徐锦洪 发表于 2024-12-21 13:39:24

96 vSystem

vSystem系统
https://i-blog.csdnimg.cn/direct/0f33996119564294b225f0ce7f970848.png
https://i-blog.csdnimg.cn/direct/81381867667a4579b1d5315863092476.png
https://i-blog.csdnimg.cn/direct/e1edacdddb8943c6a6e3ce3c9ae24df3.png
https://i-blog.csdnimg.cn/direct/c8d45228434d47938762d91cb4d8d7a9.png
https://i-blog.csdnimg.cn/direct/0c9bba8dc8b74dcc9598d307704d3bae.png
https://i-blog.csdnimg.cn/direct/33620e704e424794a8a99c2b2767da9b.png
https://i-blog.csdnimg.cn/direct/97a24f1d38614a4b8a6c640ad995ae27.png
https://i-blog.csdnimg.cn/direct/d43ae3cbf46e42178d765ec081537a2f.png
https://i-blog.csdnimg.cn/direct/1c9b0f04cf4d44a5bffd28dc245f8c87.png
https://i-blog.csdnimg.cn/direct/a21fae91ce4842e99021055703e41de6.png
1 技能背景
网络假造化旨在构建出一套与网络底层物理拓扑相互独立的逻辑网络环境,提供给差别需求的用户使用。基于这种头脑,诞生出了 VLAN 技能和 VPN 技能。近年来, 随着以 VMM(Virtual Machine Monitor,假造机监督器) 为代表的假造化技能在 X86 服务器领域的广泛应用,用户对假造化下沉网络设备层的需求也越来越迫切。当前,快速发展的业务需求与机动多变的构造架构要求企业自身的网络环境必须具备高度的机动性和可维护性,常见场景如下:

[*]· 场景一: 某公司急需开展一项新的业务, 需要为其单独部署一套新的网络环境, 而重新购买和部署新的网络设备,不但会增长建设成本,还会延长业务上线时间。
[*]· 场景二: 某大型企业内部包罗大量业务部门,有着复杂的网络划分和隔离需求。传统防火墙通过安全域和安全战略对网络进行管控。面临如此复杂的内部网络环境,以上方式往往会导致战略配置异常复杂,给管理员带来巨大的维护负担。
[*]· 场景三:某服务商为各类企业提供云计算服务,这些企业的业务规模及其对业务安全的需求各有差别,需要云计算网关能够为差别客户提供差别的安全防护服务,定制差别的安全防护战略。
vSystem 技能便是针对上述场景中用户所面临的众多问题而诞生的解决方案。
如图 1 所示, vSystem 是一种网络设备假造化技能,能将一台物理设备假造为多台相互独立的逻辑设备(即 vSystem)。 vSystem 具有以下优点:


[*]vSystem 可有效使用设备硬件资源,单一设备可为多个构造提供相互独立的服务,节流能耗和管理成本。
[*]vSystem 可由统一的根系统管理员或相互独立的 vSystem 管理员进行管理,责任清晰、管理机动。
[*]每个 vSystem 拥有独立的业务配置和路由表项,地址空间重叠的用户仍然可以正常通信。
[*]每个 vSystem 拥有固定的接口、 VLAN 资源以及其它资源限制,业务繁忙的 vSystem 不会对其它 vSystem 造成影响。
[*]每个 vSystem 之间的流量相互隔离,安全性高。在需要的时候, vSystem 之间也可以进行安全互访。
[*]vSystem 消耗设备资源少,适合大规模部署
https://i-blog.csdnimg.cn/direct/a74718bdcb5e46d88a3ad4bd4cdcf9cb.png
2 技能实现
vSystem 技能可以实现将物理设备假造成数百台甚至更多的逻辑设备,并让全部的逻辑设备以与物理设备雷同的方式对外服务。物理设备本身又称为根系统,可被视作缺省 vSystem;被假造出来的 vSystem 可被视作非缺省 vSystem(下面如无特别说明,出现的 vSystem 均指非缺省vSystem)。 在用户看来,一个非缺省 vSystem 与根系统无异。为实现海量 vSystem 的构建, vSystem 技能在如下几个方面取得了突破。
2.1 管理假造化
vSystem 技能为全部非缺省 vSystem 创建了独立的管理接口,包括命令行(CLI)界面、 Web 界面和 NETCONF 接口。这些接口的展现情势和使用方式与物理设备本身的接口完全划一,用户在使用这些接口时,不用进行额外的操纵, 如许就包管了 vSystem 的配置通用性和可维护性
2.2 管理脚色假造化
如图 2 所示, vSystem 技能通过两级管理体制实现了机动的管理脚色授权和清晰的管理权责划分。管理体制下包罗如下两级管理脚色:

