《《虚拟系统培训》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《虚拟系统培训》PPT课件.ppt(51页珍藏版)》请在三一办公上搜索。
1、虚拟系统培训文档,测试部:涂建伟2007/04/12,培训内容,虚拟系统设计需求虚拟系统工作原理竞争对手产品典型应用虚拟系统配置说明虚拟系统FAQ,虚拟系统设计需求,虚拟系统设计的动机将一台物理设备虚拟成多台逻辑上相互独立的虚拟设备,以满足某些行业对防火墙的使用需要,虚拟系统设计需求,如教育行业,不同科系的网络合在一起,共用一台出口设备,需要管理员给这些科系分别配置访问权限,虚拟系统设计需求,电信机房中托管着很多不同企业的服务器,其上运行业务也各有不同,虚拟系统设计需求,问题一不同公司或科系的网络混在一起,为网络病毒大面积的传播提供了有利条件,虚拟系统设计需求,问题二不同公司或科系的网络混在一
2、起,彼此之间可以相互访问,一旦一部分发生了安全漏洞,会导致整个网络存在安全漏洞,虚拟系统设计需求,问题三随着公司和科系部门的增加,对防火墙的配置管理难度也在不断的增加,配置维护的管理工作量也在不断的加大,虚拟系统工作原理,虚拟系统的基本理论前提共享一台防火墙设备的用户流量是可以通过某种方式明确划分的,虚拟系统工作原理,流量划分方式分为两种:1、按照接口独享划分2、按照VLAN来划分,虚拟系统工作原理,按照接口独享方式划分虚拟设备只拥有独占的网络接口,虚拟设备之间没有共享的网络接口只接收和转发递送到虚拟设备所属接口上的流量,这里的网络接口可以是物理接口也可以是虚拟接口(如vlan接口或子接口)。
3、,虚拟系统工作原理,按照VLAN方式来划分可以定义一个vlan虚接口是某虚拟系统独占,该vlan下所接收的流量都属于某虚拟系统所有(vlan本身就具有这种特性)trunk接口在本质上却是共享,这里我们只能通过vlanid来区分流量的归属,虚拟系统工作原理,总结出流量划分的规则是:每个虚拟系统都定义自己所需要管理的独占网络接口和vlanid虚拟系统独占接口上接收到的流量归属于该接口所属的虚拟系统处理从trunk口上进入的流量归属于该流量vlanid所属的虚拟系统处理,虚拟系统工作原理,按照上面的规则,流量在进入系统之后就可以进行明确划分,划分之后会流经TOS中其他模块进行的后续处理,虚拟系统工作
4、原理,如下图所示:不同系统的流量在流经SE,路由等模块是只匹配属于本虚拟系统的规则,忽略其他虚拟系统的规则。,虚拟系统工作原理,原有系统的数据处理示意图,接口没有子接口之分,所有接口包括VLAN接口收上来的报文都由TOS系统按统一流程的处理,不同接口之间的流量不作区分,在处理上是处于同等的地位原始的TOS系统中,防火墙规则和路由转发规则都没有做出划分,所有规则都会应用于所有流经该模块的流量,虚拟系统工作原理,虚拟系统的数据处理示意图,虚拟系统工作原理,设备上存在子接口,在使用上把每个实接口、子接口、VLAN接口都作同等对待,接口属性独立存在,虚拟系统工作原理,系统间的流量互不相干,流量管理也是
5、独立存在,互不影响,虚拟系统工作原理,目前功能模块只有PF、FW、NAT支持虚拟系统,虚拟系统工作原理,流量的vsid和规则的vsid要匹配,如果不相同,则该规则不应用于该流量,虚拟系统工作原理,连接表实现对VSID的支持,虚拟系统工作原理,对象支持虚拟系统,虚拟系统工作原理,静态和策略路由表支持虚拟系统,对多播路由的支持后续版本中完成,虚拟系统工作原理,虚拟系统有独立的管理帐户,虚拟系统工作原理,虚拟系统之间的配置完全独立,虚拟系统工作原理,管理权限有限部分系统信息(只读)独占接口的配置(只读)路由规则(只读)对象配置(读写)PF规则(读写)FW规则(读写)NAT规则(读写),而对于其他的配
6、置项目,比如DPI等,以后相关模块对虚拟系统支持之后逐步开放,虚拟系统工作原理,虚拟系统之间的通讯 目前不支持!,竞争对手产品,清华紫光的unisgate电信级安全网关NETSCREEN的高端产品系统 NETSCREEN已经实现全部功能的支持同时还支持虚拟系统的配置独立,典型应用一:透明方式,设备以纯透明方式接入用户使用两个TRUNK接口ETH0、ETH1,支持的VLAN为vlan10和vlan20Vlan10属于虚拟系统10,vlan20属于虚拟系统20两个虚拟系统访问权限不同:虚拟系统10只允许访问web服务,虚拟系统20只允许访问smtp和pop3,典型应用一:配置案例,使用超级管理员登
