《虚拟系统培训》PPT课件.ppt

虚拟系统培训文档虚拟系统培训文档测试部：涂建伟测试部：涂建伟2007/04/12培训内容虚拟系统设计需求虚拟系统工作原理竞争对手产品典型应用虚拟系统配置说明虚拟系统FAQ虚拟系统设计需求虚拟系统设计的动机将一台物理设备虚拟成多台逻辑上相互独立的虚拟设备，以满足某些行业对防火墙的使用需要 虚拟系统设计需求如教育行业，不同科系的网络合在一起，共用一台出口设备，需要管理员给这些科系分别配置访问权限虚拟系统设计需求电信机房中托管着很多不同企业的服务器，其上运行业务也各有不同虚拟系统设计需求问题一不同公司或科系的网络混在一起，为网络病毒大面积的传播提供了有利条件虚拟系统设计需求问题二不同公司或科系的网络混在一起，彼此之间可以相互访问，一旦一部分发生了安全漏洞，会导致整个网络存在安全漏洞虚拟系统设计需求问题三随着公司和科系部门的增加，对防火墙的配置管理难度也在不断的增加，配置维护的管理工作量也在不断的加大虚拟系统工作原理虚拟系统的基本理论前提共享一台防火墙设备的用户流量是可以共享一台防火墙设备的用户流量是可以通过某种方式明确划分的通过某种方式明确划分的 虚拟系统工作原理流量划分方式分为两种：1、按照接口独享划分2、按照VLAN来划分虚拟系统工作原理按照接口独享方式划分虚拟设备只拥有独占的网络接口，虚拟设备之间没有共享的网络接口只接收和转发递送到虚拟设备所属接口上的流量，这里的网络接口可以是物理接口也可以是虚拟接口（如vlan接口或子接口）。虚拟系统工作原理按照VLAN方式来划分可以定义一个vlan虚接口是某虚拟系统独占，该vlan下所接收的流量都属于某虚拟系统所有（vlan本身就具有这种特性）trunk接口在本质上却是共享，这里我们只能通过vlanid来区分流量的归属 虚拟系统工作原理总结出流量划分的规则是：每个虚拟系统都定义自己所需要管理的独占每个虚拟系统都定义自己所需要管理的独占网络接口和网络接口和vlanid虚拟系统独占接口上接收到的流量归属于该虚拟系统独占接口上接收到的流量归属于该接口所属的虚拟系统处理接口所属的虚拟系统处理从从trunk口上进入的流量归属于该流量口上进入的流量归属于该流量vlanid所属的虚拟系统处理所属的虚拟系统处理虚拟系统工作原理按照上面的规则，流量在进入系统之后就可以进行明确划分，划分之后会流经TOS中其他模块进行的后续处理 虚拟系统工作原理如下图所示：不同系统的流量在流经SE，路由等模块是只匹配属于本虚拟系统的规则，忽略其他虚拟系统的规则。虚拟系统工作原理原有系统的数据处理示意图原有系统的数据处理示意图 1.接口没有子接口之分，所有接口包括接口没有子接口之分，所有接口包括VLAN接口收上来的报文都由接口收上来的报文都由TOS系统按统一流程的处理，不同接口之间的流量不作区分，在处理上是处系统按统一流程的处理，不同接口之间的流量不作区分，在处理上是处于同等的地位于同等的地位2.原始的原始的TOS系统中，防火墙规则和路由转发规则都没有做出划分，所有系统中，防火墙规则和路由转发规则都没有做出划分，所有规则都会应用于所有流经该模块的流量规则都会应用于所有流经该模块的流量虚拟系统工作原理虚拟系统虚拟系统的数据处的数据处理示意图理示意图 虚拟系统工作原理1.设备上存在子接口,在使用上把每个实接口、子接口、VLAN接口都作同等对待，接口属性独立存在 虚拟系统工作原理2.系统间的流量互不相干，流量管理也是独立存在，互不影响 虚拟系统工作原理3.