- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
vSystem技术白皮书
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
网络虚拟化旨在构建出一套与网络底层物理拓扑相互独立的逻辑网络环境,提供给不同需求的用户使用。基于这种思想,诞生出了VLAN技术和VPN技术。近年来,随着以VMM(Virtual Machine Monitor,虚拟机监视器)为代表的虚拟化技术在X86服务器领域的广泛应用,用户对虚拟化下沉网络设备层的需求也越来越迫切。
当前,快速发展的业务需求与灵活多变的组织架构要求企业自身的网络环境必须具备高度的灵活性和可维护性,常见场景如下:
· 场景一:某公司急需开展一项新的业务,需要为其单独部署一套新的网络环境,而重新购买和部署新的网络设备,不仅会增加建设成本,还会延长业务上线时间。
· 场景二:某大型企业内部包含大量业务部门,有着复杂的网络划分和隔离需求。传统防火墙通过安全域和安全策略对网络进行管控。面对如此复杂的内部网络环境,以上方式往往会导致策略配置异常复杂,给管理员带来巨大的维护负担。
· 场景三:某服务商为各类企业提供云计算服务,这些企业的业务规模及其对业务安全的需求各有不同,需要云计算网关能够为不同客户提供不同的安全防护服务,定制不同的安全防护策略。
vSystem技术即是针对上述场景中用户所面对的众多问题而诞生的解决方案。
如图1所示,vSystem是一种网络设备虚拟化技术,能将一台物理设备虚拟为多台相互独立的逻辑设备(即vSystem)。vSystem具有以下优点:
· vSystem可有效利用设备硬件资源,单一设备可为多个组织提供相互独立的服务,节省能耗和管理成本。
· vSystem可由统一的根系统管理员或相互独立的vSystem管理员进行管理,责任清晰、管理灵活。
· 每个vSystem拥有独立的业务配置和路由表项,地址空间重叠的用户仍然可以正常通信。
· 每个vSystem拥有固定的接口、VLAN资源以及其它资源限制,业务繁忙的vSystem不会对其它vSystem造成影响。
· 每个vSystem之间的流量相互隔离,安全性高。在需要的时候,vSystem之间也可以进行安全互访。
· vSystem消耗设备资源少,适合大规模部署。
图1 vSystem原理图
vSystem技术可以实现将物理设备虚拟成数百台甚至更多的逻辑设备,并让所有的逻辑设备以与物理设备相同的方式对外服务。物理设备本身又称为根系统,可被视作缺省vSystem;被虚拟出来的vSystem可被视作非缺省vSystem(下面如无特殊说明,出现的vSystem均指非缺省vSystem)。在用户看来,一个非缺省vSystem与根系统无异。
为实现海量vSystem的构建,vSystem技术在如下几个方面取得了突破。
vSystem技术为所有非缺省vSystem创建了独立的管理接口,包括命令行(CLI)界面、Web界面和NETCONF接口。这些接口的展现形式和使用方式与物理设备本身的接口完全一致,用户在使用这些接口时,不用进行额外的操作,这样就保证了vSystem的配置通用性和可维护性。
如图2所示,vSystem技术通过两级管理体制实现了灵活的管理角色授权和清晰的管理权责划分。管理体制下包含如下两级管理角色:
· 根系统管理员(即设备管理员):根系统管理员负责创建vSystem,为vSystem分配资源,以及创建vSystem管理员;
· vSystem管理员:vSystem管理员负责vSystem内的配置和管理。vSystem管理员的管理权限被严格限制在本vSystem内,不能登录到其它vSystem上进行查看和配置。
图2 vSystem管理角色示意图
拥有大量分支机构的企业能够凭借此技术实现如下管理场景:
· 公司总部的根系统管理员创建和初始化分支机构vSystem,并为分支机构的vSystem管理员分配或取消权限。
· 分支机构的vSystem管理员负责本部门范围内的业务配置和设备管理。如有必要,公司总部的根系统管理员也能对分支机构的业务、设备和管理进行干预。
根系统管理员可以将物理设备上的三层接口和VLAN资源按需分配给vSystem。当不同vSystem的使用需求出现变化时,根系统管理员可以重新分配和协调这些资源,实现资源利用最大化。
