- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-vSystem配置
本章节下载: 03-vSystem配置 (310.34 KB)
vSystem是一种轻量级的虚拟化技术,能将一台物理设备划分为多台相互独立的逻辑设备。每个vSystem相当于一台真实的设备对外服务,拥有独立的接口、VLAN、路由表项、地址范围、策略以及用户/用户组。相比Context而言,vSystem的系统开销更小,因此设备能利用vSystem实现更多租户的网络隔离。关于Context的详细介绍请参见“虚拟化技术配置指导”中的“Context”。
如图1-1所示,LAN 1、LAN 2、LAN 3和LAN 4是四个不同的局域网,其中LAN 1和LAN 2属于企业A,LAN 3和LAN 4属于企业B,它们通过同一台设备Device连接到外网。通过虚拟化技术,能将Device划分为四台设备使用。具体做法是,在Device上创建四个vSystem(vsys 1、vsys 2、vsys 3和vsys 4),分别负责LAN 1、LAN 2、LAN 3和LAN 4的安全接入。LAN 1、LAN 2、LAN 3和LAN 4的网络管理员可以(也只能)分别登录到自己的vSystem进行配置、保存等操作,不会影响其它网络的使用,其效果等同于LAN 1、LAN 2、LAN 3和LAN 4分别通过各自的设备Device 1、Device 2、Device 3和Device 4接入Internet。
图1-1 vSystem组网示意图
设备本身被视作缺省vSystem,用户在设备内进行配置等同于对缺省vSystem进行配置。缺省vSystem无需创建、不可删除。缺省vSystem拥有设备的所有资源和权限。
用户新创建的vSystem被称为非缺省vSystem,用户可以为非缺省vSystem分配接口和VLAN资源并指定其它资源限制范围。
未分配给非缺省vSystem的接口和VLAN资源由缺省vSystem使用和管理。非缺省vSystem只能使用缺省vSystem分配给自己的资源,并在指定的资源限制范围内工作,不能抢占其他vSystem的资源。非缺省vSystem内不可再创建/删除非缺省vSystem。
在缺省vSystem内创建的用户被视作缺省vSystem用户,缺省vSystem用户可以登录到设备内任一非缺省vSystem进行业务配置。
在非缺省vSystem内创建的用户被称为非缺省vSystem用户。非缺省vSystem用户只能配置其所属非缺省vSystem内的业务,不能登录缺省vSystem进行配置。非缺省vSystem仅支持部分功能,具体支持情况请参见“1.2 vSystem支持模块”。
除非特别指明,否则下文中的vSystem均指非缺省vSystem。
vSystem具备如下优点:
· vSystem可有效利用设备硬件资源,单一设备可为多个组织提供相互独立的服务,节省能耗和管理成本。
· vSystem可由统一的缺省vSystem用户或相互独立的非缺省vSystem用户进行管理,责任清晰、管理灵活。
· 每个vSystem拥有独立的策略配置和路由表项,地址空间重叠的用户仍然可以正常通信。
· 每个vSystem拥有固定的接口、VLAN资源以及其它资源限制,业务繁忙的vSystem不会对其它vSystem造成影响。
· 每个vSystem之间的流量相互隔离,安全性高。在需要的时候,vSystem之间也可以进行安全互访。
非缺省vSystem对各业务模块的支持情况如表1-1所示,vSystem仅支持列入表中的业务模块。完全支持表示vSystem支持该模块的所有功能;部分支持表示vSystem支持该模块的部分功能,对于部分支持模块的详细支持情况,请参见相应模块的配置指导与命令参考中的vSystem相关说明。
表1-1中仅是从功能支持层面列出了非缺省vSystem中可以支持的所有业务模块,但是每个业务模块在不同产品上的支持情况不同。因此表1-1中各业务模块的支持情况,请以设备支持的实际情况为准。
vSystem下的命令行不支持vpn-instance参数。
表1-1 vSystem支持模块列表
|
模块名称 |
支持情况 |
|
|
基础配置 |
CLI |
部分支持 |
|
RBAC |
部分支持 |
|
|
配置文件管理 |
部分支持 |
|
|
设备管理 |
部分支持 |
|
|
接口管理 |
以太网接口 |
部分支持 |
|
LoopBack接口、NULL接口和InLoopBack接口 |
部分支持 |
|
|
二层技术-以太网交换 |
以太网链路聚合 |
部分支持 |
|
VLAN |
部分支持 |
|
|
三层技术-IP业务 |
ARP |
部分支持 |
|
IP地址 |
部分支持 |
|
|
IP转发基础 |
部分支持 |
|
|
快速转发 |
部分支持 |
|
|
邻接表 |
完全支持 |
|
|
IPv6基础 |
部分支持 |
|
|
IPv6快速转发 |
部分支持 |
|
|
三层技术-IP路由 |
IP路由基础 |
部分支持 |
|
静态路由 |
部分支持 |
|
|
OSPF |
部分支持 |
|
|
BGP |
部分支持 |
|
|
IPv6静态路由 |
部分支持 |
|
|
OSPFv3 |
部分支持 |
|
|
IP组播 |
组播路由与转发 |
部分支持 |
|
IGMP |
部分支持 |
|
|
PIM |
部分支持 |
|
|
IPv6组播路由与转发 |
部分支持 |
|
|
MLD |
部分支持 |
|
|
IPv6 PIM |
部分支持 |
|
|
NAT |
NAT |
部分支持 |
|
AFT |
部分支持 |
|
|
ACL和QoS |
ACL |
部分支持 |
|
时间段 |
完全支持 |
|
|
VPN |
IPsec |
部分支持 |
|
IKE |
部分支持 |
|
|
安全 |
安全域 |
完全支持 |
|
AAA |
部分支持 |
|
|
公钥管理 |
完全支持 |
|
|
PKI |
