虛擬系統(tǒng)培訓(xùn)文檔測試部：涂建偉2007/04/12虛擬系統(tǒng)培訓(xùn)文檔1培訓(xùn)內(nèi)容虛擬系統(tǒng)設(shè)計需求虛擬系統(tǒng)工作原理競爭對手產(chǎn)品典型應(yīng)用虛擬系統(tǒng)配置說明虛擬系統(tǒng)FAQ培訓(xùn)內(nèi)容虛擬系統(tǒng)設(shè)計需求2虛擬系統(tǒng)設(shè)計需求虛擬系統(tǒng)設(shè)計的動機(jī) 將一臺物理設(shè)備虛擬成多臺邏輯上相互獨立的虛擬設(shè)備，以滿足某些行業(yè)對防火墻的使用需要虛擬系統(tǒng)設(shè)計需求虛擬系統(tǒng)設(shè)計的動機(jī)3虛擬系統(tǒng)設(shè)計需求如教育行業(yè)，不同科系的網(wǎng)絡(luò)合在一起，共用一臺出口設(shè)備，需要管理員給這些科系分別配置訪問權(quán)限虛擬系統(tǒng)設(shè)計需求如教育行業(yè)，不同科系的網(wǎng)絡(luò)合在一起，共用一臺4虛擬系統(tǒng)設(shè)計需求電信機(jī)房中托管著很多不同企業(yè)的服務(wù)器，其上運行業(yè)務(wù)也各有不同虛擬系統(tǒng)設(shè)計需求電信機(jī)房中托管著很多不同企業(yè)的服務(wù)器，其上運5虛擬系統(tǒng)設(shè)計需求問題一 不同公司或科系的網(wǎng)絡(luò)混在一起，為網(wǎng)絡(luò)病毒大面積的傳播提供了有利條件虛擬系統(tǒng)設(shè)計需求問題一6虛擬系統(tǒng)設(shè)計需求問題二 不同公司或科系的網(wǎng)絡(luò)混在一起，彼此之間可以相互訪問，一旦一部分發(fā)生了安全漏洞，會導(dǎo)致整個網(wǎng)絡(luò)存在安全漏洞虛擬系統(tǒng)設(shè)計需求問題二7虛擬系統(tǒng)設(shè)計需求問題三 隨著公司和科系部門的增加，對防火墻的配置管理難度也在不斷的增加，配置維護(hù)的管理工作量也在不斷的加大虛擬系統(tǒng)設(shè)計需求問題三8虛擬系統(tǒng)工作原理虛擬系統(tǒng)的基本理論前提 共享一臺防火墻設(shè)備的用戶流量是可以通過某種方式明確劃分的

虛擬系統(tǒng)工作原理虛擬系統(tǒng)的基本理論前提9虛擬系統(tǒng)工作原理流量劃分方式分為兩種： 1、按照接口獨享劃分 2、按照VLAN來劃分虛擬系統(tǒng)工作原理流量劃分方式分為兩種：10虛擬系統(tǒng)工作原理按照接口獨享方式劃分 虛擬設(shè)備只擁有獨占的網(wǎng)絡(luò)接口，虛擬設(shè)備之間沒有共享的網(wǎng)絡(luò)接口 只接收和轉(zhuǎn)發(fā)遞送到虛擬設(shè)備所屬接口上的流量，這里的網(wǎng)絡(luò)接口可以是物理接口也可以是虛擬接口（如vlan接口或子接口）。虛擬系統(tǒng)工作原理按照接口獨享方式劃分11虛擬系統(tǒng)工作原理按照VLAN方式來劃分 可以定義一個vlan虛接口是某虛擬系統(tǒng)獨占，該vlan下所接收的流量都屬于某虛擬系統(tǒng)所有（vlan本身就具有這種特性） trunk接口在本質(zhì)上卻是共享，這里我們只能通過vlanid來區(qū)分流量的歸屬虛擬系統(tǒng)工作原理按照VLAN方式來劃分12虛擬系統(tǒng)工作原理總結(jié)出流量劃分的規(guī)則是：每個虛擬系統(tǒng)都定義自己所需要管理的獨占網(wǎng)絡(luò)接口和vlanid虛擬系統(tǒng)獨占接口上接收到的流量歸屬于該接口所屬的虛擬系統(tǒng)處理從trunk口上進(jìn)入的流量歸屬于該流量vlanid所屬的虛擬系統(tǒng)處理虛擬系統(tǒng)工作原理總結(jié)出流量劃分的規(guī)則是：13虛擬系統(tǒng)工作原理