vSystem基于独占模式使用三层接口和VLAN资源,一旦三层接口或VLAN被分配给某个vSystem,其它vSystem就不可使用该三层接口或VLAN(及其关联的VLAN接口)。
未被分配给非缺省vSystem的所有资源属于缺省vSystem。
与三层接口和VLAN资源不同,其它诸如安全策略、会话和吞吐量等资源以共享方式供所有vSystem使用。vSystem可根据自身业务的运行状况,对表项和带宽资源进行灵活申请。
为避免因某个vSystem占用了过多资源,而使其它vSystem上的业务无法正常运行,根系统管理员可以针对每个vSystem中的不同资源分别配置其可被使用的上限。当某vSystem的资源使用量(包括安全策略规则数、会话新建速率、会话并发数和吞吐量)达到指定上限,该vSystem将不能继续申请更多的资源,这就保证了其它vSystem上的业务能够正常运行,互不影响。
对于接口资源,其回收需要由根系统管理员进行手工处理;对于表项和带宽资源,当某vSystem的资源使用量下降后,其释放的资源可以由其它vSystem在其上限内自由使用。
一旦根系统管理员删除了某个vSystem,该vSystem所占据的所有资源将被释放,资源可以被分配给其它vSystem继续使用。
vSystem技术通过一种特殊的方式实现了不同虚拟化实例下的业务隔离。其核心是在创建vSystem时同时创建一个同名VPN实例,并将二者进行绑定。此vSystem的业务流量被严格限制在与其绑定的VPN实例内。这样一来,设备将不同vSystem的业务报文视为不同VPN实例下的报文,仅需要为每个业务启动一个进程,便可以支持所有vSystem上该业务的运行。
不同vSystem的配置信息能够相互独立、互不干涉,vSystem重启后,其配置信息能够准确无误地还原。
vSystem使用与业务隔离类似的思路进行配置隔离。具体来看,设备仅维护一个配置文件,供所有vSystem使用。不同vSystem的配置被保存在文件的不同区段中,一个vSystem运行时不能越界获取其它vSystem的配置。物理设备重启后,将按照区段分别恢复各个vSystem的配置信息。
根系统管理员可以查看和导出所有vSystem的配置信息,而vSystem管理员仅能查看和导出本vSystem的配置信息。
每个vSystem在运行过程中,各自独立生成和输出日志信息,日志信息注明了输出该日志的vSystem的ID。用户进行业务部署后,可以选择将多个vSystem的日志信息分别输出到不同的日志服务器中;也可以选择将它们输出到同一台日志服务器中,而不用担心会出现混淆。
二层网络环境下,企业的不同分支机构使用VLAN进行网络划分。通过将不同VLAN分配给不同分支机构的vSystem,不同分支机构内的报文会被转发至各自分支机构的vSystem进行处理。
具体来看,设备收到报文后,会根据报文帧头部的VLAN Tag确定报文所属的VLAN,再根据VLAN与vSystem的绑定关系,将报文引入相应的vSystem。报文进入vSystem后,根据该vSystem的MAC地址表查询到出接口,确定报文出入接口的域间关系,再根据其自身配置的安全策略对报文进行安全检测和安全控制。
如图3所示,内网Host A、Host B、Host E和Host F位于VLAN 100内,内网Host C、Host D、Host G和Host H位于VLAN 200内。通过将VLAN 100分配给vSystem vsys1,将VLAN 200分配给vSystem vsys2,可实现将Host A(或Host B)与Host E(或Host F)之间互访的流量交由vsys1处理,以及将Host C(或Host D)与Host G(或Host H)之间互访的流量交由vsys2处理。
图3 vSystem支持二层转发示意图
三层网络环境下,企业的不同分支机构被划分为不同的网段,通过将设备连接不同分支机构网络的接口分配给该部门的vSystem,来自不同分支机构的报文就会被送入各自部门的vSystem进行路由查找、安全策略处理和报文转发等操作。
