- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-vSystem配置
本章节下载: 01-vSystem配置 (254.99 KB)
vSystem是一种轻量级的虚拟化技术,能将一台物理设备划分为多台相互独立的逻辑设备。每个vSystem相当于一台真实的设备对外服务,拥有独立的接口、VLAN、路由表项、地址范围、策略以及用户/用户组。
如图1-1所示,LAN 1、LAN 2、LAN 3和LAN 4是四个不同的局域网,其中LAN 1和LAN 2属于企业A,LAN 3和LAN 4属于企业B,它们通过同一台设备Device连接到外网。通过虚拟化技术,能将Device划分为四台设备使用。具体做法是,在Device上创建四个vSystem(vsys 1、vsys 2、vsys 3和vsys 4),分别负责LAN 1、LAN 2、LAN 3和LAN 4的安全接入。LAN 1、LAN 2、LAN 3和LAN 4的网络管理员可以(也只能)分别登录到自己的vSystem进行配置、保存等操作,不会影响其它网络的使用,其效果等同于LAN 1、LAN 2、LAN 3和LAN 4分别通过各自的设备Device 1、Device 2、Device 3和Device 4接入Internet。
图1-1 vSystem组网示意图
设备本身被视作缺省vSystem,用户在设备内进行配置等同于对缺省vSystem进行配置。缺省vSystem无需创建、不可删除。缺省vSystem拥有设备的所有资源和权限。
用户新创建的vSystem被称为非缺省vSystem,用户可以为非缺省vSystem分配接口和VLAN资源并指定其它资源限制范围。
未分配给非缺省vSystem的接口和VLAN资源由缺省vSystem使用和管理。非缺省vSystem只能使用缺省vSystem分配给自己的资源,并在指定的资源限制范围内工作,不能抢占其他vSystem的资源。非缺省vSystem内不可再创建/删除非缺省vSystem。
在缺省vSystem内创建的用户被视作缺省vSystem用户,缺省vSystem用户可以登录到设备内任一非缺省vSystem进行业务配置。
在非缺省vSystem内创建的用户被称为非缺省vSystem用户。非缺省vSystem用户只能配置其所属非缺省vSystem内的业务,不能登录缺省vSystem进行配置。非缺省vSystem仅支持部分功能,具体支持情况请参见“1.2 vSystem支持模块”。
除非特别指明,否则下文中的vSystem均指非缺省vSystem。
vSystem具备如下优点:
· vSystem可有效利用设备硬件资源,单一设备可为多个组织提供相互独立的服务,节省能耗和管理成本。
· vSystem可由统一的缺省vSystem用户或相互独立的非缺省vSystem用户进行管理,责任清晰、管理灵活。
· 每个vSystem拥有独立的策略配置和路由表项,地址空间重叠的用户仍然可以正常通信。
· 每个vSystem拥有固定的接口、VLAN资源以及其它资源限制,业务繁忙的vSystem不会对其它vSystem造成影响。
· 每个vSystem之间的流量相互隔离,安全性高。在需要的时候,vSystem之间也可以进行安全互访。
vSystem对各业务模块的支持情况下表所示,vSystem仅支持列入表中的业务模块。完全支持表示vSystem支持该模块的所有功能;部分支持表示vSystem支持该模块的部分功能,对于部分支持模块的详细支持情况,请参见相应模块的配置指导与命令参考中的vSystem相关说明。
vSystem下的命令行不支持vpn-instance参数。
表1-1 vSystem支持模块列表
|
模块名称 |
支持情况 |
|
|
基础配置 |
CLI |
部分支持 |
|
RBAC |
部分支持 |
|
|
配置文件管理 |
部分支持 |
|
|
设备管理 |
设备基本配置 |
部分支持 |
|
快速日志输出 |
部分支持 |
|
|
Flow日志 |
部分支持 |
|
|
信息中心 |
部分支持 |
|
|
接口管理 |
以太网接口 |
部分支持 |
|
LoopBack接口、NULL接口和InLoopBack接口 |
部分支持 |
|
|
二层技术-以太网交换 |
以太网链路聚合 |
部分支持 |
|
VLAN |
部分支持 |
|
|
三层技术-IP业务 |
ARP |
部分支持 |
|
IP地址 |
部分支持 |
|
|
IP转发基础 |
部分支持 |
|
|
快速转发 |
部分支持 |
|
|
邻接表 |
完全支持 |
|
|
IPv6基础 |
部分支持 |
|
|
IPv6快速转发 |
部分支持 |
|
|
三层技术-IP路由 |
