vsys enable //開啟虛拟系統
resource-class xxx //建立資源類
在資源類視圖:resource-item-limit xxx
可配置設定的資源如上圖所示,上面的資源都是手工資源,即可以手工配置設定的資源,還有一些資源是不能手工配置設定的,稱為定額配置設定,比如預設的安全區域,每個虛拟子系統都有預設的4個安全區域。還有共享搶占資源,它們是全部的虛拟子系統共享的,比如ARP表,server-map表,MAC位址表。
下面是各個手工配置設定可選項的含義:
會話數 //會話的數量
線上使用者數 //主要和使用者認證相關
使用者數 //可以建立的使用者數
使用者組數 //可以建立的使用者組數
政策數 //可建立的政策的數目,包括安全政策,NAT政策和其他一些政策
帶寬政策數 //顧名思義
入方向帶寬 //表示public接口到private接口的帶寬
出方向帶寬 //表示private接口到public接口的帶寬
什麼叫public接口和private接口?在根系統中我們可以人為的設定接口的類型是public或者private,其主要作用就是區分流量的方向,對于虛拟系統中的vlanif接口,它們預設是public接口
建立會話速率 //表示建立會話的速度
vsys name xxx //建立一個虛拟子系統
在虛拟子系統視圖下: assign xxx //表示配置設定系統資源給虛拟子系統,配置設定的資源可以是接口,vlan也可以是資源類,如下圖所示:
其中配置設定接口和VLAN的主要作用是為了分流,那麼什麼是分流?分流就是使用接口或者VLAN或者VNI區分不同的虛拟系統流量。
那麼配置設定IP位址的作用是什麼?它的作用是為了給虛拟系統進源NAT和NAT server的操作。在配置了虛拟系統後,我們可以将虛拟系統視為邏輯獨立的裝置,它一方面将資源分離出去了,将管理權分離,但是另一方面也增加了配置的流程。什麼意思?如果是多個人管理多個虛拟系統那麼管理的内容将會更加少,管理也會更加的輕松,但是如果一個人管理多個虛拟系統,那麼無疑是自找苦吃。因為你不僅要在腦中想象出虛拟系統和根系統之間的聯系,還要擔憂在進行nat或者nat server之後安全政策的書寫,同時為了保證虛拟系統可以通路外網或者被外網通路,你還要思考是否将實體接口配置設定給虛拟系統,或者使用根系統做中介來将虛拟系統的内網流量胡進行轉發,是以虛拟系統的加入對于單個人來說無疑是增加了管理的負擔。
switch vsys xxx //切換到某個虛拟系統
firewall import-flow public 192.168.0.1 192.168.0.254 vpn-instance A //建立虛拟子系統的引流表,上面的引流表就是将虛拟子系統的網段進行聲明,表示該虛拟子系統中的網絡位址有哪些,那麼當有流量流入根系統後,根系統知道你的目的位址以及目的虛拟子系統就會直接進行轉發且不會在根系統建立會話表,同時如果該虛拟子系統有流量向外發送,那麼會反向比對該引流表,那麼會直接根據路由進行轉發,且同樣不會在根系統上面建立會話表。
與虛拟系統相關的靜态路由的配置指令
ip route-static 0.0.0.0 0 public //這個靜态路由主要配置在虛拟子系統上,将不認識的封包直接發送給根系統
ip route-static vpn-instance A 192.168.0.0 24 vpn-instance B //該指令主要在根系統上配置,當有源虛拟子系統是A,目的虛拟子系統是B,且目的網段是192.168.0.0/24 的時候,就将這個封包發送給虛拟子系統B,當你檢視A的路由表的時候,會發現下一跳是虛拟系統B的vlanif接口。
ip route-static 192.168.0.0 24 vpn-instance B //該指令主要在根系統上使用,其表示當根系統接收到目的網段是192.168.0.0/24的封包的時候,将其轉發給虛拟系統B