内容卷虚拟系统

Copyright©2004JuniperNetworks,Inc.All JuniperNetworks,theJuniperNetworkslogo,NetScreen,NetScreenTechnologies,GigaScreen,andtheNetScreenlogoareregisteredtrademarksofJuniperNetworks,Inc.NetScreen-5GT,NetScreen-5XP,NetScreen-5XT,NetScreen-500,NetScreen-5200,NetScreen-5400,NetScreen-GlobalPRO,NetScreen-GlobalPROExpress,NetScreen-RemoteSecurityClient, Client,NetScreen-IDP10,NetScreen-IDP100,NetScreen-IDP500,GigaScreenASIC,GigaScreen-IIASIC,andNetScreenScreenOSaretrademarksofJuniperNetworks,Inc.Allothertrademarksandregisteredtrademarksarethepropertyoftheirrespectivecompanies.Informationin issubjecttochangewithoutNopartofthis maybereproducedortransmittedinanyformorbyanymeans,electronicormechanical,foranypurpose,withoutreceivingwrittenpermissionfrom:JuniperNetworks,Inc.ATTN:GeneralCounsel1194N.MathildaAve.Sunnyvale,CA94089-FCCThefollowinginformationisforFCCcomplianceofClassAdevices:ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassAdigitaldevice,pursuanttopart15oftheFCCrules.Theselimitsaredesignedtoprovidereasonableprotectionagainstharmfulinterferencewhentheequipmentisoperatedinacommercialenvironment.Theequipmentgenerates,uses,andcanradiateradio-frequencyenergyand,ifnotinstalledandusedinaccordancewiththeinstructionmanual,maycauseharmfulinterferencetoradiocommunications.Operationofthisequipmentinaresidentialareaislikelytocauseharmfulinterference,inwhichcaseuserswillberequiredtocorrecttheinterferenceattheirownexpense.

ThefollowinginformationisforFCCcomplianceofClassBdevices:Theequipmentdescribedinthismanualgeneratesandmayradiateradio-frequencyenergy.IfitisnotinstalledinaccordancewithNetScreen’sinstallationinstructions,itmaycauseinterferencewithradioand evisionreception.ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassBdigitaldeviceinaccordancewiththespecificationsinpart15oftheFCCrules.Thesespecificationsaredesignedtoprovidereasonableprotectionagainstsuchinterferenceinaresidentialinstallation.However,thereisnoguaranteethatinterferencewillnotoccurinaparticularinstallation.Ifthisequipmentdoescauseharmfulinterferencetoradioor reception,whichcanbedeterminedbyturningtheequipmentoffandon,theuserisencouragedtotrytocorrecttheinterferencebyoneormoreofthefollowingmeasures:ReorientorrelocatethereceivingIncreasetheseparationbetweentheequipmentandConsultthedealeroranexperiencedradio/TVtechnicianforConnecttheequipmenttoanoutletonacircuitdifferentfromthattowhichthereceiverisconnected.Caution:Changesormodificationstothisproductcouldvoidtheuser'swarrantyandauthoritytooperatethisdevice. THESOFTWARELICENSEANDLIMITEDWARRANTYFORPANYINGPRODUCTARESETFORTHINTHEINFORMATIONPACKETTHATSHIPPEDWITHTHEPRODUCTANDAREINCORPORATEDHEREINBYTHISREFERENCE.IFYOUAREUNABLETOLOCATETHESOFTWARELICENSEORLIMITEDWARRANTY,CONTACTYOURNETSCREENREPRESENTATIVEFORACOPY.前 CLI约 WebUI约 插图约 JuniperNetworksNetScreen文 第1章虚拟系 虚拟路由 区 接 发往NetScreen设备的信息 直通信息

接 共享接 定义子接口和VLAN标记 索 JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 )自己的地址薄、用户列表、定务、和策略以使自己的安全域个性化。JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 前 约约vii|setinterface{ethernet1|ethernet2|ethernet3}变量以方式出现。例如setadminusernameNetScreen设备的序列号”。当键入关键字时，只需键入足够的字母就可以唯一地标识单词。例如，要输入命setadminuserjoej12fmt54setadmujoej12fmt54就足够了。尽管输入命令时可以使用此捷径，但本文所述的所有命令都JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 前 约 框的路径显示为Objects>Addresses>List>New。此导航序列如下所示4123ObjectsObjectsDHTML菜单Addresses

JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 前 约如要用WebUI执行任务，必须首先导航到相应的 令集划分为两部分:导航路径和配置详细信息。例如，下列指令集包含指向地址配置 ObjectsAddressesListNewAddressName:IPAddress/ Zone:由于没由于没CommentIPAddressName/ Zone:OKJuniperNetworksNetScreen概念与范例–第9卷:虚拟系 前 约通用NetScreen

/24安全区 白色受保护区段接口例如Trust区段黑色例如Untrust

动态IPDIP)

例如:NAT服务器，接入集中器)

JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 前 约 trust“localLAN”/24。NetScreen为双字节字符集，DBCS)的例子是中文、韩文和日文。JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 前 JuniperNetworksNetScreen文档要获取任何JuniperNetworksNetScreen产品的技术文档， 打开支持个例，还可拨 国内)或 以外的地区) JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 前 JuniperNetworksNetScreen文JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 己的地址薄、用户列表、自定义服务、和策略以使自己的安全域个性化不过，只有根级管理员才可以设置防火墙安全选项、创建虚拟系统管理员以及定义接口接口)。拟系统的下列概念和具体实现:3Vsys第15页上的 JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 1 JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 创建Vsys对象vsysadmin分类或两者的组合。完成这些配置后，您可以退出虚拟系统，允许vsysadmin(如果已定义)登录并开始配 、路由和策略范例Vsys对象和在此例中，作为根级admin，您可以创建三个vsys对象:vsys1、vsys2、vsys3。为vsys1创建名为Alice、 wIEaS1v1的vsysadmin3。为vsys2创建名为Bob、 为pjF56Ms2的vsysadmin。您没有为vsys3定义vsysadmin，而是接受NetScreen设备自动生成的admin定义。对于vsys3的情况，NetScreen设备创建admin 注意注意:Vsys名称、admin名称以 只有根级管理员才可创建vsysadmin配置文件(用户名和 户名。但是，vsysadmin可以(也应当)更改其 JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 创建Vsys对 显示区—Vsys:Name上方VsysNewVsysName:VsysAdminName:VsysAdminNewPassword:wIEaS1v1ConfirmNewPassword:wIEaS1v1VirtualRouter:CreateadefaultvirtualrouterVsysName:vsys2VsysAdminName:BobVsysAdminNewPassword:pjF56Ms2ConfirmNewPassword:pjF56Ms2VirtualRouter:CreateadefaultvirtualrouterJuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 创建Vsys对VsysNewVsysName:vsys3VirtualRouter:Selectanexistingvirtualrouter),untrust-ns->setvsysns(vsys1)->setadminnameAlicens(vsys1)->setadminpasswordwIEaS1v1ns(vsys1)->save4ns(vsys1)->ns->setvsysns(vsys2)->setadminnameBobns(vsys2)->setadminpasswordpjF56Ms2ns(vsys2)->savens(vsys2)->ns->setvsysvsys3vroutershareuntrust-vrns(vsys3)->saveJuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 创建Vsys对意义。这是vsys Trust-vsysname区段的路由表。所有vsys级的虚拟路由器皆不可共享。)vsysvsysname-vruntrust-vr的方式来免除vsysname-vr6-19注意:此ScreenOS JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 创建Vsys对vsys对象时，将自动继承或创建以下区段:Trust-vsys_name VsysEntervsys1NetworkZonesNewZoneType:Layerns->entervsysns(vsys1)->setzonenamename_strns(vsys1)->setzonevroutervrouterns(vsys1)->saveJuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 创建Vsys对vsys或根系统可以包含的最大安全区段数目仅受限于设备级的可用安全区段数目5admin/写系统共享根级安全区段，并不利用任何用户定义的vsys级区段，则所有安全区段可以供根级使用。 )

