防火牆虛擬化技術介紹第一篇

防火牆虛擬化技術

防火牆虛擬化介紹

什麼是虛擬化

1. 一虛多：一臺物理機上面邏輯劃分出多個虛擬機，每一個虛擬機有本身的軟件和硬件資源。能夠提示系統資源利用率、節省硬件成本、能耗、空間等等
2. 多虛一：以交換機的虛擬化爲例，經過物理連線，將多個交換機堆疊成一個交換機，能提高其可靠性並下降運維成本
   

   防火牆的虛擬化

    防火牆的虛擬化，就是將一臺物理防火牆，從邏輯上劃分爲多臺虛擬防火牆，可是共享CPU、內存等物理資源；不一樣的虛擬防火牆之間，配置、轉發徹底隔離，從而實現功能定製、個性化管理以及資源的最大化利用
   

   虛擬防火牆

    上一代防火牆的虛擬化是徹底依賴於***實例實現的。***-instance有獨立的安全區域、路由表。經過綁定不一樣的接口，就至關於有了一臺獨立的防火牆。防火牆的基本要素，能實現路由轉發、能實現基於安全區域的策略配置
   

   虛擬系統

    下一代防火牆再也不是徹底依賴於***實例，而是改成了VSYS，即Virtual-system。爲何不叫虛擬防火牆了？由於咱們要拋棄防火牆這硬件的概念，用系統這種邏輯概念來定義防火牆的虛擬化
   

   從VFW到VSYS

    虛擬化就是爲了讓管理員以爲本身獲得了一臺真實的防火牆，那如何才能讓管理員感覺到這點呢
   a) 要有本身獨立的管理員帳號和獨立的配置界面。在上一代防火牆上，這一點也勉強算是作到了，但作的不夠好。由於不少功能並不能在虛擬防火牆獨立的配置界面下完成，而是須要在根防火牆下完成
   b) 虛擬防火牆要有本身獨立的軟件資源，如會話表數、策略數、用戶數等等，這樣就不用去爭搶公共的資源。上一代防火牆僅能分配最大帶寬、會話數等少數幾個資源項，而到了下一代防火牆，支持分配的資源項則是大大地豐富了
   
    上一代防火牆的策略配置時在下一代防火牆上徹底變了。以安全策略爲例，上一代防火牆配置安全策略時，只能是在根防火牆中，經過指定根防火牆的安全區域和虛擬防火牆的安全區域的域間關係來配置安全策略。這樣有兩個弊端，一個是全部的策略配置只能由根系統管理員來完成；二是加入虛擬防火牆後的域間關係複雜，不利於理解和配置
    NGFW策略配置再也不依賴於複雜的域間關係，你能夠像配置物理設備同樣來配置虛擬系統！
   
    下一代防火牆配置時，若是是由根系統管理員來配置，都是使用switch命令進入相應的虛擬系統的配置視圖，而後使用和配置物理防火牆時徹底同樣的命令來進行配置。這樣管理員的配置思路會清晰不少，並且也不須要再記憶兩套配置命令
    將VSYS1視爲一臺獨立的防火牆，使用switch命令進入其獨立的命令行配置視圖。配置命令和方法和原來的物理防火牆同樣。例如，配置源和目的安全區域時，再也不須要帶上***-instance
   
    須要徹底拋棄上一代防火牆經過指定域間關係來配置策略的思路！
    將VSYS1和根系統視爲兩個徹底獨立的防火牆，配置安全策略時，按照配置兩臺獨立防火牆的策略的思路來完成
    Virtualif (虛擬接口）
    默認根牆爲virtualif 0, 虛擬系統的虛擬接口是從1開始,系統分配
   

   虛擬系統原理

   依然存在的***實例

    上一代的虛擬防火牆是徹底依賴於***-instance實現的，而下一代防火牆的虛擬系統再也不徹底依賴***-instance實現。但不是說下一代的虛擬系統就徹底摒棄了***-instance。每一個虛擬系統建立的時候，都會對應建立一個同名稱的***-instance，這個***-instance就是爲了實現各個虛擬系統之間的路由隔離的。也就是說虛擬系統在底層的轉發業務上仍是依賴於***-instance來實現，但到了上層的業務虛擬化時，就再也不依賴於***-instance了
    建立虛擬系統時，會自動建立一個和虛擬系統同名的***-instance
    虛擬系統下，不能建立其餘的***-instance，也不能刪除默認綁定的***-instance
    根系統下，有一個默認的公網實例（public）
    根系統下，能夠建立其餘的***-instance，用於***多實例的應用
   