按照上面的規(guī)則，流量在進(jìn)入系統(tǒng)之后就可以進(jìn)行明確劃分，劃分之后會流經(jīng)TOS中其他模塊進(jìn)行的后續(xù)處理

虛擬系統(tǒng)工作原理 按照上面的規(guī)則，流量在進(jìn)入系統(tǒng)之后就可以進(jìn)14虛擬系統(tǒng)工作原理 如下圖所示： 不同系統(tǒng)的流量在流經(jīng)SE，路由等模塊是只匹配屬于本虛擬系統(tǒng)的規(guī)則，忽略其他虛擬系統(tǒng)的規(guī)則。虛擬系統(tǒng)工作原理 如下圖所示：15虛擬系統(tǒng)工作原理原有系統(tǒng)的數(shù)據(jù)處理示意圖

接口沒有子接口之分，所有接口包括VLAN接口收上來的報文都由TOS系統(tǒng)按統(tǒng)一流程的處理，不同接口之間的流量不作區(qū)分，在處理上是處于同等的地位原始的TOS系統(tǒng)中，防火墻規(guī)則和路由轉(zhuǎn)發(fā)規(guī)則都沒有做出劃分，所有規(guī)則都會應(yīng)用于所有流經(jīng)該模塊的流量虛擬系統(tǒng)工作原理原有系統(tǒng)的數(shù)據(jù)處理示意圖接口沒有子接口之分16虛擬系統(tǒng)工作原理虛擬系統(tǒng)的數(shù)據(jù)處理示意圖

虛擬系統(tǒng)工作原理虛擬系統(tǒng)的數(shù)據(jù)處理示意圖17虛擬系統(tǒng)工作原理設(shè)備上存在子接口,在使用上把每個實接口、子接口、VLAN接口都作同等對待，接口屬性獨立存在虛擬系統(tǒng)工作原理設(shè)備上存在子接口,在使用上把每個實接口、子接18虛擬系統(tǒng)工作原理系統(tǒng)間的流量互不相干，流量管理也是獨立存在，互不影響虛擬系統(tǒng)工作原理系統(tǒng)間的流量互不相干，流量管理也是獨立存在，19虛擬系統(tǒng)工作原理目前功能模塊只有PF、FW、NAT支持虛擬系統(tǒng)虛擬系統(tǒng)工作原理目前功能模塊只有PF、FW、NAT支持虛擬系20虛擬系統(tǒng)工作原理流量的vsid和規(guī)則的vsid要匹配，如果不相同，則該規(guī)則不應(yīng)用于該流量虛擬系統(tǒng)工作原理流量的vsid和規(guī)則的vsid要匹配，如果不21虛擬系統(tǒng)工作原理連接表實現(xiàn)對VSID的支持虛擬系統(tǒng)工作原理連接表實現(xiàn)對VSID的支持22虛擬系統(tǒng)工作原理對象支持虛擬系統(tǒng)虛擬系統(tǒng)工作原理對象支持虛擬系統(tǒng)23虛擬系統(tǒng)工作原理靜態(tài)和策略路由表支持虛擬系統(tǒng)

對多播路由的支持后續(xù)版本中完成虛擬系統(tǒng)工作原理靜態(tài)和策略路由表支持虛擬系統(tǒng)對多播路由的支持24虛擬系統(tǒng)工作原理虛擬系統(tǒng)有獨立的管理帳戶虛擬系統(tǒng)工作原理虛擬系統(tǒng)有獨立的管理帳戶25虛擬系統(tǒng)工作原理虛擬系統(tǒng)之間的配置完全獨立虛擬系統(tǒng)工作原理虛擬系統(tǒng)之間的配置完全獨立26虛擬系統(tǒng)工作原理管理權(quán)限有限部分系統(tǒng)信息（只讀）獨占接口的配置（只讀）路由規(guī)則（只讀）對象配置（讀寫）

