96 vSystem
vSystem系统
1 技术背景
网络虚拟化旨在构建出一套与网络底层物理拓扑相互独立的逻辑网络环境,提供给不同需求的用户使用。基于这种思想,诞生出了 VLAN 技术和 VPN 技术。近年来, 随着以 VMM(Virtual Machine Monitor,虚拟机监视器) 为代表的虚拟化技术在 X86 服务器领域的广泛应用,用户对虚拟化下沉网络设备层的需求也越来越迫切。当前,快速发展的业务需求与灵活多变的组织架构要求企业自身的网络环境必须具备高度的灵活性和可维护性,常见场景如下:
- · 场景一: 某公司急需开展一项新的业务, 需要为其单独部署一套新的网络环境, 而重新购买和部署新的网络设备,不仅会增加建设成本,还会延长业务上线时间。
- · 场景二: 某大型企业内部包含大量业务部门,有着复杂的网络划分和隔离需求。传统防火墙通过安全域和安全策略对网络进行管控。面对如此复杂的内部网络环境,以上方式往往会导致策略配置异常复杂,给管理员带来巨大的维护负担。
- · 场景三:某服务商为各类企业提供云计算服务,这些企业的业务规模及其对业务安全的需求各有不同,需要云计算网关能够为不同客户提供不同的安全防护服务,定制不同的安全防护策略。
vSystem 技术即是针对上述场景中用户所面对的众多问题而诞生的解决方案。
如图 1 所示, vSystem 是一种网络设备虚拟化技术,能将一台物理设备虚拟为多台相互独立的逻辑设备(即 vSystem)。 vSystem 具有以下优点:
- vSystem 可有效利用设备硬件资源,单一设备可为多个组织提供相互独立的服务,节省能耗和管理成本。
- vSystem 可由统一的根系统管理员或相互独立的 vSystem 管理员进行管理,责任清晰、管理灵活。
- 每个 vSystem 拥有独立的业务配置和路由表项,地址空间重叠的用户仍然可以正常通信。
- 每个 vSystem 拥有固定的接口、 VLAN 资源以及其它资源限制,业务繁忙的 vSystem 不会对其它 vSystem 造成影响。
- 每个 vSystem 之间的流量相互隔离,安全性高。在需要的时候, vSystem 之间也可以进行安全互访。
- vSystem 消耗设备资源少,适合大规模部署
2 技术实现
vSystem 技术可以实现将物理设备虚拟成数百台甚至更多的逻辑设备,并让所有的逻辑设备以与物理设备相同的方式对外服务。物理设备本身又称为根系统,可被视作缺省 vSystem; 被虚拟出来的 vSystem 可被视作非缺省 vSystem(下面如无特殊说明,出现的 vSystem 均指非缺省vSystem)。 在用户看来,一个非缺省 vSystem 与根系统无异。为实现海量 vSystem 的构建, vSystem 技术在如下几个方面取得了突破。
2.1 管理虚拟化
vSystem 技术为所有非缺省 vSystem 创建了独立的管理接口,包括命令行(CLI)界面、 Web 界面和 NETCONF 接口。这些接口的展现形式和使用方式与物理设备本身的接口完全一致,用户在使用这些接口时,不用进行额外的操作, 这样就保证了 vSystem 的配置通用性和可维护性
2.2 管理角色虚拟化
如图 2 所示, vSystem 技术通过两级管理体制实现了灵活的管理角色授权和清晰的管理权责划分。管理体制下包含如下两级管理角色:
- 根系统管理员(即设备管理员): 根系统管理员负责创建 vSystem,为 vSystem 分配资源,以及创建 vSystem 管理员;
- vSystem 管理员: vSystem 管理员负责 vSystem 内的配置和管理。 vSystem 管理员的管理权限被严格限制在本 vSystem 内,不能登录到其他 vSystem 上进行查看和配置。
图2 vSystem 管理角色示意
拥有大量分支机构的企业能够凭借此技术实现如下管理场景:
- 公司总部的根系统管理员创建和初始化分支机构 vSystem,并为分支机构的 vSystem 管理员分配或取消权限。
- 分支机构的 vSystem 管理员负责本部门范围内的业务配置和设备管理。 如有必要,公司总部的根系统管理员也能对分支机构的业务、设备和管理进行干预。根系统管理员
2.3 资源虚拟化
2.3.1 接口资源虚拟化
根系统管理员可以将物理设备上的三层接口和 VLAN 资源按需分配给 vSystem。当不同 vSystem 的使用需求出现变化时,根系统管理员可以重新分配和协调这些资源,实现资源利用最大化。
vSystem 基于独占模式使用三层接口和 VLAN 资源,一旦三层接口或 VLAN 被分配给某个 vSystem,其他 vSystem 就不可使用该三层接口或VLAN(及其关联的 VLAN 接口)。未被分配给非缺省 vSystem 的所有资源属于缺省 vSystem。
2.3.2 非接口资源虚拟化
与三层接口和 VLAN 资源不同,其他诸如安全策略、会话和吞吐量等资源以共享方式供所有 vSystem 使用。 vSystem 可根据自身业务的运行状况,对表项和带宽资源进行灵活申请。
