vsys enable //开启虚拟系统
resource-class xxx //创建资源类
在资源类视图:resource-item-limit xxx
可分配的资源如上图所示,上面的资源都是手工资源,即可以手工分配的资源,还有一些资源是不能手工分配的,称为定额分配,比如默认的安全区域,每个虚拟子系统都有默认的4个安全区域。还有共享抢占资源,它们是全部的虚拟子系统共享的,比如ARP表,server-map表,MAC地址表。
下面是各个手工分配可选项的含义:
会话数 //会话的数量
在线用户数 //主要和用户认证相关
用户数 //可以创建的用户数
用户组数 //可以创建的用户组数
策略数 //可创建的策略的数目,包括安全策略,NAT策略和其他一些策略
带宽策略数 //顾名思义
入方向带宽 //表示public接口到private接口的带宽
出方向带宽 //表示private接口到public接口的带宽
什么叫public接口和private接口?在根系统中我们可以人为的设定接口的类型是public或者private,其主要作用就是区分流量的方向,对于虚拟系统中的vlanif接口,它们默认是public接口
新建会话速率 //表示建立会话的速度
vsys name xxx //创建一个虚拟子系统
在虚拟子系统视图下: assign xxx //表示分配系统资源给虚拟子系统,分配的资源可以是接口,vlan也可以是资源类,如下图所示:
其中分配接口和VLAN的主要作用是为了分流,那么什么是分流?分流就是使用接口或者VLAN或者VNI区分不同的虚拟系统流量。
那么分配IP地址的作用是什么?它的作用是为了给虚拟系统进源NAT和NAT server的操作。在配置了虚拟系统后,我们可以将虚拟系统视为逻辑独立的设备,它一方面将资源分离出去了,将管理权分离,但是另一方面也增加了配置的流程。什么意思?如果是多个人管理多个虚拟系统那么管理的内容将会更加少,管理也会更加的轻松,但是如果一个人管理多个虚拟系统,那么无疑是自找苦吃。因为你不仅要在脑中想象出虚拟系统和根系统之间的联系,还要担忧在进行nat或者nat server之后安全策略的书写,同时为了保证虚拟系统可以访问外网或者被外网访问,你还要思考是否将物理接口分配给虚拟系统,或者使用根系统做中介来将虚拟系统的内网流量胡进行转发,所以虚拟系统的加入对于单个人来说无疑是增加了管理的负担。
switch vsys xxx //切换到某个虚拟系统
firewall import-flow public 192.168.0.1 192.168.0.254 vpn-instance A //创建虚拟子系统的引流表,上面的引流表就是将虚拟子系统的网段进行声明,表示该虚拟子系统中的网络地址有哪些,那么当有流量流入根系统后,根系统知道你的目的地址以及目的虚拟子系统就会直接进行转发且不会在根系统创建会话表,同时如果该虚拟子系统有流量向外发送,那么会反向匹配该引流表,那么会直接根据路由进行转发,且同样不会在根系统上面创建会话表。
与虚拟系统相关的静态路由的配置命令
ip route-static 0.0.0.0 0 public //这个静态路由主要配置在虚拟子系统上,将不认识的报文直接发送给根系统
ip route-static vpn-instance A 192.168.0.0 24 vpn-instance B //该命令主要在根系统上配置,当有源虚拟子系统是A,目的虚拟子系统是B,且目的网段是192.168.0.0/24 的时候,就将这个报文发送给虚拟子系统B,当你查看A的路由表的时候,会发现下一跳是虚拟系统B的vlanif接口。
ip route-static 192.168.0.0 24 vpn-instance B //该命令主要在根系统上使用,其表示当根系统接收到目的网段是192.168.0.0/24的报文的时候,将其转发给虚拟系统B