PF規(guī)則（讀寫）FW規(guī)則（讀寫）NAT規(guī)則（讀寫）而對于其他的配置項目，比如DPI等，以后相關(guān)模塊對虛擬系統(tǒng)支持之后逐步開放虛擬系統(tǒng)工作原理管理權(quán)限有限而對于其他的配置項目，比如DPI27虛擬系統(tǒng)工作原理虛擬系統(tǒng)之間的通訊

目前不支持！！！虛擬系統(tǒng)工作原理虛擬系統(tǒng)之間的通訊28競爭對手產(chǎn)品清華紫光的unisgate電信級安全網(wǎng)關(guān)NETSCREEN的高端產(chǎn)品系統(tǒng)

NETSCREEN已經(jīng)實現(xiàn)全部功能的支持同時還支持虛擬系統(tǒng)的配置獨立競爭對手產(chǎn)品清華紫光的unisgate電信級安全網(wǎng)關(guān)29典型應(yīng)用一：透明方式設(shè)備以純透明方式接入用戶使用兩個TRUNK接口ETH0、ETH1，支持的VLAN為vlan10和vlan20Vlan10屬于虛擬系統(tǒng)10，vlan20屬于虛擬系統(tǒng)20兩個虛擬系統(tǒng)訪問權(quán)限不同：虛擬系統(tǒng)10只允許訪問web服務(wù)，虛擬系統(tǒng)20只允許訪問smtp和pop3

典型應(yīng)用一：透明方式設(shè)備以純透明方式接入用戶30典型應(yīng)用一：配置案例使用超級管理員登錄在用戶認(rèn)證--管理員處--添加虛擬系統(tǒng)管理員

添加兩個虛擬系統(tǒng)管理員vs10和vs20分別管理虛擬系統(tǒng)10和20典型應(yīng)用一：配置案例使用超級管理員登錄31典型應(yīng)用一：配置案例添加VLAN10和VLAN20，修改它們的虛系統(tǒng)號為10和20修改eth0和eth1為交換接口TRUNK模式配置它們支持vlan10和vlan20

典型應(yīng)用一：配置案例添加VLAN10和VLAN20，修改它們32典型應(yīng)用一：配置案例使用虛擬系統(tǒng)10管理員登錄管理設(shè)備添加虛擬系統(tǒng)10的子網(wǎng)對象

添加虛擬系統(tǒng)10的自定義服務(wù)對象典型應(yīng)用一：配置案例使用虛擬系統(tǒng)10管理員登錄管理設(shè)備33典型應(yīng)用一：配置案例添加兩條訪問控制規(guī)則，只開放WEB的訪問權(quán)限使用虛擬系統(tǒng)20管理員登錄管理設(shè)備添加虛擬系統(tǒng)20的子網(wǎng)對象典型應(yīng)用一：配置案例添加兩條訪問控制規(guī)則，只開放WEB的訪問34典型應(yīng)用一：配置案例添加虛擬系統(tǒng)20的自定義服務(wù)對象添加兩條訪問控制規(guī)則，只開放smtp和pop3的訪問權(quán)限典型應(yīng)用一：配置案例添加虛擬系統(tǒng)20的自定義服務(wù)對象35典型應(yīng)用二：路由方式設(shè)備以混合模式接入用戶使用一個物理接口eth0做為用戶出口，在其上配置多個子接口veth0.1和veth0.2分別給不同的用戶使用用一個TRUNK接口eth1做內(nèi)接口，把內(nèi)部用戶按VLAN分開，每個用戶使用一個獨立的VLAN。Veth0.1和vlan10屬于虛擬系統(tǒng)10，