为避免因某个 vSystem 占用了过多资源, 而使其他 vSystem 上的业务无法正常运行,根系统管理员可以针对每个 vSystem 中的不同资源分别配置其可被使用的上限。当某 vSystem 的资源使用量(包括安全策略规则数、会话新建速率、会话并发数和吞吐量)达到指定上限,该 vSystem将不能继续申请更多的资源,这就保证了其他 vSystem 上的业务能够正常运行,互不影响。
2.3.3 资源回收
对于接口资源,其回收需要由根系统管理员进行手工处理;对于表项和带宽资源,当某 vSystem 的资源使用量下降后, 其释放的资源可以由其他 vSystem 在其上限内自由使用。一旦根系统管理员删除了某个 vSystem,该 vSystem 所占据的所有资源将被释放,资源可以被分配给其他 vSystem 继续使用
2.4 业务虚拟化
2.4.1 业务隔离
vSystem 技术通过一种特殊的方式实现了不同虚拟化实例下的业务隔离。其核心是在创建 vSystem 时同时创建一个同名 VPN 实例,并将二者进行绑定。此 vSystem 的业务流量被严格限制在与其绑定的 VPN 实例内。这样一来,设备将不同 vSystem 的业务报文视为不同 VPN 实例下的报文,仅需要为每个业务启动一个进程,便可以支持所有 vSystem 上该业务的运行。
2.4.2 配置隔离
不同 vSystem 的配置信息能够相互独立、互不干涉, vSystem 重启后, 其配置信息能够准确无误地还原。vSystem 使用与业务隔离类似的思路进行配置隔离。具体来看, 设备仅维护一个配置文件, 供所有 vSystem 使用。 不同 vSystem 的配置被保存在文件的不同区段中,一个 vSystem 运行时不能越界获取其他 vSystem 的配置。 物理设备重启后, 将按照区段分别恢复各个 vSystem 的配置信息。根系统管理员可以查看和导出所有 vSystem 的配置信息,而 vSystem 管理员仅能查看和导出本 vSystem 的配置信息。
2.4.3 日志隔离
每个 vSystem 在运行过程中,各自独立生成和输出日志信息,日志信息注明了输出该日志的 vSystem 的 ID。用户进行业务部署后,可以选择将多个 vSystem 的日志信息分别输出到不同的日志服务器中;也可以选择将它们输出到同一台日志服务器中, 而不用担心会出现混淆。
2.5 vSystem 转发机制
2.5.1 二层转发
二层网络环境下,企业的不同分支机构使用 VLAN 进行网络划分。通过将不同 VLAN 分配给不同分支机构的 vSystem,不同分支机构内的报文会被转发至各自分支机构的 vSystem 进行处理。具体来看,设备收到报文后,会根据报文帧头部的 VLAN Tag 确定报文所属的 VLAN,再根据 VLAN 与 vSystem 的绑定关系,将报文引入相应的 vSystem。报文进入 vSystem 后,根据该 vSystem 的 MAC 地址表查询到出接口,确定报文出入接口的域间关系,再根据其自身配置的安全策略对报文进行安全检测和安全控制。
如图 3 所示,
内网 Host A、 Host B、 Host E 和 Host F 位于 VLAN 100 内,
内网 Host C、 Host D、 Host G 和 Host H 位于 VLAN 200 内。通过将
VLAN 100 分配给 vSystem vsys1,
将 VLAN 200 分配给 vSystem vsys2,
可实现将 Host A(或 Host B)与 Host E(或 Host F) 之间互访的流量交由 vsys1 处理,以及将 Host C(或 Host D)与 Host G(或 Host H) 之间互访的流量交由 vsys2 处理。图3 vSystem 支持二层转发示意图
2.5.2 三层转发
三层网络环境下, 企业的不同分支机构被划分为不同的网段, 通过将设备连接不同分支机构网络的接口分配给该部门的 vSystem, 来自不同分支机构的报文就会被送入各自部门的 vSystem 进行路由查找、安全策略处理和报文转发等操作。
如图 4 所示,分支机构 A 和 B 业务相互独立,彼此有不同的安全防护需求,需为机构 A 和 B 各自创建一个 vSystem 作为安全网关。为使分支机构网络 A 和网络 B 内的 Host 能够访问 Internet,需要将设备连接网络 A 的接口 GE1/0/1 分配给 vSystem vsys1,将设备连接网络 B 的接口GE 1/0/2 分配给 vSystem vsys2。此外,还需要在 vSystem vsys1 和 vsys2 中分别配置访问外网的路由和相应的安全策略。
2.5.3 vSystem 互访
2.5.3.1 vSystem 虚拟接口
如图 5 所示,跨越多个 vSystem 的通信可通过 vSystem 虚拟接口进行。