)† 密钥定义)与 JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 创建Vsys对

共享的接

Trust-

子接物理接

Trust-Trust-vii页上的“插图约。JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 信息息流，并将其以两种不同方式进行分类: NetScreen 由 对象是在vsys1中配置的，所发送到该对象的信息流属于vsys1MIP对象是在vsys2中配置的，所以发送到该对象的信息流属于vsys2VIP对象是在vsys3送到该对象的信息流属于vsys3

ethernet1/2Untrust区段vsys1、vsys2vsys3共享此接口

站点的AutoKeyIKE JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 IPVLANVLAN标记6来标识入站信息流所属的备用于确定数据包所属的系统的过程通过以下三个步骤进行:IP信息流分 接口 接口还是共享接口7 的(例如“v-i”)，NetScreen设备会将信息流与该接口专属的系统联系起来 IP分类失败 IP分类成功出口接IP信息流分 有关共享 JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 当数据包到达具有虚拟系统的NetScreen设备时，设备执行下列步骤将数据包与vsys1接口1

出口接口22检检 否将数据包 vsys(“v-i”)相关

否 vsys(“v-e”)相关检查源IP检查源IP检查目的IP否是否是源 IP接口 分类失IPvsys“v-i

IP出口接口 目的IP分类失IPvsys“v-e)JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 Vsys信息流分 IP地址关联的vsys(例如，名为“v-ivsys)。IPvsys例如，名为“v-evsys当同一共享区段出现信息流时，NetScreenintervsysNetScreen设备先应用 再应用“v-e”策略组和路由表。(请参阅第28页上的“范例:InterVsys的通信”。) JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 执 接口/源IP(I/S)和出口接口/目的IP(E/D)分类之后，NetScreen设备将查找结果用于确定信息流分类I/S分类 是是

使用vsys“v-i”

E/D分类 丢使用vsys“v-e”同 是vsys“v-i“v-

是

否应用vsys“v-i”策略组和路由表，然后应用vsys区段内 信息是应用vsys“v-iJuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 于某系统，如下所示:将变成该vsys的 )untrust-vrUntrust区段为共享区段。因此，vsysUntrust区段的根级物理接口、子接口、冗余接口或聚合接口。Untrust区段以外的某一区段创建共享接口，必须将该区段定义为根级共享区段8。为此，该区段必须属于某一 JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 根系统使用。如果将vsys级区段绑定 于该vsys的虚拟路由器或在根系统中创建的共享虚拟路由器，该区段仍为 vsys使用。 到共享区段的vsys级接口仍为 接口，仅可用于为其创建该接口的vsys。 WebUICLI中的选项如下所示:NetworkRoutingVirtualRoutersNewSharedandaccessiblebyothervsysApplysetvrouternamesetvroutername_str器改成共享虚拟路由器。)JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 setzonenamesetzonezonevroutersetzonezonesetinterfaceinterfacezone当两个或个系统共个接口时，NetScreenIP的信息流分类方法来正确地分类入阅33IP的信息流分类”)JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 于某一vsys。事实上，是将物理接口从根系统导入到虚拟系统中。将物理接口 范例/24NetworkInterfaces:Importethernet4/1ZoneName:IPAddress/Netmask:ExitVsys在菜单栏的底部JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 ns->entervsysns(vsys1)->setinterfaceethernet4/1importns(vsys1)->setinterfaceethernet4/1zoneuntrustns(vsys1)->setinterfaceethernet4/1ip/24ns(vsys1)->savens(vsys1)->范例ethernet4/1导出到根系统导出NetworkInterfacesEditethernet4/1OK:ZoneName:NullIPAddress/Netmask/0Network>Interfaces:Export(ethernet4/1。JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 ExitVsys在菜单栏的底部ns->entervsys导出接ns(vsys1)->unsetinterfaceethernet4/1ipns(vsys1)->unsetinterfaceethernet4/1zonens(vsys1)->unsetinterfaceethernet4/1importThiscommandwillremoveallobjectsassociatedwithinterface,continue?y/[n]?ns(vsys1)->savens(vsys1)->JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于VLAN的信息流分基于VLAN的信息流分在缺省情况下，vsysUntrustTrustvsys都可以与根系统以UntrustvsysUntrust区段的物理接口(从根系统导入)。VLAN感知交换