Veth0.2和vlan20屬于虛擬系統(tǒng)20兩個虛擬系統(tǒng)訪問權(quán)限不同：虛擬系統(tǒng)10只允許訪問web服務(wù)，虛擬系統(tǒng)20只允許訪問smtp和pop3典型應(yīng)用二：路由方式設(shè)備以混合模式接入用戶36典型應(yīng)用二：配置案例使用超級管理員登錄在用戶認(rèn)證--管理員處--添加虛擬系統(tǒng)管理員

添加兩個虛擬系統(tǒng)管理員vs10和vs20分別管理虛擬系統(tǒng)10和20典型應(yīng)用二：配置案例使用超級管理員登錄37典型應(yīng)用二：配置案例添加VLAN10和VLAN20，修改它們的虛系統(tǒng)號為10和20，并給它們配置上相應(yīng)的IP地址10.1和20.1修改eth1為交換接口TRUNK模式配置eth1支持vlan10和vlan20

典型應(yīng)用二：配置案例添加VLAN10和VLAN20，修改它們38典型應(yīng)用二：配置案例添加veth0.01和veth0.02，修改它們的虛系統(tǒng)號為10和20，并給它們配置上相應(yīng)的IP地址110.1和120.1添加兩條目的為全0的策略路由典型應(yīng)用二：配置案例添加veth0.01和veth0.02，39典型應(yīng)用二：配置案例使用虛擬系統(tǒng)10管理員登錄管理設(shè)備添加虛擬系統(tǒng)10的子網(wǎng)對象

添加虛擬系統(tǒng)10的自定義服務(wù)對象典型應(yīng)用二：配置案例使用虛擬系統(tǒng)10管理員登錄管理設(shè)備40典型應(yīng)用二：配置案例添加兩條訪問控制規(guī)則，只開放WEB的訪問權(quán)限使用虛擬系統(tǒng)20管理員登錄管理設(shè)備添加虛擬系統(tǒng)20的子網(wǎng)對象典型應(yīng)用二：配置案例添加兩條訪問控制規(guī)則，只開放WEB的訪問41典型應(yīng)用二：配置案例添加虛擬系統(tǒng)20的自定義服務(wù)對象添加兩條訪問控制規(guī)則，只開放smtp和pop3的訪問權(quán)限典型應(yīng)用二：配置案例添加虛擬系統(tǒng)20的自定義服務(wù)對象42虛擬系統(tǒng)配置說明虛擬系統(tǒng)目前只支持WEBUI的虛擬系統(tǒng)管理員配置界面虛擬系統(tǒng)目前不支持CLI的虛擬系統(tǒng)管理員配置界面超級管理員可以在CLI下進(jìn)行虛擬系統(tǒng)的配置管理（不推薦用戶使用）虛擬系統(tǒng)配置說明虛擬系統(tǒng)目前只支持WEBUI的虛擬系統(tǒng)管理員43虛擬系統(tǒng)配置說明命令行vsid取值含義定義