- 每个 vSystem 拥有一个 vSystem 虚拟接口,该接口始终为 UP 状态。vSystem 虚拟接口必须配置 IP 地址并加入安全域中,否则无法正常工作。
- vSystem 虚拟接口的格式为“vSys-interface+接口号”,其中接口号与该 vSystem 的 ID 相同,如根系统下的 vSystem 虚拟接口为 vSys-interface1(根系统的 ID 为 1,其他非缺省 vSystem 的 ID 根据其创建顺序依次递增)。
- 任意两个 vSystem 虚拟接口间存在一条虚拟链路,可在 vSystem 中配置指向另一个 vSystem 上的 vSystem 虚拟接口的路由,来实现对该vSystem 内用户的访问。
在真实网络部署中,根据组网环境的不同, vSystem 互访可分为两种情况:
- 非缺省 vSystem 与根系统之间的互访,
- 以及非缺省 vSystem 之间的互访。
2.5.3.2 非缺省 vSystem 与根系统之间的互访
在如图 6 所示的场景中,根系统管理员在 Device 上创建了一个 vSystem vsys1,并将接口 GE1/0/1 分配给 vsys1(接口 GE1/0/2 仍归根系统所有)。 vSys-interface1 和 vSys-interface2 分别是根系统和 vsys1 的 vSystem 虚拟接口。 vsys1 内的 Host A 若想与根系统内的 Host B 互访,需要在 vsys1 和根系统内配置两条去程路由和回程路由:
· 去程路由:在 vsys1 内配置一条目的地址为 2.2.2.2/32,出接口为 vSys-interface1,下一跳为 0.0.0.0 的静态路由;在根系统内配置一条目的地址为 2.2.2.0/24,出接口为 GE1/0/2,下一跳为 1.1.1.1(此为与接口 GE1/0/2 同链路的对端接口的 IP 地址)的静态路由。
· 回程路由:在根系统内配置一条目的地址为 10.1.1.0/24,出接口为 vSys-interface2,下一跳为 0.0.0.0 的静态路由;在 vsys1 内配置一条目的地址为 10.1.1.0/24,出接口为 GE1/0/1,下一跳为 10.1.2.1(此为与接口 GE1/0/1 同链路的对端接口的 IP 地址)的静态路由。此外,还需要分别在 vsys1 和根系统内配置安全域和安全策略:
· 安全域配置:需将接口 GE1/0/1 添加进 vsys1 的 Trust 安全域,将接口 vSys-interface2 添加进 vsys1 的 Untrust 安全域;将接口 GE1/0/2添加进根系统的 Untrust 安全域,将接口 vSys-interface1 添加进根系统的 Trust 安全域
· 安全策略配置:需在 vsys1 和根系统中分别创建允许 Trust 安全域中的 Host A 访问 Untrust 安全域中的 Host B 的安全策略;需在 vsys1 和根系统中分别创建允许 Untrust 安全域中的 Host B 访问 Trust 安全域中的 Host A 的安全策略。
Host A 主动访问 Host B 的报文处理流程如下。(Host B 主动访问 Host A 的报文处理流程与之类似)
(1) Host A 主动向 Host B 发起连接。
(2) 首包到达Device后, Device基于接口分流, 将报文送入vSystem vsys1。 vsys1按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、 NAT、匹配安全策略等等。如果 vsys1 不允许转发报文,则丢弃报文,流程结束;如果 vsys1 允许转发报文,则将报文通过vSys-interface2 与 vSys-interface1 之间的虚拟链路送入根系统中处理,并为该条连接在 vsys1 中建立会话。
(3) 根系统的 vSystem 虚拟接口 vSys-interface1 收到报文后,根系统按照同样的防火墙转发流程对报文再次进行处理。如果根系统不允许转发报文,则丢弃报文,流程结束;如果根系统允许转发报文,则将报文发往 Host B,并为该条连接在根系统中建立会话。
(4) 报文经过路由转发后,到达 Host B。当来自 Host B 的响应报文到达 Device 后, Device 按照类似流程将响应报文发往 Host A
2.5.3.3 非缺省 vSystem 之间的互访