部分支持 |
|
|
SSL |
完全支持 |
|
|
会话管理 |
部分支持 |
|
|
连接数限制 |
完全支持 |
|
|
对象组 |
完全支持 |
|
|
安全策略 |
部分支持 |
|
|
攻击检测与防范 |
部分支持 |
|
|
ND攻击防御 |
部分支持 |
|
|
网络管理和监控 |
系统维护与调试 |
部分支持 |
|
快速日志输出 |
部分支持 |
|
|
Flow日志 |
部分支持 |
|
|
信息中心 |
部分支持 |
|
|
上网行为管理 |
带宽管理 |
部分支持 |
|
应用审计与管理 |
部分支持 |
|
|
负载均衡 |
服务器负载均衡 |
部分支持 |
|
DPI深度安全 |
应用层检测引擎 |
部分支持 |
|
IPS |
部分支持 |
|
|
URL过滤 |
部分支持 |
|
|
防病毒 |
部分支持 |
|
vSystem配置任务如下:
(1) 创建vSystem
a. 为vSystem分配接口
(3) (可选)限制vSystem的资源使用
(4) 保存vSystem配置
(5) 访问和管理vSystem
(6) (可选)配置vSystem虚拟接口
创建vSystem时会同时创建一个同名VPN实例,因此vSystem名称不能与设备内已有的VPN实例名称相同,否则将无法创建该名称的vSystem。
(1) 进入系统视图。
system-view
(2) 创建vSystem,并进入vSystem视图。
vsys vsys-name [ id vsys-id ]
缺省情况下,设备上仅存在缺省vSystem,名称为Admin,编号为1。
(3) (可选)配置vSystem的描述信息。
description text
缺省情况下,缺省vSystem的描述信息为Default。非缺省vSystem没有描述信息。
缺省情况下,设备内的所有接口都属于缺省vSystem,不属于任何非缺省vSystem。请给非缺省vSystem分配接口,它才能使用该接口与网络中的其它设备进行通信。
支持将三层物理接口、三层物理子接口、三层聚合接口、三层聚合子接口、三层冗余接口、三层冗余子接口、Tunnel接口、LoopBack接口和SSLVPN-AC接口分配给非缺省vSystem。
将接口分配给某非缺省vSystem后,仅该非缺省vSystem可以使用该接口。
已经与VPN实例关联的接口不能分配给vSystem,反之,已经分配给vSystem的接口不能与VPN实例关联
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 为vSystem分配接口。
allocate interface interface-type interface-number
缺省情况下,设备内的所有接口都属于缺省vSystem,不属于任何非缺省vSystem。
缺省情况下,设备内的所有VLAN都属于缺省vSystem,不属于任何非缺省vSystem。请给非缺省vSystem分配VLAN,它才能使用该VLAN与网络中的其它设备进行通信。
将VLAN分配给某非缺省vSystem后,其关联的VLAN接口会自动分配给该非缺省vSystem,仅该非缺省vSystem可以使用该VLAN和VLAN接口。
将VLAN分配给某非缺省vSystem后,该vSystem可以使用允许该VLAN通过的二层接口。
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 为vSystem分配VLAN。
allocate vlan vlan-id
缺省情况下,设备内的所有VLAN都属于缺省vSystem,不属于任何非缺省vSystem。
一个vSystem内可以配置多个安全策略规则。如果不加限制,会出现大量规则占用过多的内存的情况,影响设备的其它功能正常运行。所以请根据需要为vSystem设置安全策略规则总数限制,当安全策略规则总数达到限制值时,该vSystem不能继续新增安全策略规则。
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 设置vSystem的安全策略规则总数限制。
capability security-policy-rule maximum max-number
缺省情况下,未对vSystem的安全策略规则总数进行限制。
为防止一个vSystem的会话新建速率过快而导致其他vSystem由于处理性能能力不够而无法建立会话,需要限制vSystem的会话新建速率,当会话新建速率超过限制值时,超过限制值的会话不会被创建。
vSystem会话新建速率限制对本机流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP类型的七层负载均衡等业务。
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 设置vSystem的会话新建速率限制。
capability session rate max-value
缺省情况下,未对vSystem的会话新建速率进行限制。
为防止一个vSystem建立了太多会话而导致其他vSystem的会话由于内存不够而无法建立,需要限制vSystem建立会话的数量,当会话总数达到限制值时,该vSystem不能继续新建会话。已经创建的会话不会被删除,直到已建立的会话通过老化机制使得会话总数低于配置的会话并发数限制后,该vSystem才允许新建会话。
vSystem会话并发数限制对本机流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP类型的七层负载均衡等业务。
(1) 进入系统视图。
system-view
(2) 进入vSystem视图。
vsys vsys-name
(3) 设置vSystem的会话并发数限制。
capability session maximum max-number
缺省情况下,未对vSystem的会话并发数进行限制。