0： 根系統(tǒng) 1-254： 虛擬系統(tǒng)號 255： 保留虛擬系統(tǒng)號（現(xiàn)在未使用）虛擬系統(tǒng)配置說明命令行vsid取值含義定義44虛擬系統(tǒng)FAQ虛擬系統(tǒng)目前支持的模塊為NAT、FW、PFRULE，還沒有明確支持DPI、AV等模塊，使用時應(yīng)該盡可能不啟用這些模塊（包括協(xié)議支持）虛擬系統(tǒng)FAQ虛擬系統(tǒng)目前支持的模塊為NAT、FW、PFR45虛擬系統(tǒng)FAQ啟用DPI的FTP協(xié)議支持后，在部分虛擬系統(tǒng)NAT環(huán)境下可能無法使用FTP的主動模式，只用切換成FTP的被動模式就可以正常進(jìn)行數(shù)據(jù)傳送虛擬系統(tǒng)FAQ啟用DPI的FTP協(xié)議支持后，在部分虛擬系統(tǒng)N46虛擬系統(tǒng)FAQ虛擬系統(tǒng)只支持WEBUI的管理，可以通過根系統(tǒng)下添加虛擬管理員來對虛擬系統(tǒng)進(jìn)行配置管理，CLI不支持虛擬系統(tǒng)管理員登錄（注：根系統(tǒng)下管理員可以在CLI下進(jìn)行虛擬系統(tǒng)的配置管理體，但不推薦使用）虛擬系統(tǒng)FAQ虛擬系統(tǒng)只支持WEBUI的管理，可以通過根系統(tǒng)47虛擬系統(tǒng)FAQPFSERVICE的規(guī)則對各虛擬系統(tǒng)都可以生效，在根系統(tǒng)下配置就可以控制虛擬系統(tǒng)的管理權(quán)限虛擬系統(tǒng)FAQPFSERVICE的規(guī)則對各虛擬系統(tǒng)都可以生48虛擬系統(tǒng)FAQPFRULE的缺省規(guī)則對各虛擬系統(tǒng)都可以生效，使用時要注意，配置不當(dāng)會導(dǎo)致其它系統(tǒng)的通訊造成影響虛擬系統(tǒng)FAQPFRULE的缺省規(guī)則對各虛擬系統(tǒng)都可以生效49虛擬系統(tǒng)FAQIPMAC綁定對各虛擬系統(tǒng)都可以生效，對虛擬系統(tǒng)下的IPMAC綁定也要在根系統(tǒng)下配置才能生效虛擬系統(tǒng)FAQIPMAC綁定對各虛擬系統(tǒng)都可以生效，對虛擬系50虛擬系統(tǒng)FAQ各虛擬系統(tǒng)下的主要對象都是獨立存在的，但部分對象是公用的（如：屬性對象、屬性組對象、預(yù)定義的服務(wù)對象）虛擬系統(tǒng)FAQ各虛擬系統(tǒng)下的主要對象都是獨立存在的，但部分對51演講完畢，謝謝觀看！演講完畢，謝謝觀看！52虛擬系統(tǒng)培訓(xùn)文檔測試部：涂建偉2007/04/12虛擬系統(tǒng)培訓(xùn)文檔53培訓(xùn)內(nèi)容虛擬系統(tǒng)設(shè)計需求虛擬系統(tǒng)工作原理競爭對手產(chǎn)品典型應(yīng)用虛擬系統(tǒng)配置說明虛擬系統(tǒng)FAQ培訓(xùn)內(nèi)容虛擬系統(tǒng)設(shè)計需求54虛擬系統(tǒng)設(shè)計需求虛擬系統(tǒng)設(shè)計的動機(jī) 將一臺物理設(shè)備虛擬成多臺邏輯上相互獨立的虛擬設(shè)備，以滿足某些行業(yè)對防火墻的使用需要虛擬系統(tǒng)設(shè)計需求虛擬系統(tǒng)設(shè)計的動機(jī)55虛擬系統(tǒng)設(shè)計需求如教育行業(yè)，不同科系的網(wǎng)絡(luò)合在一起，共用一臺出口設(shè)備，需要管理員給這些科系分別配置訪問權(quán)限虛擬系統(tǒng)設(shè)計需求如教育行業(yè)，不同科系的網(wǎng)絡(luò)合在一起，共用一臺56虛擬系統(tǒng)設(shè)計需求電信機(jī)房中托管著很多不同企業(yè)的服務(wù)器，其上運行業(yè)務(wù)也各有不同虛擬系統(tǒng)設(shè)計需求電信機(jī)房中托管著很多不同企業(yè)的服務(wù)器，其上運57虛擬系統(tǒng)設(shè)計需求問題一 不同公司或科系的網(wǎng)絡(luò)混在一起，為網(wǎng)絡(luò)病毒大面積的傳播提供了有利條件虛擬系統(tǒng)設(shè)計需求問題一58虛擬系統(tǒng)設(shè)計需求問題二 不同公司或科系的網(wǎng)絡(luò)混在一起，彼此之間可以相互訪問，一旦一部分發(fā)生了安全漏洞，會導(dǎo)致整個網(wǎng)絡(luò)存在安全漏洞虛擬系統(tǒng)設(shè)計需求問題二59虛擬系統(tǒng)設(shè)計需求問題三 隨著公司和科系部門的增加，對防火墻的配置管理難度也在不斷的增加，配置維護(hù)的管理工作量也在不斷的加大虛擬系統(tǒng)設(shè)計需求問題三60虛擬系統(tǒng)工作原理虛擬系統(tǒng)的基本理論前提 共享一臺防火墻設(shè)備的用戶流量是可以通過某種方式明確劃分的