Host A 主动访问 Host B 的报文处理流程如下。(Host B 主动访问 Host A 的报文处理流程与之类似) (1) Host A 主动向 Host B 发起连接。(2) 首包到达 Device 后, Device 基于接口分流,将报文送入 vSystem vsys1。 vsys1 按照防火墙转发流程对报文进行处理,包括匹配黑名单、查找路由、 NAT、匹配安全策略等等。 如果 vsys1 不允许转发报文,则丢弃报文,流程结束;如果 vsys1 允许转发报文,则将报文通过vSys-interface2 与 vSys-interface3 之间的虚拟链路送入 vsys2 中处理,并为该条连接在 vsys1 中建立会话。(3) vsys2 的虚拟接口 vSys-interface3 收到报文后, vsys2 按照同样的防火墙转发流程对报文再次进行处理。如果 vsys2 不允许转发报文,则丢弃报文,流程结束;如果 vsys2 允许转发报文,则将报文发往 Host B,并为这条连接在 vsys2 中建立会话。(4) 报文经过路由转发后,到达 Host B。 当来自 Host B 的响应报文到达 Device 后, Device 按照类似流程将响应报文发往 Host A。
3 经典组网架构
-
- 大中型企业组网
如图 8 所示, 某企业将内部网络按部门划分为多个区域,每个区域都有访问 Internet 的需求。 为了给每个部门提供可定制的安全网关服务,可以在企业出口网关设备 Device 上为每个区域分别创建一个 vSystem,并将其作为该区域的安全网关。当区域内的用户访问 Internet 时,访问报文将依次经过该区域网关 vSystem 和根系统的处理,最终通过根系统的公网接口转发至 Internet。
3.2 云安网关
如图 9 所示,位于公网的租户 A 和 B 在云计算中心租用了服务器,云计算中心需要对租户 A 和 B 部署的云资产提供独立的安全防护。为此,可以在云计算中心的出口网关设备 Device 上为租户 A 和 B 分别创建一个 vSystem 作为安全网关。当租户访问其部署的云资产时,访问报文将依次经过根系统和该租户所对应的 vSystem 的处理,最终通过 vSystem 的私网接口转发至云网络
配置指导
1 创建vSystem
<Device-Fw>system-view //进入到系统视图
System View: return to User View with Ctrl+Z.
[Device-Fw]vsys vsys4 //创建vSystem 名字是 vsys4
[Device-Fw-vsys-4-vsys4]description vsys4 //设置的配置是 vsys4
2 为vSystem分配接口
[Device-Fw-vsys-4-vsys4]allocate interface GigabitEthernet 1/0/1 //给vSystem 分配接口为 int G1/0/1
3 为 vSystem 分配 VLAN
[Device-Fw-vsys-4-vsys4]allocate vlan 10 //为 vSystem 分配 VLAN
4 限制 vSystem 安全策略规则总数
[Device-Fw-vsys-4-vsys4]capability security-policy-rule maximum 4 //限制 vSystem 安全策略规则数量为4
5 限制 vSystem 会话新建速率
[Device-Fw-vsys-4-vsys4]capability session rate 90 //限制 vSystem 会话新建速率
6 限制 vSystem 入方向吞吐量
[Device-Fw-vsys-4-vsys4]capability throughput { kbps | pps } threshold
7 (可选) 开启 vSystem 入方向吞吐量告警功能并设置告警阈值。
vsys-capability throughput alarm enable alarm-thres
缺省情况下, vSystem 入方向吞吐量告警功能处于关闭状态。
8 (可选)开启 vSystem 入方向吞吐量限速丢包日志功能。
vsys-capability throughput drop-logging enable
缺省情况下, vSystem 入方向吞吐量限速丢包日志功能处于关闭状态
9 配置保存
[Device-Fw]save vsys ?
STRING<1-31> Name of the vSystem
vsys1 Vsys ID 2
vsys2 Vsys ID 3
vsys4 Vsys ID 4
vsys5 Vsys ID 5
[Device-Fw]save vsys vs
[Device-Fw]save vsys vsys4
The current configuration flash:/startup.cfg will be written to the device. Are you sure? [Y/N]:y
flash:/startup.cfg exists, overwrite? [Y/N]:y
Validating file. Please wait...
Saved the current configuration to mainboard device successfully.
