VSX 虛擬化¶
一台實體設備,跑出多台「彼此完全獨立」的防火牆 —— 這就是 VSX(Virtual System eXtension)。多租戶、多部門隔離、整併機房常用。R82 起還有後繼架構 VSNext。
核心元件¶
| 元件 | 角色 |
|---|---|
| VSX Gateway | 實體平台 / 叢集,在同一硬體上承載多個虛擬防火牆 |
| Virtual System (VS) | 一台「虛擬防火牆」,有自己的 Blade、介面、IP、獨立路由表、獨立 policy,彼此隔離 |
| Virtual Switch (vSwitch) | L2,把多個 VS 連到共用的對外網段 / router |
| Virtual Router (vRouter) | L3,在 VS 之間或對外做路由,可共用上行 |
| Warp Link | VS 與 vSwitch / vRouter 之間的虛擬點對點連線 |
graph TD
NET[實體網路] --> VSX[VSX Gateway 實體平台]
VSX --> VS1[VS1 客戶A 防火牆]
VSX --> VS2[VS2 客戶B 防火牆]
VSX --> VS3[VS3 DMZ 防火牆]封包到達 VSX Gateway → 依目的網段送到對應 VS → 該 VS 用自己的 policy 檢查放行 / 拒絕。各 VS 之間互不可見。
常用指令¶
vsx stat # VSX 整體狀態 / VS 清單
vsx stat -v # 詳細
vsx stat <VS ID> # 特定 VS
# 切換操作 context(切了之後 fw / cphaprob 才作用在該 VS)
set virtual-system <ID> # Gaia clish 切 context
vsenv <ID> # expert mode 切 context
cphaprob state # 在某 VS context 內看該 VS 的叢集狀態
排錯先切對 VS
在 VSX 上跑 fw、cphaprob、fw monitor 前,先 vsenv <ID> 切到目標 VS,否則你看的不是那台虛擬防火牆。fw ctl zdebug / fw monitor 在 VSX 上可能因 buffer 不足失敗(sk167412),抓特定 VS 見 sk34058。
設定流程(概念)¶
- SmartConsole 走 VSX wizard 建立 VSX Gateway / VSX Cluster 物件。
- 建 vSwitch / vRouter 處理共用上下行。
- 逐一建 VS:指定介面、Warp Link、路由、要開的 Blade。
- 各 VS 套自己的 policy。
R82:VSNext(VSX 的後繼)¶
VSNext(R82+)
R82 推出新框架 VSNext,目標是「provisioning 更快、體驗接近實體 Gateway」:
- API 驅動:Virtual Gateway / Virtual Switch 可用 Gaia Portal / clish / REST API 建立、修改、刪除。
- 原生動態路由、與實體 Gateway 的功能 / API 對等(parity)、更好的租戶隔離、更快裝 policy。
- 可跑在 Maestro 或 ElasticXL 的 Scalable Platform 叢集上(R82+)。
- ⚠️ 不支援把既有 VSX 就地轉成 VSNext —— 必須在初始安裝時選擇模式,要遷移得重建。
什麼時候用 VSX¶
- 多租戶 / 多部門:每個單位一台獨立 VS,policy / 路由完全隔離。
- 機房整併:把多台實體防火牆收斂到一台 VSX。
- 重疊網段:不同 VS 可有重疊 IP(各自獨立路由表)。
小結¶
- VSX 在一台硬體上跑多台獨立虛擬防火牆(VS),各有自己的 policy / 路由。
- vSwitch(L2)/ vRouter(L3)/ Warp Link 處理 VS 的連接。
- 操作前
vsenv <ID>切對 VS,再下fw/cphaprob/ debug。 - R82 的 VSNext 是 API 驅動的後繼架構,但不能從舊 VSX 就地轉換。