虛擬系統(tǒng)工作原理虛擬系統(tǒng)的基本理論前提61虛擬系統(tǒng)工作原理流量劃分方式分為兩種： 1、按照接口獨享劃分 2、按照VLAN來劃分虛擬系統(tǒng)工作原理流量劃分方式分為兩種：62虛擬系統(tǒng)工作原理按照接口獨享方式劃分 虛擬設(shè)備只擁有獨占的網(wǎng)絡(luò)接口，虛擬設(shè)備之間沒有共享的網(wǎng)絡(luò)接口 只接收和轉(zhuǎn)發(fā)遞送到虛擬設(shè)備所屬接口上的流量，這里的網(wǎng)絡(luò)接口可以是物理接口也可以是虛擬接口（如vlan接口或子接口）。虛擬系統(tǒng)工作原理按照接口獨享方式劃分63虛擬系統(tǒng)工作原理按照VLAN方式來劃分 可以定義一個vlan虛接口是某虛擬系統(tǒng)獨占，該vlan下所接收的流量都屬于某虛擬系統(tǒng)所有（vlan本身就具有這種特性） trunk接口在本質(zhì)上卻是共享，這里我們只能通過vlanid來區(qū)分流量的歸屬虛擬系統(tǒng)工作原理按照VLAN方式來劃分64虛擬系統(tǒng)工作原理總結(jié)出流量劃分的規(guī)則是：每個虛擬系統(tǒng)都定義自己所需要管理的獨占網(wǎng)絡(luò)接口和vlanid虛擬系統(tǒng)獨占接口上接收到的流量歸屬于該接口所屬的虛擬系統(tǒng)處理從trunk口上進(jìn)入的流量歸屬于該流量vlanid所屬的虛擬系統(tǒng)處理虛擬系統(tǒng)工作原理總結(jié)出流量劃分的規(guī)則是：65虛擬系統(tǒng)工作原理

按照上面的規(guī)則，流量在進(jìn)入系統(tǒng)之后就可以進(jìn)行明確劃分，劃分之后會流經(jīng)TOS中其他模塊進(jìn)行的后續(xù)處理

虛擬系統(tǒng)工作原理 按照上面的規(guī)則，流量在進(jìn)入系統(tǒng)之后就可以進(jìn)66虛擬系統(tǒng)工作原理 如下圖所示： 不同系統(tǒng)的流量在流經(jīng)SE，路由等模塊是只匹配屬于本虛擬系統(tǒng)的規(guī)則，忽略其他虛擬系統(tǒng)的規(guī)則。虛擬系統(tǒng)工作原理 如下圖所示：67虛擬系統(tǒng)工作原理原有系統(tǒng)的數(shù)據(jù)處理示意圖

接口沒有子接口之分，所有接口包括VLAN接口收上來的報文都由TOS系統(tǒng)按統(tǒng)一流程的處理，不同接口之間的流量不作區(qū)分，在處理上是處于同等的地位原始的TOS系統(tǒng)中，防火墻規(guī)則和路由轉(zhuǎn)發(fā)規(guī)則都沒有做出劃分，所有規(guī)則都會應(yīng)用于所有流經(jīng)該模塊的流量虛擬系統(tǒng)工作原理原有系統(tǒng)的數(shù)據(jù)處理示意圖接口沒有子接口之分68虛擬系統(tǒng)工作原理虛擬系統(tǒng)的數(shù)據(jù)處理示意圖