本功能可将指定vSystem的配置保存到指定文本文件中。如果指定的文件名不存在,系统会先创建该文件,再执行保存操作,否则将覆盖同名文件。
如果不指定文件路径或者指定的文件路径是设备的下次启动配置文件路径,本功能会将指定的vSystem的配置保存到设备的下次启动配置文件的相应区段中,设备重启后该vSystem将按保存的配置恢复。
(1) 进入系统视图。
system-view
(2) 保存指定vSystem的当前配置。
save vsys vsys-name [ file-url ]
缺省vSystem用户可以使用switchto vsys命令,通过设备和vSystem的内部连接登录vSystem进行配置和管理。
非缺省vSystem用户可以使用vSystem上的接口IP地址进行Telnet/SSH登录。利用此方式登录,用户名需加上后缀“@@vsysname”,其中vsysname是vSystem的名称。
(1) 进入系统视图。
system-view
(2) 登录指定vSystem。
switchto vsys vsys-name
缺省vSystem用户登录vSystem后,可以在vSystem的用户视图执行quit命令来退出登录。此时,命令视图将从当前vSystem的用户视图返回到缺省vSystem的系统视图。
vSystem虚拟接口用于非缺省vSystem之间的通信。vSystem虚拟接口在用户创建非缺省vSystem时由设备自动创建。
每个vSystem只会创建一个vSystem虚拟接口,此接口不支持手工创建。可通过执行display interface vsys-interface命令查看vSystem虚拟接口详细情况。
(1) 进入系统视图。
system-view
(2) 进入vSystem虚拟接口视图。
interface vsys-interface interface-number
(3) (可选)设置接口的描述信息
description text
(4) (可选)恢复接口的缺省配置
default
在完成上述配置后,在任意视图下执行display命令可以显示配置后vSystem的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除vSystem的统计信息。
表1-2 缺省vSystem上可执行的显示和维护
|
操作 |
命令 |
|
显示vSystem虚拟接口的相关信息 |
display interface [ vsys-interface [ interface-number ] ] [ brief [ description ] ] |
|
显示vSystem内吞吐量资源的使用情况 |
(独立运行模式) display vsys-capability throughput [ name vsys-name ] [ slot slot-number cpu cpu-number ] (IRF模式) display vsys-capability throughput [ name vsys-name ] [ chassis chassis-number slot slot-number cpu cpu-number ] |
|
显示vSystem的相关信息 |
display vsys [ name vsys-name ] |
|
显示vSystem的接口列表 |
display vsys [ name vsys-name ] interface |
|
显示vSystem的VLAN列表 |
display vsys [ name vsys-name ] vlan |
|
清除vSystem虚拟接口的统计信息 |
reset counters interface [ vsys-interface [ interface-number ] ] |
表1-3 非缺省vSystem上可执行的显示和维护
|
操作 |
命令 |
|
显示vSystem虚拟接口的相关信息 |
display interface [ vsys-interface [ interface-number ] ] [ brief [ description ] ] |
|
清除vSystem虚拟接口的统计信息 |
reset counters interface [ vsys-interface [ interface-number ] ] |
LAN 1(192.168.1.0/24网段)、LAN 2(192.168.2.0/24网段)、LAN 3(192.168.3.0/24网段)分别属于公司A、公司B、公司C,现需要对各公司的网络进行独立的安全防护,具体需求如下:
· 将设备Device虚拟成三台独立的Device,并分给三个不同的用户网络进行安全防护。要求在用户侧看来,各自的接入设备是独享的。
· 将接口Ten-GigabitEthernet1/0/5和Ten-GigabitEthernet1/0/8分配给A公司,将接口Ten-GigabitEthernet1/0/6和Ten-GigabitEthernet1/0/9分配给B公司,将接口Ten-GigabitEthernet1/0/7和Ten-GigabitEthernet1/0/10分配给C公司。
图1-2 配置vSystem组网图
(1) 创建并配置vSystem vsys1,供公司A使用
# 创建vsys1,设置描述信息。
<Device> system-view
[Device] vsys vsys1
[Device-vsys-2-vsys1] description vsys-1
# 将接口Ten-GigabitEthernet1/0/5和Ten-GigabitEthernet1/0/8分配给vsys1。
[Device-vsys-2-vsys1] allocate interface ten-gigabitethernet 1/0/5
Some configurations on the interface are removed.