目前功能模块只有PF、FW、NAT支持虚拟系统虚拟系统工作原理4.流量的vsid和规则的vsid要匹配，如果不相同，则该规则不应用于该流量 虚拟系统工作原理5.连接表实现对VSID的支持虚拟系统工作原理6.对象支持虚拟系统虚拟系统工作原理7.静态和策略路由表支持虚拟系统8.对多播路由的支持后续版本中完成虚拟系统工作原理8.虚拟系统有独立的管理帐户虚拟系统工作原理9.虚拟系统之间的配置完全独立 虚拟系统工作原理管理权限有限部分系统信息（只读）独占接口的配置（只读）路由规则（只读）对象配置（读写）PF规则（读写）FW规则（读写）NAT规则（读写）而对于其他的配置项目，比如DPI等，以后相关模块对虚拟系统支持之后逐步开放虚拟系统工作原理虚拟系统之间的通讯虚拟系统之间的通讯 目前不支持！目前不支持！竞争对手产品清华紫光的清华紫光的unisgate电信级安全网关电信级安全网关NETSCREEN的高端产品系统的高端产品系统 NETSCREEN已经实现全部功能的支持已经实现全部功能的支持同时还支持虚拟系统的配置独立同时还支持虚拟系统的配置独立典型应用一：透明方式设备以纯透明方式接设备以纯透明方式接入用户入用户使用两个使用两个TRUNK接接口口ETH0、ETH1，支持的支持的VLAN为为vlan10和和vlan20Vlan10属于虚拟系统属于虚拟系统10，vlan20属于虚拟属于虚拟系统系统20两个虚拟系统访问权两个虚拟系统访问权限不同：限不同：虚拟系统虚拟系统10只允许访问只允许访问web服务，服务，虚拟系统虚拟系统20只允许访只允许访问问smtp和和pop3 典型应用一：配置案例1.使用超级管理员使用超级管理员登录登录2.在用户认证在用户认证-管管理员处理员处-添加虚添加虚拟系统管理员拟系统管理员 3.添加两个虚拟系添加两个虚拟系统管理员统管理员vs10和和vs20分别管理虚分别管理虚拟系统拟系统10和和20典型应用一：配置案例4.添加添加VLAN10和和VLAN20，修改，修改它们的虚系统号它们的虚系统号为为10和和205.修改修改eth0和和eth1为交换接口为交换接口TRUNK模式模式6.配置它们支持配置它们支持vlan10和和vlan20 典型应用一：配置案例7.使用虚拟系统使用虚拟系统10管理员登录管理管理员登录管理设备设备8.添加虚拟系统添加虚拟系统10的子网对象的子网对象 9.添加虚拟系统添加虚拟系统10的自定义服务对的自定义服务对象象典型应用一：配置案例10.添加两条访问控添加两条访问控制规则，只开放制规则，只开放WEB的访问权的访问权限限11.使用虚拟系统使用虚拟系统20管理员登录管理管理员登录管理设备设备12.添加虚拟系统添加虚拟系统20的子网对象的子网对象典型应用一：配置案例14.添加虚拟系统添加虚拟系统20的自定义服务对的自定义服务对象象15.添加两条访问控添加两条访问控制规则，只开放制规则，只开放smtp和和pop3的访的访问权限问权限典型应用二：路由方式设备以混合模式接入用户设备以混合模式接入用户使用一个物理接口使用一个物理接口eth0做为用户做为用户出口，在其上配置多个子接口出口，在其上配置多个子接口veth0.1和和veth0.2分别给不同的用分别给不同的用户使用户使用用一个用一个TRUNK接口接口eth1做内接做内接口，把内部用户按口，把内部用户按VLAN分开，分开，每个用户使用一个独立的每个用户使用一个独立的VLAN。