40、虚拟系统：配置、管理与应用全解析

虚拟系统：配置、管理与应用全解析

1. 基于 IP 的分类

当无法对网络进行重新配置以采用 VLAN 设计时，可以使用基于 IP 的分类方法。这种方法允许手动指定将哪些流量发送到哪个虚拟系统（VSYS）。通常，当将 VSYS 用作远程网络的传输通道，且没有为 VSYS 配备实际的专用接口时，会使用基于 IP 的分类。不过，在实际应用中，这种设计的使用频率相对较低。

2. 虚拟系统管理

管理虚拟系统与管理常规设备类似，但每个 VSYS 只能有一个读写管理员和一个只读管理员。VSYS 的读写管理员拥有与设备读写管理员相同的权限，而只读管理员只能查看虚拟系统的配置。
根管理员可以创建和删除虚拟系统，并为其分配资源。例如，如果要让虚拟系统访问接口或虚拟路由器，必须由根管理员进行操作。在根管理员为 VSYS 分配资源后，VSYS 管理员才能对这些资源进行配置。

3. 虚拟系统的配置

虽然虚拟系统听起来很复杂，但实际上其配置过程相当简单。不过，在使用虚拟系统时，规划是关键。由于在同一设备中使用多个防火墙较为复杂，因此在开始配置之前，必须制定完整的计划。

3.1 创建虚拟系统

创建虚拟系统时，首先要确定新系统的名称。从命令行界面（CLI）创建虚拟系统后，会立即进入该系统进行后续配置；而在 Web 用户界面（WebUI）中，需要点击“Enter”按钮才能访问 VSYS。
在创建 VSYS 时，还需要为新系统创建管理员。在 WebUI 中，可以一次性完成虚拟系统和管理员的创建。以下是从 WebUI 和 CLI 创建虚拟系统的具体步骤：

从 WebUI 创建 ：
1. 点击右上角的“New”按钮，会出现“VSYS | Edit”页面。
2. 在“Vsys Name”文本框中输入 VSYS 的名称。
3. 在“Vsys Admin Name”文本框中输入读写管理员的名称，并在“Vsys Admin New Password”和“Confirm New Password”中输入新密码。
4. 还可以创建只读管理员，在“Vsys Read - Only Admin Name”中输入名称，并在相应的密码框中输入密码。
5. 可以选择虚拟路由器的类型：创建新的默认虚拟路由器、选择现有的虚拟路由器或创建自定义虚拟路由器。

从 CLI 创建 ：

Ns500-> set vsys Syngress
Ns500(Syngress)-> set admin name Jamie
Ns500(Syngress)-> set admin password MasterCheif
Ns500(Syngress)-> save
Ns500(Syngress)-> exit
Ns500->

4. 网络接口

虚拟系统作为防火墙，其关键组件是接口。接口用于在网络的不同区域之间传输流量，虚拟系统可以使用以下几种类型的接口：
- 物理接口 ：实际的物理端口，直接连接到网络。
- 子接口 ：绑定到特定物理接口的虚拟接口，需要使用 VLAN 标记来区分流量。
- 共享接口 ：只能与根系统共享，可配置多种类型（物理、子接口、冗余接口、聚合接口）。使用共享接口时，需要配置流量分类以确定哪个虚拟系统处理流量。

4.1 物理接口

将物理接口分配给虚拟系统后，该系统将独占使用该接口。导入物理接口前，必须在根级别将其绑定到 Null 区域。使用完后，需要将其导出以归还根系统。

从 WebUI 导入物理接口 ：
1. 以根管理员或根系统的读写管理员身份登录。
2. 确定要导入物理接口的 VSYS。
3. 点击“Enter”进入该 VSYS。
4. 选择“Network | Interfaces”。
5. 选择要使用的接口并点击“Import”。
6. 确认导入操作。
7. 导入后，可以为接口添加区域和 IP 地址。