[*]根系统管理员(即设备管理员):根系统管理员负责创建 vSystem,为 vSystem 分配资源,以及创建 vSystem 管理员;
[*]vSystem 管理员: vSystem 管理员负责 vSystem 内的配置和管理。 vSystem 管理员的管理权限被严酷限制在本 vSystem 内,不能登录到其他 vSystem 上进行查看和配置。
图2 vSystem 管理脚色示意
https://i-blog.csdnimg.cn/direct/8926a051a6534eca908f1a59a7a53b61.png
拥有大量分支机构的企业能够依附此技能实现如下管理场景:

[*]公司总部的根系统管理员创建和初始化分支机构 vSystem,并为分支机构的 vSystem 管理员分配或取消权限。
[*]分支机构的 vSystem 管理员负责本部门范围内的业务配置和设备管理。 如有须要,公司总部的根系统管理员也能对分支机构的业务、设备和管理进行干预。根系统管理员
2.3 资源假造化
2.3.1 接口资源假造化
根系统管理员可以将物理设备上的三层接口和 VLAN 资源按需分配给 vSystem。当差别 vSystem 的使用需求出现变化时,根系统管理员可以重新分配和协调这些资源,实现资源使用最大化。
vSystem 基于独占模式使用三层接口和 VLAN 资源,一旦三层接口或 VLAN 被分配给某个 vSystem,其他 vSystem 就不可使用该三层接口或VLAN(及其关联的 VLAN 接口)。未被分配给非缺省 vSystem 的全部资源属于缺省 vSystem。
2.3.2 非接口资源假造化
与三层接口和 VLAN 资源差别,其他诸如安全战略、会话和吞吐量等资源以共享方式供全部 vSystem 使用。 vSystem 可根据自身业务的运行状态,对表项和带宽资源进行机动申请。
为避免因某个 vSystem 占用了过多资源, 而使其他 vSystem 上的业务无法正常运行,根系统管理员可以针对每个 vSystem 中的差别资源分别配置其可被使用的上限。当某 vSystem 的资源使用量(包括安全战略规则数、会话新建速率、会话并发数和吞吐量)到达指定上限,该 vSystem将不能继承申请更多的资源,这就包管了其他 vSystem 上的业务能够正常运行,互不影响。
2.3.3 资源接纳
对于接口资源,其接纳需要由根系统管理员进行手工处理;对于表项和带宽资源,当某 vSystem 的资源使用量下降后, 其释放的资源可以由其他 vSystem 在其上限内自由使用。一旦根系统管理员删除了某个 vSystem,该 vSystem 所占据的全部资源将被释放,资源可以被分配给其他 vSystem 继承使用
2.4 业务假造化
2.4.1 业务隔离
vSystem 技能通过一种特别的方式实现了差别假造化实例下的业务隔离。其焦点是在创建 vSystem 时同时创建一个同名 VPN 实例,并将二者进行绑定。此 vSystem 的业务流量被严酷限制在与其绑定的 VPN 实例内。如许一来,设备将差别 vSystem 的业务报文视为差别 VPN 实例下的报文,仅需要为每个业务启动一个历程,便可以支持全部 vSystem 上该业务的运行。
2.4.2 配置隔离
