HCIE-Security必考知识点：宝德网络为你解读虚拟化

HCIE-Security涉及的部分虚拟化知识，包括虚拟化概念、虚拟系统特点、华为虚拟防火墙不支持特性、虚拟防火墙应用场景、根管理员和系统管理员的知识等。学习华为认证HCIE-Security，你不仅将掌握虚拟化知识，还将学习到终端安全体系规划、部署、维护与优化；安全解决方案和规划设计方案；安全体系架构和安全标准的最佳实践。具备网络安全复杂应用的专家能力，能使用华为安全产品构建企业网络安全方案。

 

虚拟化定义

虚拟系统介绍

虚拟系统（Virtual System）是在一台物理设备上划分出的多台相互独立的逻辑设备。

您可以从逻辑上将一台FW设备划分为多个虚拟系统。每个虚拟系统相当于一台真实的设备，有自己的接口、地址集、用户/组、路由表项以及策略，并可通过虚拟系统管理员进行配置和管理。如下图：

虚拟系统特点

1、每个虚拟系统由独立的管理员进行管理，使得多个虚拟系统的管理更加清晰简单，非常适合大规模的组网环境。

2、每个虚拟系统拥有独立的配置及路由表项，这使得虚拟系统下的局域网即使使用了相同的地址范围，仍然可以正常通信。

3、可以为每个虚拟系统分配固定的系统资源，保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系统。

4、虚拟系统之间的流量默认相互隔离，更加安全。在需要的时候，虚拟系统之间也可以进行安全互访。

5、虚拟系统实现了硬件资源的有效利用，节约了空间、能耗以及管理成本。

虚拟系统不支持以下特性

1、SNMP

2、NetStream

3、敏捷网络

4、Bypass

5、BFD

6、ISP选路

7、全局选路策略

8、五元组丢包统计

9、智能安全策略

虚拟系统应用场景

场景一、云计算中心安全网关：如图所示，企业A和企业B分别在云计算中心放置了服务器。FW作为云计算中心出口的安全网关，能够隔离不同企业的网络及流量，并根据需求进行安全防护。

场景二、大中型企业的网络隔离：如图所示，企业内部网络通过FW的虚拟系统将网络隔离为研发部门、财经部门和行政部门。各部门之间可以根据权限互相访问，不同部门的管理员权限区分明确。企业内网用户可以根据不同部门的权限访问Internet的特定网站。

 

虚拟系统及管理员

一、根系统（public）：根系统是FW上缺省存在的一个特殊的虚拟系统。即使虚拟系统功能未启用，根系统也依然存在。此时，管理员对FW进行配置等同于对根系统进行配置。启用虚拟系统功能后，根系统会继承先前FW上的配置。

在虚拟系统这个特性中，根系统的作用是管理其他虚拟系统，并为虚拟系统间的通信提供服务。

二、虚拟系统或子系统(VSYS)：虚拟系统是在物理FW上划分出来的、独立运行的逻辑设备。
三、管理员：根据虚拟系统的类型，管理员分为根系统管理员和虚拟系统管理员。

1、根系统管理员

在根系统下启用虚拟系统功能后，设备上已有的管理员将成为根系统的管理员。管理员所有角色均保持不变，具备虚拟系统管理权限的根系统管理员才可以进行虚拟系统相关的配置，如创建、删除虚拟系统、分配资源等。

2、虚拟系统管理员

创建虚拟系统后，根系统管理员可以为虚拟系统创建一个或多个管理员。虚拟系统管理员仅能配置和查看自己虚拟系统相关业务；根系统管理员可以进入所有虚拟系统的配置界面，如有需要，可以配置任何一个虚拟系统的业务。

为了正确识别各个管理员所属的虚拟系统，虚拟系统管理员用户名格式统一为“管理员名@@虚拟系统名”。