10 访问管理
[Device-Fw]switchto vsys vsys5
<Device-Fw-vsys5>
11 配置vSystem虚拟接口
(1) 进入系统视图。
system-view
(2) 进入 vSystem 虚拟接口视图。
interface vsys-interface interface-number
(3) (可选)设置接口的描述信息
description text
(4) (可选)恢复接口的缺省配置
Defaul
12 维护手册
配置案例
组网需求
LAN 1(192.168.1.0/24 网段)、 LAN 2(192.168.2.0/24 网段)、 LAN 3(192.168.3.0/24 网段)、LAN 4(192.168.4.0/24 网段)、 LAN 5(192.168.5.0/24 网段)分别属于公司 A、公司 B、公司 C,公司D,公司E。现需要对各公司的网络进行独立的安全防护。
- 将接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/6 分配给 A 公司
- 将接口 GigabitEthernet1/0/2 和 GigabitEthernet1/0/7 分配给 B 公司
- 将接口 GigabitEthernet1/0/3 和 GigabitEthernet1/0/8 分配给 C公司
- 将接口 GigabitEthernet1/0/4 和 GigabitEthernet1/0/9 分配给 D 公司
- 将接口 GigabitEthernet1/0/5 和 GigabitEthernet1/0/10 分配给 E 公司
# |
version 7.1.064, Alpha 7164 |
# |
sysname vSystem-FW |
# |
context Admin id 1 |
# |
vsys vsys1 id 2 |
description vsys1-A |
allocate interface GigabitEthernet1/0/1 |
allocate interface GigabitEthernet1/0/6 |
allocate vlan 10 |
# |
vsys vsys2 id 3 |
description vsys2-B |
allocate interface GigabitEthernet1/0/2 |
allocate interface GigabitEthernet1/0/7 |
allocate vlan 20 |
# |
vsys vsys3 id 4 |
description vsys-C |
allocate interface GigabitEthernet1/0/3 |
allocate interface GigabitEthernet1/0/8 |
allocate vlan 30 |
# |
vsys vsys4 id 5 |
description vsys4-D |
allocate interface GigabitEthernet1/0/4 |
allocate interface GigabitEthernet1/0/9 |
allocate vlan 40 |
# |
vsys vsys5 id 6 |
description vsys-E |
allocate interface GigabitEthernet1/0/5 |
allocate interface GigabitEthernet1/0/10 |
allocate vlan 50 |
# |
telnet server enable |
# |
irf mac-address persistent timer |
irf auto-update enable |
undo irf link-delay |
irf member 1 priority 1 |
# |
xbar load-single |
password-recovery enable |
lpu-type f-series |
# |
vlan 1 |
# |
vlan 10 |
# |
vlan 20 |
# |
vlan 30 |
# |
vlan 40 |
# |
vlan 50 |
# |
interface NULL0 |
# |
interface GigabitEthernet1/0/0 |
port link-mode route |
combo enable copper |
# |
interface GigabitEthernet1/0/1 |
port link-mode route |
combo enable copper |
ip address 192.168.1.251 255.255.255.0 |
# |
interface GigabitEthernet1/0/2 |
port link-mode route |
combo enable copper |
ip address 192.168.2.251 255.255.255.0 |
# |
interface GigabitEthernet1/0/3 |
port link-mode route |
combo enable copper |
ip address 192.168.3.251 255.255.255.0 |
# |
interface GigabitEthernet1/0/4 |
port link-mode route |
combo enable copper |
ip address 192.168.4.251 255.255.255.0 |
# |
interface GigabitEthernet1/0/5 |
port link-mode route |
combo enable copper |
ip address 192.168.5.251 255.255.255.0 |
# |
interface GigabitEthernet1/0/6 |
port link-mode route |
combo enable copper |
# |
interface vSys-interface1 |
# |
interface vSys-interface2 |
# |
interface vSys-interface3 |
# |
interface vSys-interface4 |
# |
interface vSys-interface5 |
# |
interface vSys-interface6 |
# |
security-zone name Local |
# |
security-zone name Trust |
# |
security-zone name DMZ |
# |
security-zone name Untrust |
# |
security-zone name Management |
# |
scheduler logfile size 16 |
# |
line class aux |
user-role network-operator |
# |
line class console |
user-role network-admin |
# |
line class tty |
user-role network-operator |
# |
line class vty |
user-role network-operator |
# |
local-user admin class manage |
password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOhbabIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ== |
service-type telnet terminal http |
authorization-attribute user-role level-3 |
authorization-attribute user-role network-admin |
