USG虚拟化

USG虚拟化

一、根系统与虚拟系统

　　1、根系统

　　　　根系统（public）是设备上缺省存在的一个特殊的虚拟系统，其作用是管理其他虚拟系统，包括为虚拟系统分配资源、为虚拟系统间的通信提供服务等。即使虚拟系统功能未启用，根系统也依然存在。此时，管理员对设备进行配置等同于对根系统进行配置。启用虚拟系统功能后，根系统会继承先前设备上的配置。

　　2、虚拟系统

　　　　虚拟系统(vsys)是指在设备上划分出来的独立运行的逻辑设备，需要在根系统下创建并为其分配资源。

虚拟系统与根系统的区别	根系统（public）	虚拟系统(vsys)
配置管理权限不同	根系统可管理所有虚拟系统的业务配置。	虚拟系统仅支持管理本系统内部的业务配置。
资源管理能力不同	根系统可管理整机资源分配，并可为虚拟系统分配资源。	虚拟系统仅能使用分配到的资源。
业务功能支持程度不同	根系统支持设备全部的特性及功能，对设备进行配置等同于对根系统进行配置。	虚拟系统仅支持部分特性及功能的虚拟化及配置。

 

二、虚拟系统与VPN实例

　　设备通过虚拟系统能够实现资源、业务及转发的虚拟化，其中，实现虚拟系统之间路由隔离的底层转发的虚拟化是通过VPN实例来实现的。

　　1、虚拟系统与VPN实例的关系

　　　　虚拟系统特性缩小了VPN实例的应用范畴，实现各个虚拟系统之间路由隔离的底层转发业务依然依赖于VPN实例的RD值来实现；而资源、配置及业务的隔离则依赖于VSYS ID来实现。

　　　　设备使用VSYS ID来区分不同的虚拟系统，这是虚拟系统实现资源、配置和业务虚拟化的关键。每个虚拟系统都有且仅有一个唯一的VSYS ID值，VSYS ID可以在创建虚拟系统时指定，如果未指定VSYS ID，则设备会在虚拟系统创建时自动为虚拟系统分配一个未被占用的VSYS ID值。
　　　　通过display vsys命令可以查看虚拟系统的VSYS ID值，回显信息中的ID取值即为虚拟系统的VSYS ID值。

　　2、设备上存在两种形态的VPN实例

　　　　2.1、创建虚拟系统时自动生成的VPN实例。
　　　　　　创建虚拟系统时，设备会自动生成一个与虚拟系统同名的VPN实例（见图1中的vpn-instance vsys_1、vpn-instance vsys_2和vpn-instance vsys_max）。该VPN实例与虚拟系统绑定，不能单独删除，实例ID与VSYS ID一致。虚拟系统下不能创建其他的VPN实例，也不能删除默认绑定的VPN实例，删除虚拟系统时与其绑定的VPN实例会同步删除。根系统下有一个默认的公网实例（见图1中的public），VSYS ID和实例ID的取值均为0。

　　　　2.2、在设备上手动创建的VPN实例。
　　　　　　管理员可以使用ip vpn-instance vpn-instance-name命令手动创建VPN实例（见图1中的vpn-instance vpn_1和vpn-instance vpn_n）。此类VPN实例的主要作用是用来做路由隔离，实例ID从整机虚拟系统最大规格数+1开始计数。此类VPN实例与虚拟系统无关，VPN实例的命名不能与已存在的虚拟系统名称相同，且不能命名为public或root。

 

三、配置虚拟系统资源
　　1、了解虚拟系统资源

　　定额分配、手动分配和共享抢占三种分配方式，
　　　　1.1、定额分配
　　　　　　支持定额分配的资源会根据系统规格在虚拟系统创建时自动分配给虚拟系统。
　　　　　　安全区域是最常用到的支持定额分配的资源项，虚拟系统安全区域的规格与根系统完全一致且相互独立，每个虚拟系统都拥有4个缺省的安全区域（trust、untrust、dmz和local），这个4个缺省的安全区域不能删除或修改。
　　　　1.2、手工分配
　　　　　　1.2.1、在创建虚拟系统时直接分配

　　　　　　1.2.2、通过配置和绑定资源类的方式分配
　　　　　　　　由于设备上创建的虚拟系统和根系统会共同使用整机的资源，为避免因某个虚拟系统占用大量资源造成其他虚拟系统资源不足、业务异常等情况，设备支持通过配置并绑定资源类的方式对单个虚拟系统使用的某些关键资源项的保证值和最大值进行分配和限制，其中：
　　　　　　　　　　保证值是指为虚拟系统预分配的某资源项可使用的最小数量，这部分资源一旦分配给虚拟系统就被该虚拟系统独占；
　　　　　　　　　　最大值是指限制虚拟系统可使用的某资源项的最大数量，虚拟系统可使用的资源能否达到配置的最大值还视其他虚拟系统及根系统对该资源项的情况以及该资源项的整机剩余量而定。
　　　　　　　　如果虚拟系统绑定的资源类对某些资源项未指定最大值和保证值，则虚拟系统对这些资源项的使用情况不受限制，虚拟系统和根系统以及其他未限定该资源项的虚拟系统一起共同抢占整机的剩余资源。
　　　　　　　　资源类只有在绑定到虚拟系统后才能生效，如果仅在资源类中指定了资源数的保证值，但未将资源类绑定到虚拟系统，则这部分资源不会从整机剩余资源中扣除。

　　　　1.3、共享抢占
　　　　　　除了上述支持定额分配和手工分配的资源项外，设备的其他资源项暂不支持为虚拟系统独立分配，所有虚拟系统会共享抢占根系统下的整机资源。
　　　　　　　　地址和地址组、自定义服务和自定义服务组、NAT地址池、证书、时间段、带宽通道、上网用户数、安全组数、
　　　　　　　　静态路由条目、在线上网用户数、各种表项，如Server-Map表、IP-MAC地址绑定表、ARP表、MAC地址表等。

　　2、配置资源类
　　3、配置虚拟系统的会话资源使用率告警功能
四、创建虚拟系统
五、管理虚拟系统
　　1、虚拟系统互访
　　2、虚拟系统与根系统通过路由表互访
　　3、虚拟系统与根系统通过引流互访
　　4、两个虚拟系统直接互访
　　5、两个虚拟系统跨根系统互访
　　6、两个虚拟系统跨虚拟系统互访
六、配置虚拟系统互访
七、配置NAT模式虚拟系统
八、配置透明模式虚拟系统
九、配置IPv6虚拟系统