   虛擬系統主要概念

    ***實例： ***實例最初的含義是實現***（Virtual Private Network）報文轉發所需的路由、接口等信息的集合，後來在防火牆版本如USGV3R1裏，演化成了虛擬防火牆，一個***實例就是一個虛擬防火牆，它包含了路由、策略、系統管理和基本工具等子系統的克隆，是一個比較自爲完善的邏輯防火牆。是防火牆虛擬化的基礎，一個虛擬防火牆具備一個***實例
    ***實例有VRF-ID和RD(Route Distinguisher)兩個屬性。***實例經過RD實現地址空間獨立，區分不一樣***使用的相同地址前綴。資源、配置和業務基於這個ID劃分實例。 VRF的全稱是*** Route Forwarding，它是一種經過路由區分以正確轉發***報文的機制
    在NGFW上，咱們縮小了***實例的範疇，使其只負責網絡接口、路由和轉發的虛擬化，虛擬系統代替***實例來履行配置、上層業務等虛擬化的職責

   虛擬系統關鍵技術

    虛擬化的基礎是資源、配置和業務的虛擬化
    使用ID區分是實現虛擬化的關鍵技術
   
    虛擬化時使用了***實例的ID來區分報文、管理員、配置等等屬於哪一個虛擬防火牆。NGFW上建立虛擬系統時自動生成的***實例的ID固定爲某一段值
   

   虛擬系統依賴關係

   虛擬系統系統管理

    根系統
   缺省存在的一個特殊的虛擬系統，未配置其餘虛擬系統時，根系統就等同於防火牆自身
    根系統管理員
   配置根系統的業務外，還能夠建立虛擬系統，併爲虛擬系統分配資源和建立虛擬系統管理員
    虛擬系統
   邏輯上劃分出來的虛擬設備
    虛擬系統管理員
   配置虛擬系統的業務
   
   
    虛擬系統管理員在設置本系統時，將本系統的VSYS ID置入各業務的配置，用以區分不一樣虛擬系統的配置信息，即配置虛擬化
    虛擬系統管理員只能設置和查看本系統的配置；根系統管理員能夠切換至虛擬系統來設置和查看虛擬系統的配置
    虛擬系統和根系統的配置分區域地保存在一個配置文件裏
   

   虛擬系統資源分配

    資源是指業務正常運轉所必需的硬件、軟件表項等各類形態的計算和存儲單元。虛擬系統對資源的佔用有兩種方式：限額使用和共享搶佔
    對於關鍵資源兩種都可選，對於非關鍵資源只有共享搶佔方式
    關鍵資源包括會話、一體化策略、用戶、用戶組、在線用戶和帶寬，其餘爲非關鍵資源
    資源分配的目的是爲了單個虛擬系統搶佔了過多的資源，致使其餘虛擬系統沒法工做
   
    限額使用的資源有兩種方式
   a) 手工分配限額：手工配置數量 如會話、用戶、策略等
   b) 自動分配限額：虛擬系統建立的時候就固定分配給虛擬系統了 如安全區域在虛擬系統建立時就固定分配8個
    共享搶佔資源：全部虛擬系統+根系統一塊兒搶佔，共用整機的資源 =沒有作分配
   a) 如：地址和地址組、NAT地址池、時間段、各類表項等
   

   虛擬系統轉發

    報文在入接口上被打上標記，此標記即爲接口所屬虛擬系統ID
    經過虛擬系統ID來查找其對應的FIB表、策略或者規則等，來正確處理報文
   
    跨虛擬系統轉發主要用於不一樣虛擬系統管轄的網絡間相互通訊的場景，流量在物理防火牆內就須要完成轉發，虛擬系統間報文的通訊像物理防火牆之間通訊同樣。經過虛擬接口技術能夠實現數據包跨虛擬系統的轉發
    虛擬系統和根系統經過虛擬接口通訊。虛擬系統間訪問經過根系統中轉。配置時，將各個虛擬系統當成獨立的設備
    建立虛擬系統時系統自動爲其建立的一個虛擬接口，做爲虛擬系統自身與其餘虛擬系統之間通訊的接口。與設備上其餘的接口不一樣的是，虛擬接口不配置IP地址也能生效。虛擬接口名的格式爲「Virtualif+接口號」，根系統的虛擬接口名爲Virtualif0，其餘虛擬系統的Virtualif接口號從1開始，根據系統中接口號佔用狀況自動分配
    各個虛擬系統的虛擬接口和根系統的虛擬接口之間默認經過一條「虛擬鏈路」鏈接。將虛擬接口加入安全區域並按照配置通常設備間互訪的思路配置路由和安全策略，就能實現虛擬系統與根系統之間的互訪
    因爲每一個虛擬系統和根系統都是連通的，能夠將根系統視爲一臺鏈接多個虛擬系統的「路由器」，經過這臺「路由器」的中轉，能夠實現兩個虛擬系統之間的互訪