authorization-attribute user-role network-operator |
# |
ip http enable |
ip https enable |
# |
return |
# |
switchto vsys vsys1 |
# |
interface GigabitEthernet1/0/1 |
port link-mode route |
combo enable copper |
ip address 192.168.1.251 255.255.255.0 |
manage ping inbound |
manage ping outbound |
# |
interface GigabitEthernet1/0/6 |
port link-mode route |
combo enable copper |
# |
interface vSys-interface2 |
# |
security-zone name Local |
# |
security-zone name Trust |
# |
security-zone name DMZ |
# |
security-zone name Untrust |
# |
security-zone name Management |
# |
domain system |
# |
domain default enable system |
return |
# |
switchto vsys vsys2 |
# |
interface GigabitEthernet1/0/2 |
port link-mode route |
combo enable copper |
ip address 192.168.2.251 255.255.255.0 |
# |
interface GigabitEthernet1/0/7 |
port link-mode route |
combo enable copper |
# |
interface vSys-interface3 |
# |
security-zone name Local |
# |
security-zone name Trust |
# |
security-zone name DMZ |
# |
security-zone name Untrust |
# |
security-zone name Management |
# |
domain system |
# |
domain default enable system |
return |
# |
switchto vsys vsys3 |
# |
interface GigabitEthernet1/0/3 |
port link-mode route |
combo enable copper |
ip address 192.168.3.251 255.255.255.0 |
# |
interface GigabitEthernet1/0/8 |
port link-mode route |
combo enable copper |
# |
interface vSys-interface4 |
# |
security-zone name Local |
# |
security-zone name Trust |
# |
security-zone name DMZ |
# |
security-zone name Untrust |
# |
security-zone name Management |
# |
domain system |
# |
domain default enable system |
return |
# |
switchto vsys vsys4 |
# |
interface GigabitEthernet1/0/4 |
port link-mode route |
combo enable copper |
ip address 192.168.4.251 255.255.255.0 |
# |
interface GigabitEthernet1/0/9 |
port link-mode route |
combo enable copper |
# |
interface vSys-interface5 |
# |
security-zone name Local |
# |
security-zone name Trust |
# |
security-zone name DMZ |
# |
security-zone name Untrust |
# |
security-zone name Management |
# |
domain system |
# |
domain default enable system |
return |
# |
switchto vsys vsys5 |
# |
interface GigabitEthernet1/0/5 |
port link-mode route |
combo enable copper |
ip address 192.168.5.251 255.255.255.0 |
# |
interface GigabitEthernet1/0/10 |
port link-mode route |
combo enable copper |
# |
interface vSys-interface6 |
# |
security-zone name Local |
# |
security-zone name Trust |
# |
security-zone name DMZ |
# |
security-zone name Untrust |
# |
security-zone name Management |
# |
domain system |
# |
domain default enable system |
Return |
相关文章:
96 vSystem
vSystem系统 1 技术背景 网络虚拟化旨在构建出一套与网络底层物理拓扑相互独立的逻辑网络环境,提供给不同需求的用户使用。基于这种思想,诞生出了 VLAN 技术和 VPN 技术。近年来, 随着以 VMM(Virtual Machine Monitor,…...
[创业之路-197]:华为的发展路径启示
目录 前言: 一、由小公司走向大公司: 二、由农村包围城市: 三、由国内走向国际: 四、由代理商走向设备商,再到系统方案商,再到生态系统的搭建: 五、由随性到跟随,到赶超&#…...
两款Windows电脑便签,常用的电脑桌面便签小工具推荐
现在的职场环境中,效率高低会影响我们的去留以及晋升,而电脑便签无疑是提高效率的重要辅助工具。对于Windows电脑的用户来说,选择合适的电脑桌面便签小工具尤为重要。今天为大家推荐两款使用过且好用实用的Windows电脑便签,希望可…...
sql server索引优化语句
第一步 建一个测试表 --create table TestUsers --( -- Id int primary key identity(1,1), -- Username varchar(30) not null, -- Password varchar(10) not null, -- CreateDateTime datetime not null --)第二步 插入100w数据 大概1分钟执行时间 ----插入数据…...
从监控异常发现网络安全
前言 最近在前端异常监控系统中,发现一些异常信息,从中做了一些分析,得到一些体会,因此作文。 发现异常 某天早上打开监控系统发现,当天凌晨1点过测试环境有2个前端上报的异常,报错的原因都是由于没有获取…...
Android学习(七)-Kotlin编程语言-Lambda 编程
Lambda 编程 而 Kotlin 从第一个版本开始就支持了 Lambda 编程,并且 Kotlin 中的 Lambda 功能极为强大。Lambda 表达式使得代码更加简洁和易读。 2.6.1 集合的创建与遍历 集合的函数式 API 是入门 Lambda 编程的绝佳示例,但在开始之前,我们…...
