什么是虚拟系统？

虚拟系统的分类

华为防火墙设备上存在两种类型的虚拟系统，分别称作根系统（public）和虚拟系统(vsys)，如下图所示：

其中：

• 根系统是设备上缺省存在的一个特殊的虚拟系统，其作用是管理其他虚拟系统，包括为虚拟系统分配资源、为虚拟系统间的通信提供服务等。即使虚拟系统功能未启用，根系统也依然存在。此时，管理员对设备进行配置等同于对根系统进行配置。启用虚拟系统功能后，根系统会继承先前设备上的配置。
• 虚拟系统是指在设备上划分出来的独立运行的逻辑设备，需要在根系统下创建并为其分配资源。

虚拟系统是如何工作的？

通过虚拟化技术，根系统管理员可以在华为防火墙上创建虚拟系统，并为虚拟系统分配所需的资源（包括安全区域、接口、公网IP地址、会话资源等），使其能够像一台物理防火墙设备一样独立的工作。

防火墙上未配置虚拟系统时，报文进入防火墙后直接根据根系统的策略和表项（会话表、MAC地址表、路由表等）对其进行处理。防火墙上配置了虚拟系统时，每个虚拟系统都相当于一台独立的设备，仅依据虚拟系统内的策略和表项对报文进行处理。因此，报文进入防火墙后，首先要确定报文与虚拟系统的归属关系，以决定其进入哪个虚拟系统进行处理。

在防火墙上创建虚拟系统时：

• 如果将设备接口与虚拟系统绑定，则从此接口接收到的报文都会被认为属于该虚拟系统，并根据该虚拟系统的配置进行处理。
• 如果将VLAN与虚拟系统绑定，该VLAN内的报文都将被送入与其绑定的虚拟系统进行处理。报文进入虚拟系统后，根据该虚拟系统的MAC地址表查询到出接口，确定报文出入接口的域间关系，再根据配置的域间策略对报文进行转发或丢弃。
• 如果将VNI(VXLAN Network Identifier)与虚拟系统绑定后，该VXLAN内的报文都将被送入与其绑定的虚拟系统进行处理。防火墙根据VXLAN头中VNI以及VNI与虚拟系统的绑定关系，决定解封装后的报文送入哪个虚拟系统处理。报文进入虚拟系统后，根据该虚拟系统的路由表查询到出接口，确定报文出入接口的域间关系，再根据配置的域间策略对报文进行转发或丢弃。

虚拟系统有哪些优势？

通过虚拟系统能够使华为防火墙实现以下几个方面的虚拟化。

• 设备资源虚拟化：管理员可以为每个虚拟系统分配独享的软硬件资源并对资源的配额进行限制，在充分利用整机资源的同时避免由于某个虚拟系统的业务繁忙影响到其他虚拟系统业务的正常运行。
• 业务配置虚拟化：通过虚拟系统管理视图，管理员可以像配置一台独立的物理设备一样独立的完成虚拟系统的业务配置，简化了网络的管理模式及业务配置的复杂度，非常适合大规模的组网环境。
• 路由表项虚拟化：每个虚拟系统都拥有独立的路由表，不同虚拟系统下的子网即使使用了相同的地址范围仍然可以正常进行通信。同时，虚拟系统之间的流量相互隔离，仅在有业务需求时才能够通过配置实现安全互访。
• 安全功能虚拟化：每个虚拟系统都可以配置独立的安全策略及其他安全功能，实现对虚拟系统下局域网的安全防护，只有属于该虚拟系统的报文才会受到该虚拟系统下配置的安全功能影响。

虚拟系统和VRF有什么关系？

VRF（Virtual Routing Forwarding）是一种在计算机网络中广泛使用的技术，它通过隔离路由表将一台物理路由器虚拟成多台相互独立的逻辑路由器，这些逻辑路由器也称作VPN实例（VPN Instance），相同或重叠的IP地址可以在不同的VPN实例下不冲突地使用，以达到转发业务的隔离和网络资源的最大化利用。

在华为防火墙上缩小了VPN实例的应用范畴，实现各个虚拟系统之间路由隔离的底层转发业务依然依赖于VPN实例的RD值来实现；而资源、配置及业务的隔离则依赖于VSYS ID来实现。两者的逻辑关系如下图所示。

在防火墙上创建虚拟系统时会自动生成一个与虚拟系统同名的VPN实例，与该虚拟系统绑定，不能单独删除，实例ID与VSYS ID一致。此外，管理员可以在设备上手动创建VPN实例，此类VPN实例与虚拟系统无关，主要用来做路由隔离，VPN实例的命名不能与已存在的虚拟系统名称相同。