如图4所示,分支机构A和B业务相互独立,彼此有不同的安全防护需求,需为机构A和B各自创建一个vSystem作为安全网关。为使分支机构网络A和网络B内的Host能够访问Internet,需要将设备连接网络A的接口GE1/0/1分配给vSystem vsys1,将设备连接网络B的接口GE 1/0/2分配给vSystem vsys2。此外,还需要在vSystem vsys1和vsys2中分别配置访问外网的路由和相应的安全策略。
图4 vSystem支持三层转发示意图
如图5所示,跨越多个vSystem的通信可通过vSystem虚拟接口进行。每个vSystem拥有一个vSystem虚拟接口,该接口始终为UP状态。vSystem虚拟接口必须配置IP地址并加入安全域中,否则无法正常工作。vSystem虚拟接口的格式为“vSys-interface+接口号”,其中接口号与该vSystem的ID相同,如根系统下的vSystem虚拟接口为vSys-interface1(根系统的ID为1,其它非缺省vSystem的ID根据其创建顺序依次递增)。
任意两个vSystem虚拟接口间存在一条虚拟链路,可在vSystem中配置指向另一个vSystem上的vSystem虚拟接口的路由,来实现对该vSystem内用户的访问。
图5 vSystem虚拟接口示意图
在真实网络部署中,根据组网环境的不同,vSystem互访可分为两种情况:非缺省vSystem与根系统之间的互访,以及非缺省vSystem之间的互访。
在如图6所示的场景中,根系统管理员在Device上创建了一个vSystem vsys1,并将接口GE1/0/1分配给vsys1(接口GE1/0/2仍归根系统所有)。vSys-interface1和vSys-interface2分别是根系统和vsys1的vSystem虚拟接口。vsys1内的Host A若想与根系统内的Host B互访,需要在vsys1和根系统内配置两条去程路由和回程路由:
· 去程路由:在vsys1内配置一条目的地址为2.2.2.2/32,出接口为vSys-interface1,下一跳为0.0.0.0的静态路由;在根系统内配置一条目的地址为2.2.2.0/24,出接口为GE1/0/2,下一跳为1.1.1.1(此为与接口GE1/0/2同链路的对端接口的IP地址)的静态路由。
· 回程路由:在根系统内配置一条目的地址为10.1.1.0/24,出接口为vSys-interface2,下一跳为0.0.0.0的静态路由;在vsys1内配置一条目的地址为10.1.1.0/24,出接口为GE1/0/1,下一跳为10.1.2.1(此为与接口GE1/0/1同链路的对端接口的IP地址)的静态路由。
此外,还需要分别在vsys1和根系统内配置安全域和安全策略:
· 安全域配置:需将接口GE1/0/1添加进vsys1的Trust安全域,将接口vSys-interface2添加进vsys1的Untrust安全域;将接口GE1/0/2添加进根系统的Untrust安全域,将接口vSys-interface1添加进根系统的Trust安全域
· 安全策略配置:需在vsys1和根系统中分别创建允许Trust安全域中的Host A访问Untrust安全域中的Host B的安全策略;需在vsys1和根系统中分别创建允许Untrust安全域中的Host B访问Trust安全域中的Host A的安全策略。
图6 非缺省vSystem与根系统互访示意图
Host A主动访问Host B的报文处理流程如下。(Host B主动访问Host A的报文处理流程与之类似)
(1) Host A主动向Host B发起连接。
(2) 首包到达Device后,Device基于接口分流,将报文送入vSystem vsys1。vsys1按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、NAT、匹配安全策略等等。如果vsys1不允许转发报文,则丢弃报文,流程结束;如果vsys1允许转发报文,则将报文通过vSys-interface2与vSys-interface1之间的虚拟链路送入根系统中处理,并为该条连接在vsys1中建立会话。
(3) 根系统的vSystem虚拟接口vSys-interface1收到报文后,根系统按照同样的防火墙转发流程对报文再次进行处理。如果根系统不允许转发报文,则丢弃报文,流程结束;如果根系统允许转发报文,则将报文发往Host B,并为该条连接在根系统中建立会话。
