为什么我需要将 VR 链接到 Vsys?

网络工程 帕洛阿尔托
2022-03-01 19:20:39

我正在使用配置了多个 Vsys 的 PA-3020 设备,并且在创建 Vsys 时,我能够分配特定的 VR。

据我了解,Vsys 与 VR 之间的连接是基于 Vsys 连接到 VR 的接口,就像在将 FW 连接到路由器的物理设置中一样。

那么为什么我需要将 VR 分配给 Vsys?我可以使用只连接到 Vsys 而不分配它的 VR 吗?

谢谢,

1个回答

据我了解,Vsys 是一个可以将虚拟路由器 (VR) 分配到的虚拟实例。您无法连接它们,因为 Vsys 是 VR 的范围。

检查虚拟系统

定义虚拟系统

接口和安全区域可以分组到虚拟系统中,然后相互独立管理。例如,如果您为与特定部门或客户关联的接口定义虚拟系统,那么您可以为每个部门或客户自定义管理访问、安全策略和日志记录/报告。

您还可以定义管理员帐户,以提供对单个虚拟系统的管理或仅查看访问权限。最初,所有接口、区域和策略都属于默认虚拟系统 (vsys1)。启用多个虚拟系统时,请注意以下事项:

  • 必须将接口、区域、VLAN、虚拟线路和虚拟路由器 (VR) 分配给虚拟系统(在相应页面中添加虚拟系统列)。
  • 在策略和对象选项卡下添加了一个虚拟系统下拉列表。在定义策略或策略对象之前,您必须选择适当的虚拟系统。
  • 远程日志记录目标(SNMP、Syslog 和电子邮件)以及应用程序、服务和配置文件可以由所有虚拟系统共享或仅限于选定的虚拟系统。
  • 可以在创建 vsys 之前定义虚拟路由器、安全区域和 VLAN,也可以在稍后阶段通过在创建资源时指定 vsys 来添加。

在配置虚拟系统之前,它们需要被激活。在设置 > 管理选项卡 > 常规设置页面的设备选项卡下完成激活。启用虚拟系统功能后,“虚拟系统”和“共享网关”菜单项将在设备选项卡下的左侧树形菜单中可用。开始配置第一个虚拟系统需要最少的信息。请注意,vs ys1 是始终存在的默认虚拟系统。