从 WebUI 导出物理接口 ：
1. 进入虚拟系统，选择“Network | Interfaces”。
2. 移除接口的 IP 地址和区域。
3. 选择要导出的接口并点击“Export”。
4. 确认导出操作。

从 CLI 导入和导出物理接口 ：

# 导入
Ns500-> set vsys Syngress
Ns500(Syngress)-> set interface ethernet4/2 import
Ns500(Syngress)-> set interface ethernet4/2 zone Trust - Syngress
Ns500(Syngress)-> set interface ethernet4/2 ip 10.10.10.1/24
Ns500(Syngress)-> save
Ns500(Syngress)-> exit
# 导出
Ns500-> set vsys Syngress
Ns500(Syngress)-> unset interface ethernet4/2 ip 10.10.10.1/24
Ns500(Syngress)-> unset interface ethernet4/2 zone Trust - Syngress
Ns500(Syngress)-> unset interface ethernet4/2 import
Ns500(Syngress)-> save
Ns500(Syngress)-> exit
Ns500->

4.2 子接口

子接口是绑定到特定物理接口的虚拟接口，使用时需要配置 VLAN。这可能需要对网络进行重新配置以支持 VLAN。

从 WebUI 配置子接口 ：
1. 以根管理员或根系统的读写管理员身份登录。
2. 确定要创建子接口的 VSYS。
3. 点击“Enter”进入该 VSYS。
4. 选择“Network | Interfaces”。
5. 从下拉菜单中选择“Sub - If”。
6. 点击右上角的“New”按钮。
7. 输入 IP 地址、子网划分和管理配置。
8. 选择要绑定的物理接口，并设置 VLAN 标记。
9. 点击“OK”完成配置。

从 CLI 配置子接口 ：

# 创建
Ns500-> set vsys Syngress
Ns500(Syngress)-> set interface ethernet4/2.1 zone Trust - Syngress
Ns500(Syngress)-> set interface ethernet4/2.1 ip 10.10.10.1/24 tag 4
Ns500(Syngress)-> save
Ns500(Syngress)-> exit
# 删除
Ns500-> set vsys Syngress
Ns500(Syngress)-> unset interface ethernet4/2.1 ip 10.10.10.1/24
Ns500(Syngress)-> unset interface ethernet4/2.1 zone Trust - Syngress
Ns500(Syngress)-> save
Ns500(Syngress)-> exit
Ns500->

4.3 共享接口

配置共享接口依赖于共享区域的配置。需要创建一个共享区域，并将其应用到接口上，这样该接口就会自动共享给所有虚拟系统。

从 WebUI 配置共享接口 ：
1. 以根管理员或根系统的读写管理员身份登录。
2. 选择“Network | Zones”。
3. 点击右上角的“New”按钮。
4. 在“Zone Name”中输入区域名称。
5. 勾选“Shared Zone”。
6. 选择“Network | Interfaces”。
7. 选择要共享的接口并点击“Edit”。
8. 在“Zone”下拉框中选择创建的共享区域。
9. 点击“OK”完成配置。

从 CLI 配置共享接口 ：

Ns500-> set zone name Syngress - DMZ
Ns500-> set zone Syngress - DMZ shared
Ns500-> set interface ethernet4/2 zone Syngress - DMZ
Ns500-> set interface ethernet4/2 ip 10.10.10.1/24
Ns500-> save
Ns500-> unset interface ethernet4/2 ip 10.10.10.1/24
Ns500-> unset interface ethernet4/2 zone Syngress - DMZ
Ns500-> save
Ns500-> exit
Ns500->

5. 流量分类

使用共享区域的第二步是进行流量分类。通过配置流量分类，可以明确指定流量的目标区域。流量分类是按区域进行配置的，通常在共享区域上进行。

从 WebUI 配置流量分类 ：
1. 以根管理员或根系统的读写管理员身份登录。
2. 选择“Network | Zones”。
3. 选择要配置流量分类的区域并点击“Edit”。
4. 点击“IP Classification”。
5. 在“System”下拉框中选择要映射流量的系统，可以选择 IP 子网或 IP 范围。
6. 如果选择定义 IP 子网，选择“Subnet”单选按钮，并输入子网和掩码。
7. 如果选择定义 IP 地址范围，选择“Range”单选按钮，并输入起始和结束 IP 地址。
8. 定义完成后点击“OK”。
9. 若要移除范围或子网，选择要移除的项目并点击“Remove”。
10. 确认移除操作。