IP路由基础 |
部分支持 |
|
静态路由 |
部分支持 |
|
|
OSPF |
部分支持 |
|
|
BGP基础 |
部分支持 |
|
|
BGP高级配置 |
部分支持 |
|
|
IPv6静态路由 |
部分支持 |
|
|
OSPFv3 |
部分支持 |
|
|
ACL和QoS |
ACL |
部分支持 |
|
时间段 |
完全支持 |
|
|
QoS |
部分支持 |
|
|
用户接入与认证 |
AAA |
部分支持 |
|
安全 |
公钥管理 |
完全支持 |
|
PKI |
部分支持 |
|
|
SSL |
完全支持 |
|
|
会话管理 |
部分支持 |
|
|
连接数限制 |
完全支持 |
|
|
对象组 |
完全支持 |
|
|
攻击检测与防范 |
部分支持 |
|
|
ND攻击防御 |
部分支持 |
|
|
网络管理和监控 |
系统调试 |
部分支持 |
|
上网行为管理 |
带宽管理 |
部分支持 |
|
应用审计与管理 |
完全支持 |
|
|
负载均衡 |
服务器负载均衡 |
部分支持 |
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
L5000-AD170、L5000-AD510、L5000-AD530 |
支持 |
|
L5000-CN520、L5000-CN540 |
支持 |
|
vADC1000 |
不支持 |
vSystem配置任务如下:
(1) 创建vSystem
a. 为vSystem分配接口
(3) (可选)限制vSystem的资源使用
(4) 保存vSystem配置
(5) 访问和管理vSystem
(6) (可选)配置vSystem虚拟接口
创建vSystem时会同时创建一个同名VPN实例,因此vSystem名称不能与设备内已有的VPN实例名称相同,否则将无法创建该名称的vSystem。
(1) 进入系统视图。
system-view
(2) 创建vSystem,并进入vSystem视图。
vsys vsys-name [ id vsys-id ]
缺省情况下,设备上仅存在缺省vSystem,名称为Admin,编号为1。
(3) (可选)配置vSystem的描述信息。
description text
缺省情况下,缺省vSystem的描述信息为Default。非缺省vSystem没有描述信息。
缺省情况下,设备内的所有接口都属于缺省vSystem,不属于任何非缺省vSystem。请给非缺省vSystem分配接口,它才能使用该接口与网络中的其它设备进行通信。
支持将三层物理接口、三层物理子接口、三层聚合接口、三层聚合子接口、三层冗余接口、三层冗余子接口、Tunnel接口、LoopBack接口和SSLVPN-AC接口分配给非缺省vSystem。
将接口分配给某非缺省vSystem后,仅该非缺省vSystem可以使用该接口。
已经与VPN实例关联的接口不能分配给vSystem,反之,已经分配给vSystem的接口不能与VPN实例关联
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 为vSystem分配接口。
allocate interface interface-type interface-number
缺省情况下,设备内的所有接口都属于缺省vSystem,不属于任何非缺省vSystem。
缺省情况下,设备内的所有VLAN都属于缺省vSystem,不属于任何非缺省vSystem。请给非缺省vSystem分配VLAN,它才能使用该VLAN与网络中的其它设备进行通信。
将VLAN分配给某非缺省vSystem后,其关联的VLAN接口会自动分配给该非缺省vSystem,仅该非缺省vSystem可以使用该VLAN和VLAN接口。
将VLAN分配给某非缺省vSystem后,该vSystem可以使用允许该VLAN通过的二层接口。
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 为vSystem分配VLAN。
allocate vlan vlan-id
缺省情况下,设备内的所有VLAN都属于缺省vSystem,不属于任何非缺省vSystem。
为防止一个vSystem的会话新建速率过快而导致其他vSystem由于处理性能能力不够而无法建立会话,需要限制vSystem的会话新建速率,当会话新建速率超过限制值时,超过限制值的会话不会被创建。
vSystem会话新建速率限制对本机流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP类型的七层负载均衡等业务。