虛擬系統(tǒng)工作原理虛擬系統(tǒng)的數(shù)據(jù)處理示意圖69虛擬系統(tǒng)工作原理設(shè)備上存在子接口,在使用上把每個實接口、子接口、VLAN接口都作同等對待，接口屬性獨立存在虛擬系統(tǒng)工作原理設(shè)備上存在子接口,在使用上把每個實接口、子接70虛擬系統(tǒng)工作原理系統(tǒng)間的流量互不相干，流量管理也是獨立存在，互不影響虛擬系統(tǒng)工作原理系統(tǒng)間的流量互不相干，流量管理也是獨立存在，71虛擬系統(tǒng)工作原理目前功能模塊只有PF、FW、NAT支持虛擬系統(tǒng)虛擬系統(tǒng)工作原理目前功能模塊只有PF、FW、NAT支持虛擬系72虛擬系統(tǒng)工作原理流量的vsid和規(guī)則的vsid要匹配，如果不相同，則該規(guī)則不應(yīng)用于該流量虛擬系統(tǒng)工作原理流量的vsid和規(guī)則的vsid要匹配，如果不73虛擬系統(tǒng)工作原理連接表實現(xiàn)對VSID的支持虛擬系統(tǒng)工作原理連接表實現(xiàn)對VSID的支持74虛擬系統(tǒng)工作原理對象支持虛擬系統(tǒng)虛擬系統(tǒng)工作原理對象支持虛擬系統(tǒng)75虛擬系統(tǒng)工作原理靜態(tài)和策略路由表支持虛擬系統(tǒng)

對多播路由的支持后續(xù)版本中完成虛擬系統(tǒng)工作原理靜態(tài)和策略路由表支持虛擬系統(tǒng)對多播路由的支持76虛擬系統(tǒng)工作原理虛擬系統(tǒng)有獨立的管理帳戶虛擬系統(tǒng)工作原理虛擬系統(tǒng)有獨立的管理帳戶77虛擬系統(tǒng)工作原理虛擬系統(tǒng)之間的配置完全獨立虛擬系統(tǒng)工作原理虛擬系統(tǒng)之間的配置完全獨立78虛擬系統(tǒng)工作原理管理權(quán)限有限部分系統(tǒng)信息（只讀）獨占接口的配置（只讀）路由規(guī)則（只讀）對象配置（讀寫）

PF規(guī)則（讀寫）FW規(guī)則（讀寫）NAT規(guī)則（讀寫）而對于其他的配置項目，比如DPI等，以后相關(guān)模塊對虛擬系統(tǒng)支持之后逐步開放虛擬系統(tǒng)工作原理管理權(quán)限有限而對于其他的配置項目，比如DPI79虛擬系統(tǒng)工作原理虛擬系統(tǒng)之間的通訊

目前不支持！?。√摂M系統(tǒng)工作原理虛擬系統(tǒng)之間的通訊80競爭對手產(chǎn)品清華紫光的unisgate電信級安全網(wǎng)關(guān)NETSCREEN的高端產(chǎn)品系統(tǒng)

NETSCREEN已經(jīng)實現(xiàn)全部功能的支持同時還支持虛擬系統(tǒng)的配置獨立競爭對手產(chǎn)品清華紫光的unisgate電信級安全網(wǎng)關(guān)81典型應(yīng)用一：透明方式設(shè)備以純透明方式接入用戶使用兩個TRUNK接口ETH0、ETH1，支持的VLAN為vlan10和vlan20Vlan10屬于虛擬系統(tǒng)10，vlan20屬于虛擬系統(tǒng)20兩個虛擬系統(tǒng)訪問權(quán)限不同：虛擬系統(tǒng)10只允許訪問web服務(wù)，虛擬系統(tǒng)20只允許訪問smtp和pop3

典型應(yīng)用一：透明方式設(shè)備以純透明方式接入用戶82典型應(yīng)用一：配置案例使用超級管理員登錄在用戶認(rèn)證--管理員處--添加虛擬系統(tǒng)管理員

添加兩個虛擬系統(tǒng)管理員vs10和vs20分別管理虛擬系統(tǒng)10和20典型應(yīng)用一：配置案例使用超級管理員登錄83典型應(yīng)用一：配置案例添加VLAN10和VLAN20，修改它們的虛系統(tǒng)號為10和20修改eth0和eth1為交換接口TRUNK模式配置它們支持vlan10和vlan20

