防火墙

虚拟防火墙

虚拟防火墙本质，还是在物理防火墙上划分不同逻辑资源出来给不同的业务使用，并实现不同的逻辑资源之间的资源独立，变相的实现业务隔离，类似于虚拟机的逻辑。

每一个虚拟防火墙，都有独立的转发资源（接口、vlan、IP）、独立的功能、独立的资源转发表项等，一次实现不同的业务应用隔离。

根系统

物理防火墙本身的资源，也叫public系统。

虚拟系统

在物理设备上划分出来的独立运行的逻辑设备，需要在根系统下创建并分配资源。

虚拟系统的管理是基于根系统的系统管理员创建管理，但也可以有自己独立的管理员，用来管理当前系统的资源。

虚拟系统的实现

其实就是通过VPN-instance的概念实现隔离。

创建一个虚拟系统其实就是创建一个VPN-instance，设备通过为不通的instance分配不同的资源，创建不同的转发表项进行隔离。

虚拟防火墙的通信

• 两个办法：

    基于VPN-instance直接添加路由 + 基于virtual-if接口。
    添加转发流表 + virtual-if接口。
    注意：virtual-if只是提供转发的动作，不提供转发的表项信息（不提供转发信息）。