差别 vSystem 的配置信息能够相互独立、互不干涉, vSystem 重启后,其配置信息能够正确无误地还原。vSystem 使用与业务隔离雷同的思绪进行配置隔离。具体来看, 设备仅维护一个配置文件, 供全部 vSystem 使用。 差别 vSystem 的配置被生存在文件的差别区段中,一个 vSystem 运行时不能越界获取其他 vSystem 的配置。 物理设备重启后, 将按照区段分别恢复各个 vSystem 的配置信息。根系统管理员可以查看和导出全部 vSystem 的配置信息,而 vSystem 管理员仅能查看和导出本 vSystem 的配置信息。
2.4.3 日记隔离
每个 vSystem 在运行过程中,各自独立天生和输出日记信息,日记信息注明了输出该日记的 vSystem 的 ID。用户进行业务部署后,可以选择将多个 vSystem 的日记信息分别输出到差别的日记服务器中;也可以选择将它们输出到同一台日记服务器中, 而不用担心会出现混淆。
2.5 vSystem 转发机制
2.5.1 二层转发
二层网络环境下,企业的差别分支机构使用 VLAN 进行网络划分。通过将差别 VLAN 分配给差别分支机构的 vSystem,差别分支机构内的报文会被转发至各自分支机构的 vSystem 进行处理。具体来看,设备收到报文后,会根据报文帧头部的 VLAN Tag 确定报文所属的 VLAN,再根据 VLAN 与 vSystem 的绑定关系,将报文引入相应的 vSystem。报文进入 vSystem 后,根据该 vSystem 的 MAC 地址表查询到出接口,确定报文出入接口的域间关系,再根据其自身配置的安全战略对报文进行安全检测和安全控制。
https://i-blog.csdnimg.cn/direct/e426a88d08824db593f745e698b18ed9.png
如图 3 所示,
内网 Host A、 Host B、 Host E 和 Host F 位于 VLAN 100 内,
内网 Host C、 Host D、 Host G 和 Host H 位于 VLAN 200 内。通过将
VLAN 100 分配给 vSystem vsys1,
将 VLAN 200 分配给 vSystem vsys2,
可实现将 Host A(或 Host B)与 Host E(或 Host F) 之间互访的流量交由 vsys1 处理,以及将 Host C(或 Host D)与 Host G(或 Host H) 之间互访的流量交由 vsys2 处理。图3 vSystem 支持二层转发示意图
2.5.2 三层转发
三层网络环境下, 企业的差别分支机构被划分为差别的网段,通过将设备毗连差别分支机构网络的接口分配给该部门的 vSystem,来自差别分支机构的报文就会被送入各自部门的 vSystem 进行路由查找、安全战略处理和报文转发等操纵。
如图 4 所示,分支机构 A 和 B 业务相互独立,彼此有差别的安全防护需求,需为机构 A 和 B 各自创建一个 vSystem 作为安全网关。为使分支机构网络 A 和网络 B 内的 Host 能够访问 Internet,需要将设备毗连网络 A 的接口 GE1/0/1 分配给 vSystem vsys1,将设备毗连网络 B 的接口GE 1/0/2 分配给 vSystem vsys2。此外,还需要在 vSystem vsys1 和 vsys2 中分别配置访问外网的路由和相应的安全战略。
https://i-blog.csdnimg.cn/direct/2501f7141b8a4629b8c915dfc5440f67.png
   2.5.3 vSystem 互访
2.5.3.1 vSystem 假造接口
如图 5 所示,凌驾多个 vSystem 的通信可通过 vSystem 假造接口进行。