中国人工智能学会技术白皮书
中国人工智能学会的技术白皮书具有多方面的重要作用,是极具权威性和价值的参考资料。 看看编委会和编写组的阵容,还是很让人觉得靠谱的 如何下载这份资料呢?下面跟着步骤来吧 步骤一:进入中国智能学会官网。百度搜索“中国智能学…...
【集合】Java 8 - Stream API 17种常用操作与案例详解
文章目录 Java8 Stream API 17种常用操作与案例详解1. collect():将流中的元素收集到集合中2. filter():根据条件过滤流中的元素3. map():元素映射为另一个值4. forEach():对流中的元素执行操作5. flatMap():将流中的元…...
Spring(三)-SpringWeb-概述、特点、搭建、运行流程、组件、接受请求、获取请求数据、特殊处理、拦截器
文章目录 一、SpringWeb概述 二、SpringWeb特点 三、搭建SpringWeb(在web项目中) 1、导包 2、在web.xml文件中配置统一拦截分发器 DispatcherServlet 3、开启 SpringWEB 注解 4、处理器搭建 四、SpringWeb运行流程 五、SpringWeb组件 1、前端控…...
uni-app商品搜索页面
目录 一:功能概述 二:功能实现 一:功能概述 商品搜索页面,可以根据商品品牌,商品分类,商品价格等信息实现商品搜索和列表展示。 二:功能实现 1:商品搜索数据 <view class="search-map padding-main bg-base"> <view class…...
基于Spring Boot的远程教育网站
一、系统背景与意义 随着互联网技术的飞速发展和普及,远程教育已成为现代教育体系中的重要组成部分。它打破了时间和空间的限制,让学习者可以随时随地进行学习。基于Spring Boot的远程教育网站正是为了满足这一需求而设计的,它利用互联网技术…...
降低Mobx技术债问题-React前端数据流方案调研整理
我们现在主要是使用Mobx,但是Mobx的易于上手和灵活度也带来了很多预期以外的问题,随着项目的增长我们的代码技术债变得愈加沉重,不同的模块杂糅一起、单一store无限膨胀。 为此我们的调研是希望能找到一个更好的state配置、数据流的约定方案。…...
Linux通信System V:消息队列 信号量
Linux通信System V:消息队列 & 信号量 一、信号量概念二、信号量意义三、操作系统如何管理ipc资源(2.36版本)四、如何对信号量资源进行管理 一、信号量概念 信号量本质上就是计数器,用来保护共享资源。多个进程在进行通信时&a…...
STM32, GD32 cubemx CAN 低速率125kbps 报文丢失,解决了
用STM32 CUBEMX生成的GD32的 can程序,在500K波特率时可以正常使用,没有发现丢包,但速率降到250k和125k时,发送138帧数据,会丢失5个包。(系统时钟168M,APB1的时钟42M) 试了各种方法无…...
医疗服务品质提升:SSM 与 Vue 打造医院预约挂号系统方案
摘要 随着信息技术在管理上越来越深入而广泛的应用,管理信息系统的实施在技术上已逐步成熟。本文介绍了医院预约挂号系统的开发全过程。通过分析医院预约挂号系统管理的不足,创建了一个计算机管理医院预约挂号系统的方案。文章介绍了医院预约挂号系统的系…...
在UE5中调用ImGui图形界面库
ImGui是一个小巧灵活、简洁美观的图形界面库 首先我们直接参考Github https://github.com/SLSNe/Unreal5-ImGui 把项目下载下来后 打开项目目录或者引擎目录 项目根目录/Plugins/ImGui/ 或 UE5引擎根目录/Engine/Plugins/ 如果没有Plugins文件夹就新建一个 把项目放里面…...
汇聚点滴启迪思维(三)
switch存在的问题 缺少default语句 switch语句可以包含一个可选的default语句,用于处理没有与任何case标签匹配的情况。如果没有default语句,并且没有与表达式匹配的case标签,程序将不会执行任何操作。 除了case switch包含的大括号中间…...
C#代码实现把中文录音文件(.mp3 .wav)转为文本文字内容
我们有一个中文录音文件.mp3格式或者是.wav格式,如果我们想要提取录音文件中的文字内容,我们可以采用以下方法,不需要使用Azure Speech API 密钥注册通过离线的方式实现。 1.首先我们先在NuGet中下载两个包 NAudio 2.2.1、Whisper.net 1.7.3…...