从 CLI 配置流量分类 ：

Ns500-> set zone Syngress - DMZ ip - classification range 1.2.3.4 - 1.2.3.20 vsys Syngress
Ns500-> set zone Syngress - DMZ ip - classification
Ns500-> save
Ns500-> unset zone Syngress - DMZ ip - classification range 1.2.3.4 - 1.2.3.20 vsys Syngress
Ns500-> unset zone Syngress - DMZ ip - classification
Ns500->

以下是虚拟系统配置流程的 mermaid 流程图：

graph LR
    A[开始] --> B[创建虚拟系统]
    B --> C{选择配置方式}
    C -->|WebUI| D[WebUI 配置步骤]
    C -->|CLI| E[CLI 配置步骤]
    D --> F[配置网络接口]
    E --> F
    F --> G{接口类型}
    G -->|物理接口| H[物理接口配置]
    G -->|子接口| I[子接口配置]
    G -->|共享接口| J[共享接口配置]
    H --> K[流量分类配置]
    I --> K
    J --> K
    K --> L[完成配置]

6. 虚拟系统配置的注意事项

在配置虚拟系统时，虽然配置过程本身并不复杂，但由于涉及到昂贵的设备和虚拟ization 许可证，以及可能大规模的部署，因此需要进行充分的规划和严格的审查。确保对每个虚拟系统的配置进行详细记录，使用图表可以更好地进行部署规划和长期文档管理。

7. 虚拟系统配置的常见问题解答

• 虚拟系统是否适用于我的环境？ ：虚拟系统通常适用于需要多个独立防火墙的大型组织和互联网服务提供商（ISP）。虽然虚拟系统可能带来好处，但成本可能较高。
• 为什么要共享资源而不是使用专用资源？ ：共享资源可以节省资源，并且在某些情况下更具实用性。例如，将一个物理接口连接到互联网并与多个虚拟系统共享，比为每个系统分配一个专用接口更方便。
• 如何管理多个虚拟系统？ ：可以使用 Juniper 提供的 Juniper 安全管理器进行集中管理。
• 如何让网络支持 VLAN？ ：需要使用支持 VLAN 的网络交换机，大多数管理型交换机都支持 VLAN。可以查看交换机制造商的文档了解具体功能。
• 不同 VSYS 可以使用相同名称的管理员吗？ ：管理员名称是唯一的，不能重复使用。

综上所述，虚拟系统是一种强大的工具，可以将 Juniper 防火墙系统划分为多个独立的防火墙，提高设备的投资回报率。通过合理的配置和管理，可以满足不同组织的网络安全需求。

虚拟系统：配置、管理与应用全解析

8. 虚拟系统配置文件

在 ScreenOS 5.4 及更高版本中，可以创建虚拟系统配置文件。这些配置文件可以限制特定 VSYS 可用的资源。每个防火墙都有资源限制，在某些环境中，可能需要控制每个 VSYS 可用的资源。总共可以创建 18 个 VSYS 配置文件。

可限制访问的项目包括：
- 动态 IP 地址（DIPs）
- MIP 地址
- 用户定义的服务和组
- 策略和组播策略
- 会话
- 区域地址簿条目和组（按区域、每个 VSYS 限制）
- 用户定义的安全区域
- CPU 权重

对于大多数可限制的项目，可以指定最大值和保留值。最大值是可以创建的特定项目的最大数量，保留值是保证能够访问的特定项目的数量。

配置会话限制可以防止特定 VSYS 占用过多设备资源。可以配置三个值：最大会话数、保留会话数和警报阈值。

通过配置 CPU 权重，可以限制每个 VSYS 使用的 CPU 周期。计算公式为：(VSYS_Weight)/(Total_VSYSWeight) = CPU 百分比。