[Device-vsys-2-vsys1] allocate interface ten-gigabitethernet 1/0/8
Some configurations on the interface are removed.
[Device-vsys-2-vsys1] quit
# 登录vsys1。
[Device] switchto vsys vsys1
<Device-vsys1> system-view
# 配置Telnet功能,保证管理用户可以正常登录设备,具体配置步骤请参考“基础配置指导”中的“登录设备”。
# 配置接口Ten-GigabitEthernet1/0/5的IP地址为192.168.1.251,供公司A的管理用户远程登录。
[Device-vsys1] interface ten-gigabitethernet 1/0/5
[Device-vsys1-Ten-GigabitEthernet1/0/5] ip address 192.168.1.251 24
# 从vsys1返回缺省vSystem。
[Device-vsys1-Ten-GigabitEthernet1/0/5] return
<Device-vsys1> quit
[Device]
(2) 创建并配置vSystem vsys2,供公司B使用
# 创建vsys2,设置描述信息。
[Device] vsys vsys2
[Device-vsys-3-vsys2] description vsys-2
# 将接口Ten-GigabitEthernet1/0/6和Ten-GigabitEthernet1/0/9分配给vsys2。
[Device-vsys-3-vsys2] allocate interface ten-gigabitethernet 1/0/6
Some configurations on the interface are removed.
[Device-vsys-3-vsys2] allocate interface ten-gigabitethernet 1/0/9
Some configurations on the interface are removed.
[Device-vsys-3-vsys2] quit
# 登录vsys2。
[Device] switchto vsys vsys2
<Device-vsys2> system-view
# 配置Telnet功能,保证管理用户可以正常登录设备,具体配置步骤请参考“基础配置指导”中的“登录设备”。
# 配置接口Ten-GigabitEthernet1/0/6的IP地址为192.168.2.251,供公司B的管理用户远程登录。
[Device-vsys2] interface ten-gigabitethernet 1/0/6
[Device-vsys2-Ten-GigabitEthernet1/0/6] ip address 192.168.2.251 24
# 从vsys2返回缺省vSystem。
[Device-vsys2-Ten-GigabitEthernet1/0/6] return
<Device-vsys2> quit
[Device]
(3) 创建并配置vSystem vsys3,供公司C使用
# 创建vsys3,设置描述信息
[Device] vsys vsys3
[Device-vsys-4-vsys3] description vsys-3
# 将接口Ten-GigabitEthernet1/0/7和Ten-GigabitEthernet1/0/10分配给vsys3。
[Device-vsys-4-vsys3] allocate interface ten-gigabitethernet 1/0/7
Some configurations on the interface are removed.
[Device-vsys-4-vsys3] allocate interface ten-gigabitethernet 1/0/10
Some configurations on the interface are removed.
[Device-vsys-4-vsys3] quit
# 登录vsys3。
[Device] switchto vsys vsys3
<Device-vsys2> system-view
# 配置Telnet功能,保证管理用户可以正常登录设备,具体配置步骤请参考“基础配置指导”中的“登录设备”。
# 配置接口Ten-GigabitEthernet1/0/7的IP地址为192.168.3.251,供公司C的管理用户远程登录。
[Device-vsys3] interface ten-gigabitethernet 1/0/7
[Device-vsys3-Ten-GigabitEthernet1/0/7] ip address 192.168.3.251 24
# 从vsys3返回缺省vSystem。
[Device-vsys3-Ten-GigabitEthernet1/0/7] return
<Device-vsys3> quit
[Device]
# 在Device上查看所配vSystem是否存在并且运转正常。(此时,Device上应该有四台处于正常工作active状态的vSystem)
[Device] display vsys
ID Name Status Description
1 Admin Active Default
2 vsys1 Active vsys-1
3 vsys2 Active vsys-2
4 vsys3 Active vsys-3
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