[*]每个 vSystem 拥有一个 vSystem 假造接口,该接口始终为 UP 状态。vSystem 假造接口必须配置 IP 地址并加入安全域中,否则无法正常工作。
[*]vSystem 假造接口的格式为“vSys-interface+接标语”,此中接标语与该 vSystem 的 ID 雷同,如根系统下的 vSystem 假造接口为 vSys-interface1(根系统的 ID 为 1,其他非缺省 vSystem 的 ID 根据其创建顺序依次递增)。
[*]任意两个 vSystem 假造接口间存在一条假造链路,可在 vSystem 中配置指向另一个 vSystem 上的 vSystem 假造接口的路由,来实现对该vSystem 内用户的访问。
https://i-blog.csdnimg.cn/direct/3a1688f325f44aceb2884057e9107bac.png
   在真实网络部署中,根据组网环境的差别, vSystem 互访可分为两种情况:


[*]非缺省 vSystem 与根系统之间的互访,
[*]以及非缺省 vSystem 之间的互访。
2.5.3.2 非缺省 vSystem 与根系统之间的互访
在如图 6 所示的场景中,根系统管理员在 Device 上创建了一个 vSystem vsys1,并将接口 GE1/0/1 分配给 vsys1(接口 GE1/0/2 仍归根系统全部)。 vSys-interface1 和 vSys-interface2 分别是根系统和 vsys1 的 vSystem 假造接口。 vsys1 内的 Host A 若想与根系统内的 Host B 互访,需要在 vsys1 和根系统内配置两条去程路由和回程路由:
· 去程路由:在 vsys1 内配置一条目标地址为 2.2.2.2/32,出接口为 vSys-interface1,下一跳为 0.0.0.0 的静态路由;在根系统内配置一条目标地址为 2.2.2.0/24,出接口为 GE1/0/2,下一跳为 1.1.1.1(此为与接口 GE1/0/2 同链路的对端接口的 IP 地址)的静态路由。
· 回程路由:在根系统内配置一条目标地址为 10.1.1.0/24,出接口为 vSys-interface2,下一跳为 0.0.0.0 的静态路由;在 vsys1 内配置一条目标地址为 10.1.1.0/24,出接口为 GE1/0/1,下一跳为 10.1.2.1(此为与接口 GE1/0/1 同链路的对端接口的 IP 地址)的静态路由。此外,还需要分别在 vsys1 和根系统内配置安全域和安全战略:
· 安全域配置:需将接口 GE1/0/1 添加进 vsys1 的 Trust 安全域,将接口 vSys-interface2 添加进 vsys1 的 Untrust 安全域;将接口 GE1/0/2添加进根系统的 Untrust 安全域,将接口 vSys-interface1 添加进根系统的 Trust 安全域
· 安全战略配置:需在 vsys1 和根系统中分别创建答应 Trust 安全域中的 Host A 访问 Untrust 安全域中的 Host B 的安全战略;需在 vsys1 和根系统中分别创建答应 Untrust 安全域中的 Host B 访问 Trust 安全域中的 Host A 的安全战略。
https://i-blog.csdnimg.cn/direct/f4ea662e4cb04c95850ed594033780b4.png
   Host A 主动访问 Host B 的报文处理流程如下。(Host B 主动访问 Host A 的报文处理流程与之雷同)
(1) Host A 主动向 Host B 发起毗连。
(2) 首包到达Device后, Device基于接口分流, 将报文送入vSystem vsys1。 vsys1按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、 NAT、匹配安全战略等等。如果 vsys1 不答应转发报文,则抛弃报文,流程竣事;如果 vsys1 答应转发报文,则将报文通过vSys-interface2 与 vSys-interface1 之间的假造链路送入根系统中处理,并为该条毗连在 vsys1 中创建会话。
(3) 根系统的 vSystem 假造接口 vSys-interface1 收到报文后,根系统按照同样的防火墙转发流程对报文再次进行处理。如果根系统不答应转发报文,则抛弃报文,流程竣事;如果根系统答应转发报文,则将报文发往 Host B,并为该条毗连在根系统中创建会话。
(4) 报文经过路由转发后,到达 Host B。当来自 Host B 的响应报文到达 Device 后, Device 按照雷同流程将响应报文发往 Host A
2.5.3.3 非缺省 vSystem 之间的互访
https://i-blog.csdnimg.cn/direct/3770f66046024da89546b8f9e239b380.png
https://i-blog.csdnimg.cn/direct/8f863a53d7144995a0f97dece47f9704.png
   Host A 主动访问 Host B 的报文处理流程如下。(Host B 主动访问 Host A 的报文处理流程与之雷同) (1) Host A 主动向 Host B 发起毗连。(2) 首包到达 Device 后, Device 基于接口分流,将报文送入 vSystem vsys1。 vsys1 按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、 NAT、匹配安全战略等等。 如果 vsys1 不答应转发报文,则抛弃报文,流程竣事;如果 vsys1 答应转发报文,则将报文通过vSys-interface2 与 vSys-interface3 之间的假造链路送入 vsys2 中处理,并为该条毗连在 vsys1 中创建会话。(3) vsys2 的假造接口 vSys-interface3 收到报文后, vsys2 按照同样的防火墙转发流程对报文再次进行处理。如果 vsys2 不答应转发报文,则抛弃报文,流程竣事;如果 vsys2 答应转发报文,则将报文发往 Host B,并为这条毗连在 vsys2 中创建会话。(4) 报文经过路由转发后,到达 Host B。 当来自 Host B 的响应报文到达 Device 后, Device 按照雷同流程将响应报文发往 Host A。
3 经典组网架构

[*]
[*]大中型企业组网

https://i-blog.csdnimg.cn/direct/33639e5158a1479c871f7df60ff4f35a.png
如图 8 所示, 某企业将内部网络按部门划分为多个区域,每个区域都有访问 Internet 的需求。 为了给每个部门提供可定制的安全网关服务,可以在企业出口网关设备 Device 上为每个区域分别创建一个 vSystem,并将其作为该区域的安全网关。当区域内的用户访问 Internet 时,访问报文将依次经过该区域网关 vSystem 和根系统的处理,最终通过根系统的公网接口转发至 Internet。

