本帖最后由 999的demo 于 2024-6-24 01:10 编辑
AF虚拟系统介绍 虚拟系统应用场景 虚拟系统主要用于分区分域、多分支接入隔离等场景 分区分域场景 数据中心存在多个分区,一台墙上做策略管理很复杂,通过一区一台物理墙的方式则成本高 多分支接入隔离场景 下属资源要统一接入到总局,但是因为没有做统一规划,各单位存在ip冲突的情况,没办法通过单台防火墙直接接入 哪些AF版本支持虚拟系统功能 从AF8.0.59版本开始支持虚拟系统功能 截止标准版本AF8.0.85,AF的虚拟系统只有传统防火墙的功能,只有应用控制策略和本机访问控制策略。不支持安全防护策略、高可用性、VPN等其他的功能模块 截止标准版本AF8.0.85 ,AF上的虚拟系统功能不支持独立分配CPU和内存 虚拟防火墙能够配置的数量 虚拟防火墙支持数量和内存大小相关:4G内存型号(最大6个,正常使用推荐1个)、8G内存型号(最大6个,正常使用推荐3个)、16G内存型号(最大10个,正常使用推荐5个)、32G内存型号(最大32个,正常使用推荐16个)、40G及以上型号(最大225个,正常使用推荐25个)
虚拟系统的功能虚拟系统(Virtual System),简称为VSYS(有厂商又称为lsys,逻辑系统),能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可以拥有独立的系统资源,且能够实现防火墙的部分功能(虚拟系统只支持传统的防火墙功能进行应用控制,无法做安全防护和VPN等功能)。每个虚拟防火墙系统之间相互独立,不允许直接相互通信(可以通过虚拟接口实现互访) AF设备上存在两种类型的虚拟系统 根系统(Public) 是AF设备上缺省存在的一个特殊的虚拟系统,即使虚拟系统功能未启用,根系统也依然存在。此时管理员对AF设备进行配置等同于对根系统进行配置。启用虚拟系统功能后,根系统会继承先前AF设备上的配置。 在虚拟系统这个特性中,根系统的作用是管理其他虚拟系统,并为虚拟系统间的通信提供服务。 虚拟系统(VSYS) 是在AF设备上划分出来的、独立运行的逻辑设备。 有独立的接口、基础对象、路由表项以及策略,并可通过虚拟系统管理员进行独立配置和管理。 虚拟系统管理员只能对应的虚拟系统,根统管理员可以管理所有系统 虚拟系统管理员登录账号格式为”用户名@@虚拟系统名称” 在多个管理员进行配置操作时,有可能会造成策略下发失败或者变慢; 虚拟系统(VSYS)支持的功能
虚拟系统资源和接口分配截止标准版本AF8.0.85 ,AF上的虚拟系统功能不支持独立分配CPU和内存 资源分配 虚拟系统的资源分配分为定额和手工分配两种方式,默认手工分配的资源无限制 定额分配 此类资源直接按照系统规格自动分配固定的资源数,不支持用户手动分配,例如安全区域,管理员等。 手工分配 此类资源支持用户通过命令行或Web界面中的资源类界面手动分配,例如会话数,应用控制策略等。 其他的资源项则是各个虚拟系统一起共享抢占整机资源,同样不支持用户手动分配 接口分配 支持为虚拟系统分配物理接口、子接口、Vlan接口 分配子接口和Vlan接口的时候都需要现在根系统上创建好相应的子接口和Vlan接口才能分配给虚拟系统
虚拟系统之间互访虚拟系统之间通过虚拟接口互访 虚拟接口(如果需要虚拟系统互访,虚拟接口必须配置上IP地址和区域) 虚拟接口是创建虚拟系统时系统自动为其创建的一个逻辑接口,作为虚拟系统自身与其他虚拟系统之间通信的接口。 通过将虚拟接口加入安全区域并按照配置一般设备间互访的思路配置路由和策略,就能实现虚拟系统和根系统的互访、虚拟系统之间的互访。 虚拟接口的命名格式 虚拟接口名的格式为“vsysif+接口号”,根系统的虚拟接口名为vsysif0,其他虚拟系统的vsysif接口号从1开始,根据系统中接口号占用情况自动分配 注意事项 虚拟系统互访场景最多可部署三个虚拟系统互访,即A访问B再访问C然后再访问D是不支持的
AF虚拟系统案例分享 物理拓扑 其中下行两台交换机并没有做堆叠等高可用,而是两台独立做的双活(因此AF和这两个交换机的互联地址为不同网段的,即AF连接交换机的下行的两个接口无法做聚合了) 逻辑拓扑 包含根系统共三个系统,每个系统都有独立的下行地址。上行地址只有根系统有,其它系统需要去访问公网需要通过根系统来走。 建议使用子接口(不要使用Vlan接口,以下配置是通过Vlan接口来配置的,子接口的配置和Vlan接口配置一致) 注意:当使用子接口的时候物理接口为三层,使用Vlan接口的时候物理接口为二层 虚拟系统配置
1、开启虚拟系统 2、新建资源类型(也可以使用默认的资源池) 3、新建虚拟系统(绑定资源和接口—逻辑接口可以在创建的时候直接绑定) 3.1创建Vlan接口直接分配给虚拟系统 3.2进入到虚拟系统查看分配的接口 3.3-Vlan或者子接口加入到虚拟系统时,对应的物理接口也会加入到虚拟系统,此时就需要在虚拟系统为物理接口配置区域 3.4此时可以在根墙上看到物理接口属于多个虚拟系统了 配置策略和路由
配置应用控制策略和NAT 配置接口
配置高可用注意事项 l 开启虚拟系统之后,高可用不支持镜像模式 l 无法在虚拟系统上配置高可用,但是可以在根系统上配置高可用,然后为对应的虚拟系统配置虚拟IP l 所有的虚拟系统共用心跳线 配置虚拟IP和心跳口 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-6-24 08:02
工程师2级 