(4) 报文经过路由转发后,到达Host B。当来自Host B的响应报文到达Device后,Device按照类似流程将响应报文发往Host A。
在如图7所示的场景中,根系统管理员在Device上创建了两个vSystem(分别为vsys1和vsys2),并将接口GE1/0/1分配给vsys1,将接口GE1/0/2分配给vsys2。vSys-interface2和vSys-interface3分别是vsys1和vsys2的vSystem虚拟接口。vsys1内的Host A若想与vsys2内的Host B互访,需要在vsys1和vsys2内配置两条去程路由和回程路由:
· 去程路由:在vsys1内配置一条目的地址为2.2.2.2/32,出接口为vSys-interface3,下一跳为0.0.0.0的静态路由;在vsys2内配置一条目的地址为10.1.4.0/24,出接口为GE1/0/2,下一跳为10.1.3.1(此为与接口GE1/0/2同链路的对端接口的IP地址)的静态路由。
· 回程路由:在vsys2内配置一条目的地址为10.1.1.0/24,出接口为vSys-interface2,下一跳为0.0.0.0的静态路由;在vsys1内配置一条目的地址为10.1.1.0/24,出接口为GE1/0/1,下一跳为10.1.2.1(此为与接口GE1/0/1同链路的对端接口的IP地址)的静态路由。
此外,还需要分别在vsys1和vsys2内配置安全域和安全策略:
· 安全域配置:需将接口GE1/0/1添加进vsys1的Trust安全域,将接口vSys-interface2添加进vsys1的DMZ安全域;将接口GE1/0/2添加进vsys2的Trust安全域,将接口vSys-interface3添加进vsys2的DMZ安全域
· 安全策略配置:需在vsys1创建允许Trust安全域中的Host A访问DMZ安全域中的Host B的安全策略;在vsys2创建允许Trust安全域中的Host B访问DMZ安全域中的Host A的安全策略。
图7 非缺省vSystem互访示意图
Host A主动访问Host B的报文处理流程如下。(Host B主动访问Host A的报文处理流程与之类似)
(1) Host A主动向Host B发起连接。
(2) 首包到达Device后,Device基于接口分流,将报文送入vSystem vsys1。vsys1按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、NAT、匹配安全策略等等。如果vsys1不允许转发报文,则丢弃报文,流程结束;如果vsys1允许转发报文,则将报文通过vSys-interface2与vSys-interface3之间的虚拟链路送入vsys2中处理,并为该条连接在vsys1中建立会话。
(3) vsys2的虚拟接口vSys-interface3收到报文后,vsys2按照同样的防火墙转发流程对报文再次进行处理。如果vsys2不允许转发报文,则丢弃报文,流程结束;如果vsys2允许转发报文,则将报文发往Host B,并为这条连接在vsys2中建立会话。
(4) 报文经过路由转发后,到达Host B。当来自Host B的响应报文到达Device后,Device按照类似流程将响应报文发往Host A。
如图8所示,某企业将内部网络按部门划分为多个区域,每个区域都有访问Internet的需求。为了给每个部门提供可定制的安全网关服务,可以在企业出口网关设备Device上为每个区域分别创建一个vSystem,并将其作为该区域的安全网关。当区域内的用户访问Internet时,访问报文将依次经过该区域网关vSystem和根系统的处理,最终通过根系统的公网接口转发至Internet。
如图9所示,位于公网的租户A和B在云计算中心租用了服务器,云计算中心需要对租户A和B部署的云资产提供独立的安全防护。为此,可以在云计算中心的出口网关设备Device上为租户A和B分别创建一个vSystem作为安全网关。当租户访问其部署的云资产时,访问报文将依次经过根系统和该租户所对应的vSystem的处理,最终通过vSystem的私网接口转发至云网络。
支持
售前咨询
售后咨询
人工在线咨询