7、录在用户认证-管理员处-添加虚拟系统管理员 添加两个虚拟系统管理员vs10和vs20分别管理虚拟系统10和20,典型应用一:配置案例,添加VLAN10和VLAN20,修改它们的虚系统号为10和20修改eth0和eth1为交换接口TRUNK模式配置它们支持vlan10和vlan20,典型应用一:配置案例,使用虚拟系统10管理员登录管理设备添加虚拟系统10的子网对象 添加虚拟系统10的自定义服务对象,典型应用一:配置案例,添加两条访问控制规则,只开放WEB的访问权限使用虚拟系统20管理员登录管理设备添加虚拟系统20的子网对象,典型应用一:配置案例,添加虚拟系统20的自定义服务对象添加两条访问控制规
8、则,只开放smtp和pop3的访问权限,典型应用二:路由方式,设备以混合模式接入用户使用一个物理接口eth0做为用户出口,在其上配置多个子接口veth0.1和veth0.2分别给不同的用户使用用一个TRUNK接口eth1做内接口,把内部用户按VLAN分开,每个用户使用一个独立的VLAN。Veth0.1和vlan10属于虚拟系统10,Veth0.2和vlan20属于虚拟系统20两个虚拟系统访问权限不同:虚拟系统10只允许访问web服务,虚拟系统20只允许访问smtp和pop3,典型应用二:配置案例,使用超级管理员登录在用户认证-管理员处-添加虚拟系统管理员 添加两个虚拟系统管理员vs10和vs2
9、0分别管理虚拟系统10和20,典型应用二:配置案例,添加VLAN10和VLAN20,修改它们的虚系统号为10和20,并给它们配置上相应的IP地址10.1和20.1修改eth1为交换接口TRUNK模式配置eth1支持vlan10和vlan20,典型应用二:配置案例,添加veth0.01和veth0.02,修改它们的虚系统号为10和20,并给它们配置上相应的IP地址110.1和120.1添加两条目的为全0的策略路由,典型应用二:配置案例,使用虚拟系统10管理员登录管理设备添加虚拟系统10的子网对象 添加虚拟系统10的自定义服务对象,典型应用二:配置案例,添加两条访问控制规则,只开放WEB的访问权限
10、使用虚拟系统20管理员登录管理设备添加虚拟系统20的子网对象,典型应用二:配置案例,添加虚拟系统20的自定义服务对象添加两条访问控制规则,只开放smtp和pop3的访问权限,虚拟系统配置说明,虚拟系统目前只支持WEBUI的虚拟系统管理员配置界面虚拟系统目前不支持CLI的虚拟系统管理员配置界面超级管理员可以在CLI下进行虚拟系统的配置管理(不推荐用户使用),虚拟系统配置说明,命令行vsid取值含义定义 0:根系统1-254:虚拟系统号255:保留虚拟系统号(现在未使用),虚拟系统FAQ,虚拟系统目前支持的模块为NAT、FW、PF RULE,还没有明确支持DPI、AV等模块,使用时应该尽可能不启用
11、这些模块(包括协议支持),虚拟系统FAQ,启用DPI的FTP协议支持后,在部分虚拟系统NAT环境下可能无法使用FTP的主动模式,只用切换成FTP的被动模式就可以正常进行数据传送,虚拟系统FAQ,虚拟系统只支持WEBUI的管理,可以通过根系统下添加虚拟管理员来对虚拟系统进行配置管理,CLI不支持虚拟系统管理员登录(注:根系统下管理员可以在CLI下进行虚拟系统的配置管理体,但不推荐使用),虚拟系统FAQ,PF SERVICE的规则对各虚拟系统都可以生效,在根系统下配置就可以控制虚拟系统的管理权限,虚拟系统FAQ,PF RULE的缺省规则对各虚拟系统都可以生效,使用时要注意,配置不当会导致其它系统的通讯造成影响,虚拟系统FAQ,IPMAC绑定对各虚拟系统都可以生效,对虚拟系统下的IPMAC绑定也要在根系统下配置才能生效,虚拟系统FAQ,各虚拟系统下的主要对象都是独立存在的,但部分对象是公用的(如:属性对象、属性组对象、预定义的服务对象),