3.2 云安网关
如图 9 所示,位于公网的租户 A 和 B 在云计算中心租用了服务器,云计算中心需要对租户 A 和 B 部署的云资产提供独立的安全防护。为此,可以在云计算中心的出口网关设备 Device 上为租户 A 和 B 分别创建一个 vSystem 作为安全网关。当租户访问其部署的云资产时,访问报文将依次经过根系统和该租户所对应的 vSystem 的处理,最终通过 vSystem 的私网接口转发至云网络
https://i-blog.csdnimg.cn/direct/96eb35da02764ea8a16a8a68c2ccf165.png
配置引导
1 创建vSystem
<Device-Fw>system-view   //进入到系统视图
System View: return to User View with Ctrl+Z.
vsys  vsys4  //创建vSystem 名字是 vsys4
description  vsys4  //设置的配置是 vsys4
2 为vSystem分配接口
allocate  interface  GigabitEthernet  1/0/1  //给vSystem 分配接口为 int G1/0/1
3 为 vSystem 分配 VLAN
allocate  vlan  10   //为 vSystem 分配 VLAN
4 限制 vSystem 安全战略规则总数
capability  security-policy-rule maximum  4  //限制 vSystem 安全战略规则数量为4
5 限制 vSystem 会话新建速率
capability  session  rate  90   //限制 vSystem 会话新建速率
6 限制 vSystem 入方向吞吐量
capability throughput { kbps | pps } threshold
7 (可选)开启 vSystem 入方向吞吐量告警功能并设置告警阈值。
vsys-capability throughput alarm enable alarm-thres
缺省情况下, vSystem 入方向吞吐量告警功能处于关闭状态。
8  (可选)开启 vSystem 入方向吞吐量限速丢包日记功能。
vsys-capability throughput drop-logging enable
缺省情况下, vSystem 入方向吞吐量限速丢包日记功能处于关闭状态
9 配置生存
save vsys  ?
  STRING<1-31>  Name of the vSystem
  vsys1         Vsys ID 2
  vsys2         Vsys ID 3
  vsys4         Vsys ID 4
  vsys5         Vsys ID 5
save vsys  vs
save vsys  vsys4
The current configuration flash:/startup.cfg will be written to the device. Are you sure? :y
flash:/startup.cfg exists, overwrite? :y
Validating file. Please wait...
Saved the current configuration to mainboard device successfully.
10  访问管理
switchto  vsys  vsys5
<Device-Fw-vsys5>
11 配置vSystem假造接口
(1) 进入系统视图。
system-view
(2) 进入 vSystem 假造接口视图。
interface vsys-interface interface-number
(3) (可选)设置接口的描述信息
description text
(4) (可选)恢复接口的缺省配置
Defaul
12  维护手册
https://i-blog.csdnimg.cn/direct/f5169bc5b9e14a1c92f32f377fde9683.png
配置案例
https://i-blog.csdnimg.cn/direct/06bd8e4d632e4488b57da85294bc6715.png

组网需求
LAN 1(192.168.1.0/24 网段)、 LAN 2(192.168.2.0/24 网段)、 LAN 3(192.168.3.0/24 网段)、LAN 4(192.168.4.0/24 网段)、 LAN 5(192.168.5.0/24 网段)分别属于公司 A、公司 B、公司 C,公司D,公司E。现需要对各公司的网络进行独立的安全防护。

[*]将接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/6 分配给 A 公司
[*]将接口 GigabitEthernet1/0/2 和 GigabitEthernet1/0/7 分配给 B 公司
[*]将接口 GigabitEthernet1/0/3 和 GigabitEthernet1/0/8 分配给 C公司
[*]将接口 GigabitEthernet1/0/4 和 GigabitEthernet1/0/9 分配给 D 公司
   