中继端

VLAN1vsys1)VLAN2vsys2)

vsys上的Trust区段共享的Untrust区段

口上的信息流无需VLAN标记。JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于VLAN的信息流分UntrustvsysUntrustVLAN联系起来。子接口源于物理接口，随后将充当中继端口。中继端口允许第2层网络设备通过单个物理端口 来自多个VLAN义为中继端口。当在“透明”模式下使用根级VLAN时，必须使用以下CLI命令以手动方式将所有物理端口定义为中继端口:setinterfacevlan1vlantrunk。共享互联

VLANNetScreen根vsysvsys

Trust区段根

JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于VLAN的信息流分当vsys使用绑定到Trust-vsys_name区段的子接口(非 和内部路由器必须具有支持VLAN的功能。如果在某一物理接口上创建了多个子接口，则必须将连接交换机的端口定义为中继端口并使其成为使用该端口的所有VLAN中的成员。当vsys使用绑定到共享Untrust区段的子接口(非共享接口或 换机和外部路由器必须具有支持VLAN的能力。路由器会对内向帧进行标记，以 内向帧到达NetScreen设备:setinterfacevlan1vlantrunk。Trust-vsys_namevsysVLAN。UntrustvsysWANVLANID14095ABCUntrustNetScreenVLAN。JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于VLAN的信息流分vsys1与根系统共享Untrust到Untrust区段的 根系统具有绑定到其Trust区段的理接 VLAN。vsys2具有两个绑定VLAN。

ifsif互联

根……

NetScreenIEEE802.1QVLANVLAN中的从属关绑定到vsys，则在NetScreen设备的根系统中设置的策略将被应用到该帧。MAC地址、端vsysadmin接着可以通过创建地址、用户、服务、和策略来管理vsysvsysadmin，那么根级管理员将执行这些任务。如果根adminVLAN关联vsysVLANNetScreen设备根系统中运JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于VLAN的信息流分 vsys。范例定义三个子接口和VLAN在此例中，将为在3VsysAdmin”vsys1vsys2vsys3定义VLANNAT;Vsys1子接口VLANNetworkInterfacesNewSub-IFethernet3/2InterfaceName:ethernet3/2.1ZoneName:Trust-vsys1IPAddress/Netmask:VLANTag:JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于VLAN的信息流分Vsys2子接口VLANNetworkInterfacesNewSub-IFethernet3/2InterfaceName:ethernet3/2.2ZoneName:Trust-vsys2IPAddress/Netmask:VLANTag:Vsys3子接口VLANNetworkInterfacesNewSub-IFethernet3/2InterfaceName:ZoneName:Trust-IPAddress/Netmask:/24VLANTag:3ExitVsysJuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于VLAN的信息流分Vsys1子接口VLANns->entervsysns(vsys1)->setinterfaceethernet3/2.1zonetrust-vsys1ns(vsys1)->setinterfaceethernet3/2.1ip/24tag114ns(vsys1)->savens(vsys1)->Vsys2子接口VLANns->entervsysns(vsys2)->setinterfaceethernet3/2.2zonetrust-vsys2ns(vsys2)->setinterfaceethernet3/2.2ip/24tag2ns(vsys2)->savens(vsys2)->Vsys3子接口VLANns->entervsysns(vsys3)->setinterfaceethernet3/2.3zonetrust-vsys3ns(vsys3)->setinterfaceethernet3/2.3ip/24tag3ns(vsys3)->setinterfaceethernet3/2.3routens(vsys3)->savens(vsys3)->JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于VLAN的信息流分vsys中的VLAN成员彼此间的通 VLANVLAN间的信息流在由相关虚拟系统策略设置的参数范围内运行15。NetScreen设备只传递允许离开始发虚拟系统的信息流和允许进入目标虚拟系统的信息流。()流动。vsys1vsys2请参阅25VLAN设置策略以使VLAN1(work_jsIP0/32VLAN2(ftp_serverIP地址为0/32)之间能够传递信息流。如果满足以下两个条件，两者之间就可以进行连接:3NetScreen3VLAN1和VLAN2间的信息流就可以通过此路由器，同时绕过NetScreen设备上设置的所有策略。的JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于VLAN的信息流分

