防火墙虚拟化技术详解（下）

今天继续给大家介绍华为USG6000防火墙。本文主要介绍的是防火墙的虚拟化技术，从虚拟系统资源分配、虚拟系统的分流和互访以及虚拟系统与VPN实例三个方面对虚拟化技术进行了详细阐述。
阅读本文前，强烈建议您阅读这一篇文章：防火墙虚拟化技术详解（上）

一、虚拟系统与资源分配

合理地资源分配可以对单个虚拟系统的资源进行约束，避免因某个虚拟系统占用过多的资源，导致其他的虚拟系统无法获取资源，业务无法正常运行的情况。
虚拟系统中的资源分配有以下三种：
1、定额分配。 此类资源直接按照系统规格自动分配固定的资源，不支持用户手工配置。定额分配的资源有SSL VPN网关、安全区域、五元组抓包队列等等。
2、手工分配。 此类资源支持用户通过命令行或WEB界面中的资源分配界面手动分配。手工分配的资源有接口、VLAN、策略和带宽等等。
3、抢占资源。 除了定额分配和手工分配外，系统中的证书、带宽通道、NAT地址池、地址和地址组、地区和地区组等资源位抢占资源。虚拟系统和根系统之间共同抢占系统资源。
在配置虚拟系统的资源数量和资源种类时，通常配置资源类。在资源类中指定各类资源的保证值和最大值。保证值是指虚拟系统可使用的某类资源的最小数量。这部分资源，一旦分配给虚拟系统，就被该虚拟系统独占。最大值是指虚拟系统可使用某类资源的最大数量，虚拟系统可以使用的资源能否达到最大值取决于其他虚拟系统对该资源的使用情况。

二、虚拟系统的分流与互访

当防火墙上未配置虚拟系统时，报文进入防火墙后直接根据系统的策略和表项（会话表、MAC地址表、路由表等）对其进行处理。防火墙上配置了虚拟系统时，每个虚拟系统都相当于一台独立的设备，仅根据虚拟系统内的策略和表项对报文进行处理。因此报文进入防火墙后，首先要确定报文与虚拟系统的归属关系以决定报文进入哪个虚拟系统进行处理。我们将确定报文各虚拟系统归属关系的过程称为分流。
华为系列防火墙支持三种分流方式：
1、基于接口的分流，适合于接口工作在三层的防火墙。
2、基于VLAN的分流，适合于接口工作在二层的防火墙。
3、基于VNI分流，适合于使用了VXLAN的防火墙。
在防火墙各个虚拟系统之间或虚拟系统与根系统之间，支持通过虚拟接口互访。
虚拟接口时创建虚拟系统时自动为其创建的一个逻辑接口，作为虚拟系统自身与其他虚拟系统之间通信的接口。
虚拟接口的格式为virtual-if【接口号】，根系统的虚拟接口号为virtual-if0，其他虚拟系统的虚拟接口号根据配置顺序从1 开始，由系统自动分配。
各个虚拟系统及根系统的虚拟接口之间默认通过一条“虚拟链路”链接。如果将虚拟系统、根系统都视为独立的设备，将虚拟接口视为设备之间通信的接口，通过将虚拟接口加入安全区域并按照陪哦之一般设备互访的思路配置路由和策略，就能够实现虚拟系统和根系统之间、各个虚拟系统之间的互访。
虚拟接口和虚拟链路如下图所示：

三、虚拟系统与VPN实例

除了虚拟系统外，防火墙还支持VPN实例（VPNInstance）。虚拟系统和VPN实例都具有隔离的作用，但是功能实现又有所不同，虚拟系统的主要作用是业务隔离和路由隔离（只能是静态路由），VPN实例的主要作用是路由隔离。动态路由协议和组播功能的实现需要使用VPN实例。
在防火墙上的VPN实例也有两种形态：一种是创建虚拟系统时自动生成的VPN实例，还有一种是管理员手动创建的VPN实例。目前防火墙上这两种形态的VPN实例并存，配置时需要根据实际情况来确定具体使用哪种形态的VPN实例。
参考：华为防火墙配置指南
原创不易，转载请说明出处https://blog.csdn.net/weixin_40228200/article/details/119156169