[*]将接口 GigabitEthernet1/0/5 和 GigabitEthernet1/0/10 分配给 E 公司
#
 version 7.1.064, Alpha 7164
#
 sysname vSystem-FW
#
context Admin id 1
#
vsys vsys1 id 2
 description vsys1-A
 allocate interface GigabitEthernet1/0/1
 allocate interface GigabitEthernet1/0/6
 allocate vlan 10
#
vsys vsys2 id 3
 description vsys2-B
 allocate interface GigabitEthernet1/0/2
 allocate interface GigabitEthernet1/0/7
 allocate vlan 20
#
vsys vsys3 id 4
 description vsys-C
 allocate interface GigabitEthernet1/0/3
 allocate interface GigabitEthernet1/0/8
 allocate vlan 30
#
vsys vsys4 id 5
 description vsys4-D
 allocate interface GigabitEthernet1/0/4
 allocate interface GigabitEthernet1/0/9
 allocate vlan 40
#
vsys vsys5 id 6
 description vsys-E
 allocate interface GigabitEthernet1/0/5
 allocate interface GigabitEthernet1/0/10
 allocate vlan 50
#
 telnet server enable
#
 irf mac-address persistent timer
 irf auto-update enable
 undo irf link-delay
 irf member 1 priority 1
#
 xbar load-single
 password-recovery enable
 lpu-type f-series
#
vlan 1
#
vlan 10
#
vlan 20
#
vlan 30
#
vlan 40
#
vlan 50
#
interface NULL0
#
interface GigabitEthernet1/0/0
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/1
 port link-mode route
 combo enable copper
 ip address 192.168.1.251 255.255.255.0
#
interface GigabitEthernet1/0/2
 port link-mode route
 combo enable copper
 ip address 192.168.2.251 255.255.255.0
#
interface GigabitEthernet1/0/3
 port link-mode route
 combo enable copper
 ip address 192.168.3.251 255.255.255.0
#
interface GigabitEthernet1/0/4
 port link-mode route
 combo enable copper
 ip address 192.168.4.251 255.255.255.0
#
interface GigabitEthernet1/0/5
 port link-mode route
 combo enable copper
 ip address 192.168.5.251 255.255.255.0
#
interface GigabitEthernet1/0/6
 port link-mode route
 combo enable copper
#
interface vSys-interface1
#
interface vSys-interface2
#
interface vSys-interface3
#
interface vSys-interface4
#
interface vSys-interface5
#
interface vSys-interface6
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name Management
#
 scheduler logfile size 16
#
line class aux
 user-role network-operator
#
line class console
 user-role network-admin
#
line class tty
 user-role network-operator
#
line class vty
 user-role network-operator
#
local-user admin class manage
 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOhbabIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==
 service-type telnet terminal http
 authorization-attribute user-role level-3
 authorization-attribute user-role network-admin
 authorization-attribute user-role network-operator
#
 ip http enable
 ip https enable
#
return
#
switchto vsys vsys1
#
interface GigabitEthernet1/0/1
 port link-mode route
 combo enable copper
 ip address 192.168.1.251 255.255.255.0
 manage ping inbound
 manage ping outbound
#
interface GigabitEthernet1/0/6
 port link-mode route
 combo enable copper
#
interface vSys-interface2
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name Management
#
domain system
#
 domain default enable system
return
#
switchto vsys vsys2
#
interface GigabitEthernet1/0/2
 port link-mode route
 combo enable copper
 ip address 192.168.2.251 255.255.255.0
#
interface GigabitEthernet1/0/7
 port link-mode route
 combo enable copper
#
interface vSys-interface3
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name Management
#
domain system
#
 domain default enable system
return
#
switchto vsys vsys3
#
interface GigabitEthernet1/0/3
 port link-mode route
 combo enable copper
 ip address 192.168.3.251 255.255.255.0
#
interface GigabitEthernet1/0/8
 port link-mode route
 combo enable copper
#
interface vSys-interface4
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name Management
#
domain system
#
 domain default enable system
return
#
switchto vsys vsys4
#
interface GigabitEthernet1/0/4
 port link-mode route
 combo enable copper
 ip address 192.168.4.251 255.255.255.0
#
interface GigabitEthernet1/0/9
 port link-mode route
 combo enable copper
#
interface vSys-interface5
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name Management
#
domain system
#
 domain default enable system
return
#
switchto vsys vsys5
#
interface GigabitEthernet1/0/5
 port link-mode route
 combo enable copper
 ip address 192.168.5.251 255.255.255.0
#
interface GigabitEthernet1/0/10
 port link-mode route
 combo enable copper
#
interface vSys-interface6
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name Management
#
domain system
#
 domain default enable system
Return
https://i-blog.csdnimg.cn/direct/410f3dde867d4c2d928058ea0a1988e3.png
https://i-blog.csdnimg.cn/direct/89205d93cee34a148b78b94343827148.png
https://i-blog.csdnimg.cn/direct/8d374ef232d84c45a7362f14d4ad53b5.png








免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页: [1]
查看完整版本: 96 vSystem