Veth0.1和和vlan10属于虚拟系统属于虚拟系统10，Veth0.2和和vlan20属于虚拟系统属于虚拟系统20两个虚拟系统访问权限不同：两个虚拟系统访问权限不同：虚虚拟系统拟系统10只允许访问只允许访问web服务，服务，虚拟系统虚拟系统20只允许访问只允许访问smtp和和pop3典型应用二：配置案例1.使用超级管理员使用超级管理员登录登录2.在用户认证在用户认证-管管理员处理员处-添加虚添加虚拟系统管理员拟系统管理员 3.添加两个虚拟系添加两个虚拟系统管理员统管理员vs10和和vs20分别管理虚分别管理虚拟系统拟系统10和和20典型应用二：配置案例4.添加添加VLAN10和和VLAN20，修改它，修改它们的虚系统号为们的虚系统号为10和和20，并给它们配，并给它们配置上相应的置上相应的IP地址地址10.1和和20.15.修改修改eth1为交换接为交换接口口TRUNK模式模式6.配置配置eth1支持支持vlan10和和vlan20 典型应用二：配置案例7.添加添加veth0.01和和veth0.02，修改，修改它们的虚系统号它们的虚系统号为为10和和20，并给，并给它们配置上相应它们配置上相应的的IP地址地址110.1和和120.18.添加两条目的为添加两条目的为全全0的策略路由的策略路由典型应用二：配置案例9.使用虚拟系统使用虚拟系统10管理员登录管理管理员登录管理设备设备10.添加虚拟系统添加虚拟系统10的子网对象的子网对象 11.添加虚拟系统添加虚拟系统10的自定义服务对的自定义服务对象象典型应用二：配置案例12.添加两条访问控添加两条访问控制规则，只开放制规则，只开放WEB的访问权的访问权限限13.使用虚拟系统使用虚拟系统20管理员登录管理管理员登录管理设备设备14.添加虚拟系统添加虚拟系统20的子网对象的子网对象典型应用二：配置案例15.添加虚拟系统添加虚拟系统20的自定义服务对的自定义服务对象象16.添加两条访问控添加两条访问控制规则，只开放制规则，只开放smtp和和pop3的访的访问权限问权限虚拟系统配置说明1.虚拟系统目前只支持WEBUI的虚拟系统管理员配置界面2.虚拟系统目前不支持CLI的虚拟系统管理员配置界面3.超级管理员可以在CLI下进行虚拟系统的配置管理（不推荐用户使用）虚拟系统配置说明4.命令行vsid取值含义定义 0：根系统根系统1-254：虚拟系统号虚拟系统号255：保留虚拟系统号（现在未使用）保留虚拟系统号（现在未使用）虚拟系统FAQ1.虚拟系统目前支持的模块为NAT、FW、PF RULE，还没有明确支持DPI、AV等模块，使用时应该尽可能不启用这些模块（包括协议支持）虚拟系统FAQ2.启用DPI的FTP协议支持后，在部分虚拟系统NAT环境下可能无法使用FTP的主动模式，只用切换成FTP的被动模式就可以正常进行数据传送 虚拟系统FAQ3.虚拟系统只支持WEBUI的管理，可以通过根系统下添加虚拟管理员来对虚拟系统进行配置管理，CLI不支持虚拟系统管理员登录（注：根系统下管理员可以在CLI下进行虚拟系统的配置管理体，但不推荐使用）虚拟系统FAQ4.PF SERVICE的规则对各虚拟系统都可以生效，在根系统下配置就可以控制虚拟系统的管理权限 虚拟系统FAQ5.PF RULE的缺省规则对各虚拟系统都可以生效，使用时要注意，配置不当会导致其它系统的通讯造成影响 虚拟系统FAQ6.IPMAC绑定对各虚拟系统都可以生效，对虚拟系统下的IPMAC绑定也要在根系统下配置才能生效 虚拟系统FAQ7.各虚拟系统下的主要对象都是独立存在的，但部分对象是公用的（如：属性对象、属性组对象、预定义的服务对象）