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 设置vSystem的会话新建速率限制。
capability session rate max-value
缺省情况下,未对vSystem的会话新建速率进行限制。
为防止一个vSystem建立了太多会话而导致其他vSystem的会话由于内存不够而无法建立,需要限制vSystem建立会话的数量,当会话总数达到限制值时,该vSystem不能继续新建会话。已经创建的会话不会被删除,直到已建立的会话通过老化机制使得会话总数低于配置的会话并发数限制后,该vSystem才允许新建会话。
vSystem会话并发数限制对本机流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP类型的七层负载均衡等业务。
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 设置vSystem的会话并发数限制。
capability session maximum max-number
缺省情况下,未对vSystem的会话并发数进行限制。
本功能可将指定vSystem的配置保存到指定文本文件中。如果指定的文件名不存在,系统会先创建该文件,再执行保存操作,否则将覆盖同名文件。
如果不指定文件路径或者指定的文件路径是设备的下次启动配置文件路径,本功能会将指定的vSystem的配置保存到设备的下次启动配置文件的相应区段中,设备重启后该vSystem将按保存的配置恢复。
(1) 进入系统视图。
system-view
(2) 保存指定vSystem的当前配置。
save vsys vsys-name [ file-url ]
缺省vSystem用户可以使用switchto vsys命令,通过设备和vSystem的内部连接登录vSystem进行配置和管理。
非缺省vSystem用户可以使用vSystem上的接口IP地址进行Telnet/SSH登录。利用此方式登录,用户名需加上后缀“@@vsysname”,其中vsysname是vSystem的名称。
(1) 进入系统视图。
system-view
(2) 登录指定vSystem。
switchto vsys vsys-name
缺省vSystem用户登录vSystem后,可以在vSystem的用户视图执行quit命令来退出登录。此时,命令视图将从当前vSystem的用户视图返回到缺省vSystem的系统视图。
vSystem虚拟接口用于非缺省vSystem之间的通信。vSystem虚拟接口在用户创建非缺省vSystem时由设备自动创建。
每个vSystem只会创建一个vSystem虚拟接口,此接口不支持手工创建。可通过执行display interface vsys-interface命令查看vSystem虚拟接口详细情况。
(1) 进入系统视图。
system-view
(2) 进入vSystem虚拟接口视图。
interface vsys-interface interface-number
(3) (可选)设置接口的描述信息
description text
(4) (可选)恢复接口的缺省配置
default
可在任意视图下执行以下命令:
· 显示vSystem虚拟接口的相关信息。
display interface [ vsys-interface [ interface-number ] ] [ brief [ description ] ]
· 显示vSystem的相关信息。
display vsys [ name vsys-name ]
· 显示vSystem的接口列表。
display vsys [ name vsys-name ] interface
· 显示vSystem的VLAN列表。
display vsys [ name vsys-name ] vlan
请在用户视图下执行以下命令,删除vSystem虚拟接口的统计信息。
reset counters interface [ vsys-interface [ interface-number ] ]
可在任意视图下执行以下命令,显示vSystem虚拟接口的相关信息。
display interface [ vsys-interface [ interface-number ] ] [ brief [ description ] ]
请在用户视图下执行以下命令,删除vSystem虚拟接口的统计信息。
reset counters interface [ vsys-interface [ interface-number ] ]
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
