置為任意值，保證不與其他接口上的IP地址沖突即可。p 在界面右上角的“虛擬系統”下拉菜單中選擇“vsysa”，進入vsysap 配置虛擬系統vsysa中接口相關參數版權所有 2017

19、 華為技術第42頁策略配置 在虛擬系統vsysa中配置路由，使其訪問Internet。 在虛擬系統vsysa中配置安全策略，允許特定網段的研發(fā)員工訪問Internet ，允許vsysa和vsysb中特定員工互訪。p 根據需求創(chuàng)建三個地址段分別為名稱為ipaddress1(-0) , ipaddress2(0-0) , ipaddress3(0-0)p 配置安全策略 在虛擬系統vsysa中配置NAT策略，保證研發(fā)部上網員工能正常訪問Internet。 根系統管理員為虛擬系統vsysb配置IP地址、路由

20、、安全策略和NAT 策略。 具體配置過程與研發(fā)部門類似。版權所有 2017 華為技術第43頁策略配置 在虛擬系統vsysa中配置路由，使其訪問Internet。 在虛擬系統vsysa中配置安全策略，允許特定網段的研發(fā)員工訪問Internet ，允許vsysa和vsysb中特定員工互訪。p 根據需求創(chuàng)建三個地址段分別為名稱為ipaddress1(-0) , ipaddress2(0-0) , ipaddress3(0-0)p 配置安全策略 在虛擬系統vsysa中配置NAT策略，保證研發(fā)部上網員工能正常

21、訪問Internet。 根系統管理員為虛擬系統vsysb配置IP地址、路由、安全策略和NAT 策略。 具體配置過程與研發(fā)部門類似。版權所有 2017 華為技術第44頁結果驗證 從研發(fā)部門的內網選擇一臺允許訪問Internet的主機，和一臺不允許訪問Internet的主機，如果訪問結果符合預期，說明IP 地址、vsysa的安全策略和NAT策略的配置正確。 從非研發(fā)部門的內網主動訪問Internet，如果能夠訪問成功， 說明IP地址、vsysb的安全策略和NAT策略配置正確。 研發(fā)部門和非研發(fā)部門之間特定的員工可以互訪。版權所有 2017 華為技術第45頁目錄1. 虛擬系統概述2. 虛擬系統實現原

22、理3. 虛擬系統配置部署4. 虛擬系統故障排除版權所有 2017 華為技術第46頁虛擬系統排障思路 按照如下步驟依次排查p 檢查對端設備狀態(tài)是否正常p 檢查網線連接是否正確，網線本身是否存在問題p 檢查報文出入接口物理狀態(tài)是否Upp 檢查報文出入接口是否都配置了IP地址，且接口協議狀態(tài)是否都為Upp 檢查報文出入接口是否都分配給了該虛擬系統p 檢查虛擬系統的路由配置是否正確p 檢查報文出入接口是否都加入了虛擬系統的安全區(qū)域p 檢查報文出入接口的域間安全策略以及NAT策略是否配置正確版權所有 2017 華為技術第47頁排障案例主核心交換機備核心交換機11接入交換機版權所有 2017 華為技術第4

23、8頁GE1/0/2 /24GE1/0/1 /24vsysapublicNGE1/0/3 /24排障步驟 (1/3) 故障定位p 檢查IP地址是否配置正確(display ip interface brief)版權所有 2017 華為技術第49頁USG6000V1display ip interface briefInterfaceIP Add/MaskPhys Protocol GigabitEthernet0/0/0 /24downdown GigabitEthernet1/0/1 /24upup Gigab

24、itEthernet1/0/2 /24upup GigabitEthernet1/0/3 /24upup Virtual-if0unassignedupup(s)Virtual-if1unassignedupup(s)排障步驟 (2/3)p 查看接口是否配置給相關系統(display vsys verbose)版權所有 2017 華為技術第50頁USG6000V1display vsys verbose Total Virtual system Configured: 2Name : vsysa ID : 1Startup time : 2017/07/25

25、13:22:28Up time : 0 days, 0 hours, 18 minutes and 45 SecsInterfaces : GigabitEthernet1/0/2,GigabitEthernet1/0/3Administrator :Resource class : r0排障步驟 (3/3)p 檢查路由配置是否有問題(display ip routing-table)p 查看接口是否加入相關虛擬系統安全區(qū)域(display zone)n 發(fā)現與虛擬系統通信的Virtualif0接口沒有加入安全區(qū)域 故障處理p 將Virtualif0加入根系統的安全區(qū)域p 檢測連通性沒有問題版

26、權所有 2017 華為技術第51頁排障總結 若創(chuàng)建虛擬系統出現故障，一般是License未激活。 分配接口未成功，一般是接口被加入到了其他虛擬系統或者是二層接口。 當進行虛擬系統間互訪時，需要配置從虛擬入接口到virtualif接口的安全策略，且虛擬接口一定要加域。 虛擬上需要配置到public的路由。 根墻同樣也需要配置路由到對應的vpn-instance中。版權所有 2017 華為技術第52頁虛擬系統功能使用限制&注意事項版權所有 2017 華為技術第53頁功能使用限制管理員虛擬系統管理員不能通過Console口登錄設備。特征庫和系統軟件升級只能在根系統中進行特征庫和系統軟件的升級操作。配

27、置文件管理虛擬系統管理員可以通過Web界面或CLI界面查看、保存自己管理的虛擬系統的配置。但配置文件的導入、導出只能通過Web界面。SSH支持虛擬系統管理員通過STelnet方式登錄虛擬系統，但本地密鑰對只能在根系統生成，所有虛擬系統共用根系統的配置。服務端口所有服務端口都只能在根系統中修改，如HTTP服務端口、HTTPS服務端口、SSH服務端口等。證書只能在根系統中進行證書的相關配置，如申請、導入和刪除證書，上傳CRL列表，配置證書過濾規(guī)則等，所有虛擬系統共用根系統的配置。用戶與認證只能在根系統中配置重定向認證方式和認證頁面。策略路由策略路由支持配置跨虛擬系統轉發(fā)，但只有根系統管理員可以配置報文按照策略路由從一個虛擬系統轉發(fā)到另一個虛擬系統。虛擬系統功能使用限制&注意事項版權所有 2017 華為技術第54頁功能使用限制管理員虛擬系統管理員不能通