典型應(yīng)用一：配置案例添加VLAN10和VLAN20，修改它們84典型應(yīng)用一：配置案例使用虛擬系統(tǒng)10管理員登錄管理設(shè)備添加虛擬系統(tǒng)10的子網(wǎng)對象

添加虛擬系統(tǒng)10的自定義服務(wù)對象典型應(yīng)用一：配置案例使用虛擬系統(tǒng)10管理員登錄管理設(shè)備85典型應(yīng)用一：配置案例添加兩條訪問控制規(guī)則，只開放WEB的訪問權(quán)限使用虛擬系統(tǒng)20管理員登錄管理設(shè)備添加虛擬系統(tǒng)20的子網(wǎng)對象典型應(yīng)用一：配置案例添加兩條訪問控制規(guī)則，只開放WEB的訪問86典型應(yīng)用一：配置案例添加虛擬系統(tǒng)20的自定義服務(wù)對象添加兩條訪問控制規(guī)則，只開放smtp和pop3的訪問權(quán)限典型應(yīng)用一：配置案例添加虛擬系統(tǒng)20的自定義服務(wù)對象87典型應(yīng)用二：路由方式設(shè)備以混合模式接入用戶使用一個物理接口eth0做為用戶出口，在其上配置多個子接口veth0.1和veth0.2分別給不同的用戶使用用一個TRUNK接口eth1做內(nèi)接口，把內(nèi)部用戶按VLAN分開，每個用戶使用一個獨立的VLAN。Veth0.1和vlan10屬于虛擬系統(tǒng)10，

Veth0.2和vlan20屬于虛擬系統(tǒng)20兩個虛擬系統(tǒng)訪問權(quán)限不同：虛擬系統(tǒng)10只允許訪問web服務(wù)，虛擬系統(tǒng)20只允許訪問smtp和pop3典型應(yīng)用二：路由方式設(shè)備以混合模式接入用戶88典型應(yīng)用二：配置案例使用超級管理員登錄在用戶認(rèn)證--管理員處--添加虛擬系統(tǒng)管理員

添加兩個虛擬系統(tǒng)管理員vs10和vs20分別管理虛擬系統(tǒng)10和20典型應(yīng)用二：配置案例使用超級管理員登錄89典型應(yīng)用二：配置案例添加VLAN10和VLAN20，修改它們的虛系統(tǒng)號為10和20，并給它們配置上相應(yīng)的IP地址10.1和20.1修改eth1為交換接口TRUNK模式配置eth1支持vlan10和vlan20

典型應(yīng)用二：配置案例添加VLAN10和VLAN20，修改它們90典型應(yīng)用二：配置案例添加veth0.01和veth0.02，修改它們的虛系統(tǒng)號為10和20，并給它們配置上相應(yīng)的IP地址110.1和120.1添加兩條目的為全0的策略路由典型應(yīng)用二：配置案例添加veth0.01和veth0.02，91典型應(yīng)用二：配置案例使用虛擬系統(tǒng)10管理員登錄管理設(shè)備添加虛擬系統(tǒng)10的子網(wǎng)對象

添加虛擬系統(tǒng)10的自定義服務(wù)對象典型應(yīng)用二：配置案例使用虛擬系統(tǒng)10管理員登錄管理設(shè)備92典型應(yīng)用二：配置案例添加兩條訪問控制規(guī)則，只開放WEB的訪問權(quán)限使用虛擬系統(tǒng)20管理員登錄管理設(shè)備添加虛擬系統(tǒng)20的子網(wǎng)對象典型應(yīng)用二：配置案例添加兩條訪問控制規(guī)則，只開放WEB的訪問93典型應(yīng)用二：配置案例添加虛擬系統(tǒng)20的自定義服務(wù)對象添加兩條訪問控制規(guī)則，只開放smtp和pop3的訪問權(quán)限典型應(yīng)用二：配置案例添