2层

地ObjectsAddressesListNewAddressName:IP IP/Netmask:0/32Zone:Trust-vsys1ObjectsAddressesListNewAddressName:ftp_serverIPAddress/ IP/Netmask:0/32Zone:UntrustJuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于VLAN的信息流分NetworkRoutingRoutingEntriesuntrust-vrNewNextHopVirtualRouterNamevsys1-NetworkRoutingRoutingEntriesvsys1-vrNewNetworkAddress/Netmask:/0Gateway:(选择)NextHopVirtualRouterNameuntrust-PoliciesFromTrust-vsys1ToUntrustNewSourceAddressBookEntrywork_jsDestinationAddress:AddressBookEntryAction:PermitObjectsAddressesListNewAddressName:IPAddress/ IP/Netmask/32Zone:Trust-JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于VLAN的信息流分ObjectsAddressesListNewAddressName:IP IP/NetmaskZone:NetworkRoutingRoutingEntriesuntrust-vrNewNextHopVirtualRouterName:();vsys2-vrNetworkRoutingRoutingEntriesvsys2-vrNewOK:NextHopVirtualRouterNameuntrust-PoliciesFromUntrustToTrust-vsys2)NewOK:SourceAddress:AddressBookEntrywork_jsDestinationAddress:AddressBookEntryftp_serverServiceFTP-GetAction:JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于VLAN的信息流分setaddresstrust-vsys1work_js0/32setaddressuntrustftp_server0/32setvrouteruntrust-vrroute/24vroutervsys1-vrsetvroutervsys1-vrroute/0vrouteruntrust-vrsetpolicyfromtrust-vsys1tountrustwork_jsftp_serverftp-getpermitsetaddresstrust-vsys2ftp_serversetaddressuntrustwork_jssetvrouteruntrust-vrroute/24vroutervsys2-vrsetvroutervsys2-vrroute/0vrouteruntrust-vrVsys2setpolicyfromuntrusttotrust-vsys2work_jsftp_serverftp-getpermitJuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于IP的信息流分基于IP的信息流分)所有系统共享以下各项:Untrust共享的UNTRUST-共享的Untrust

Untrust区段根

互联

共享的untrust-vrinternal-vr。接口)。可以采取混合方法，在一侧使用共享接口，在另一侧使用 接口(具有VLAN标记)。基于VLAN和基于IP的信息流分类可以同时在同一系统内或不同系统JuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于IP的信息流分IP地址范围，必须在根级执行以下任一操作

NetworkZonesEditzoneIPClassificationSystemrootvsys_name_strip_addr1–ip_addr2setzonezoneip-classificationnetip_addr/mask{root|vsysname_strsetzonezoneip-classificationrangeip_addr1-ip_addr2{root|vsysname_str由于基于IP的信息流分类方法要求使用共享安全区段，所以虚拟系统不能使用 的内部IP地址，但对于基于VLAN的信息流分类方法却可以。此外，由于所有系统共享相同的内部接口，所以该接口的运行模式必须是NAT或在灵活性方面就不如更常用的基于VLAN方法的编址方案。vsys一个内部虚拟路由器、内部安全区段以及内部vsysIPJuniperNetworks建议您禁用共享内部接口上IPSCREENIPVLANJuniperNetworksNetScreen概念与范例–第9卷:虚拟系 第1章虚拟系 基于IP的信息流分范例IPtrust-vr定义为可共享。创建新区段，将其命名为Internaltrust-vrInternal区段可共享。将ethernet3/2InternalIP/16NAT模式。/24–/24–/24–NetworkRoutingVirtualRoutersEdittrust-vrSharedandaccessiblebyothervsys复选框，然后单击OK。NetworkZonesNewZoneName:VirtualRouterName:trust-ZoneType:LayerNetworkZonesEditInternalShareZoneOKNetworkInterfacesEditethernet3