从 WebUI 配置虚拟系统配置文件 ：
1. 以根管理员或根系统的读写管理员身份登录。
2. 选择“VSYS | Profile”。
3. 选择要修改的配置文件并点击“Edit”。
4. 输入 DIPs、MIPs、策略、会话和 CPU 权重的值。
5. 点击“OK”完成配置。

从 CLI 配置虚拟系统配置文件 ：

Ns500-> set vsys-profile name Syngress-Profile cpu-weight 30
Ns500-> set vsys-profile Syngress-Profile dips max 25 reserve 5
Ns500-> set vsys-profile Syngress-Profile mips max 25
Ns500-> set vsys-profile Syngress-Profile mpolicies max 5
Ns500-> set vsys-profile Syngress-Profile policies max 50
Ns500-> set vsys-profile Syngress-Profile sessions max 1200
Ns500-> save

以下是虚拟系统配置文件配置的表格总结：
| 配置项 | 说明 | 配置方式 |
| — | — | — |
| DIPs | 动态 IP 地址，可设最大值和保留值 | WebUI 或 CLI |
| MIPs | MIP 地址，可设最大值 | WebUI 或 CLI |
| 策略 | 包括策略和组播策略，可设最大值 | WebUI 或 CLI |
| 会话 | 可配置最大会话数、保留会话数和警报阈值 | WebUI 或 CLI |
| CPU 权重 | 限制 VSYS 使用的 CPU 周期，通过公式计算 | WebUI 或 CLI |

9. 虚拟系统故障排除

在使用虚拟系统时，难免会遇到问题。只有根用户可以在根 VSYS 中进行任何调试操作，包括调试命令或“get dbuf”命令。根用户也可以进入任何 VSYS 进行连通性测试（ping、traceroute 或 mtrace）。

VSYS 管理员的故障排除能力有限，只能在其特定的 VSYS 中进行连通性测试，无法进行深入的调试。

以下是虚拟系统故障排除权限的 mermaid 流程图：

graph LR
    A[故障出现] --> B{用户身份}
    B -->|根用户| C[可进行调试和连通性测试]
    B -->|VSYS 管理员| D[仅可进行连通性测试]
    C --> E[解决问题]
    D --> F[部分排查问题]

10. 虚拟系统总结

虚拟系统是一种强大的工具，可以将 Juniper 防火墙系统划分为多个独立的防火墙，实现独立的管理域。这有助于提高单个大型防火墙的投资回报率，将其划分为多个独立的防火墙，提供了诸多好处。

10.1 虚拟系统的优势

• 独立管理 ：可以将防火墙划分为多个较小的逻辑设备，实现管理资源的分离，常用于逻辑上分离网络的不同部分。
• 资源优化 ：通过共享资源或使用专用资源，根据实际需求灵活配置，提高资源利用率。
• 扩展性 ：展示了 Juniper 防火墙的可扩展性，是防火墙设计的进一步发展。

10.2 虚拟系统的工作原理

• 流量分类 ：Juniper 防火墙有两种流量分类方式，以决定将流量发送到哪个虚拟系统。使用子接口时，需要配置 VLAN 标记来区分流量。
• 管理员权限 ：每个虚拟系统只能有一个读写管理员和一个只读管理员。

10.3 虚拟系统的配置要点

• 创建简单 ：创建虚拟系统是一个简单的一步过程。
• 接口管理 ：物理接口需要导入和导出，使用共享接口时需要配置 IP 分类。

综上所述，虚拟系统为网络安全提供了灵活且强大的解决方案。通过合理配置和管理虚拟系统，可以满足不同规模组织的网络安全需求，提高网络的安全性和可管理性。在实际应用中，需要根据组织的具体情况进行规划和部署，充分发挥虚拟系统的优势。