第18篇 :深入剖析systemverilog中 randomize 再谈失败案例(六)
今天,我们再谈一随机失败案例,希望再次同大家续探讨这块内容。 一 案例分析 我们先看一例子,代码如下: 上述代码中,共有5处使用 randomize 随机。它们的随机对象都是类 helloworld_test 中的 rand shortint unsigned counter ; 其中,counter 被赋予初始数值 66 。 …...
(耗时4天制作)详细介绍macOS系统 本博文含有全英版 (全文翻译稿)
(耗时4天制作)详细介绍macOS系统 本博文含有全英版-CSDN博客 全篇英文 Introduction to the macOS System I. Overview of macOS macOS is a proprietary operating system developed by Apple Inc., primarily used for Macintosh (Mac) computers. It is the first comme…...
React与Vue的区别(相同点和不同点)
前言 JavaScript是世界上最流行的语言之一,React和Vue是JS最流行的两个框架。但各有优缺点,本文将详细对比两大框架 一、框架背景 React React是由Facebook开发的用于构建用户界面的JavaScript库,Facebook对市场上JavaScript MVC框架都不太…...
flutter --no-color pub get 超时解决方法
新建Flutter项目后,运行报错,需要执行pub get 点击Run ‘flutter pub get’ … … … 卡着,不动了,提示超时 是因为墙的问题 解决方案: 添加以下环境变量 变量名: PUB_HOSTED_URL 变量值: https://pub.flutter-io.cn …...
MacPorts 中安装高/低版本软件方式,以 RabbitMQ 为例
查询信息 这里以 RabbitMQ 为例,通过搜索得到默认安装版本信息: port search rabbitmq-server结果 ~/Downloads> port search rabbitmq-server rabbitmq-server 3.11.15 (net)The RabbitMQ AMQP Server ~/Downloads>获取二进制文件 但当前官网…...
启动报错java.lang.NoClassDefFoundError: ch/qos/logback/core/status/WarnStatus
报错信息图片 日志: Exception in thread "Quartz Scheduler [scheduler]" java.lang.NoClassDefFoundError: ch/qos/logback/core/status/WarnStatus先说我自己遇到的问题,我们项目在web设置了自定义的log输出路径,多了一个 / 去…...
本科阶段最后一次竞赛Vlog——2024年智能车大赛智慧医疗组准备全过程——11上位机与小车交互
本科阶段最后一次竞赛Vlog——2024年智能车大赛智慧医疗组准备全过程——11上位机与小车交互 根据上一节的配置,目前已经建立了通讯环境,接下来给大家带来上位机与小车交互 这一章节里面也有图片大家去地瓜开发者社区看对应文章吧链接...
harbor离线安装 配置https 全程记录
1. 下载harbor最新版本 下载网址: 找最新的版本: https://github.com/goharbor/harbor/releases/download/v2.11.2/harbor-offline-installer-v2.11.2.tgz 这里我直接使用迅雷下载, 然后上传 1.1解压 sudo tar -xf harbor-offline-installer-v2.11.2.tgz -C /opt/ 2. 配置Harb…...
使用生存分析进行游戏时间测量
标题:Playtime Measurement with Survival Analysis 作者:Markus Viljanen, Antti Airola, Jukka Heikkonen, Tapio Pahikkala 译者:游戏数据科学 1 游戏中的游戏时间 1.1 为什么游戏时间很重要 游戏分析在理解玩家行为方面变得越来越重…...
Fiddler勾选https后google浏览器网页访问不可用
一、说明 最近电脑重新安装系统后,之前的所有工具都需要重新安装和配置,有个项目需要抓包https包查看一下请求的内容,通过Fiddler工具,但是开启后,发现https的无法抓取,同时google浏览器也不无法访问互联网…...
【信息系统项目管理师】高分论文:论信息系统项目的成本管理(社区网格化管理平台系统)
更多内容请见: 备考信息系统项目管理师-专栏介绍和目录 文章目录 论文一、规划成本管理二、估算成本三、制定预算四、控制成本论文 2022年6月,我作为项目经理负责了XX市社区网格化管理平台系统集成项目建设,该项目投资金额512.5万元,建设周期12个月。该项目由XX市综治办发…...
vscode配置markdown代码片段snippet不生效问题
markdown.json {"cpp code": {"prefix": "cpp","body": ["cpp","$1","",],"description": "cpp code"} }Ctrl Shift P 后输入settings ,然后选择open settings (json)ÿ…...
小脑萎缩与维生素补充:科学饮食,助力健康
小脑萎缩是一种神经影像学表现,常见于某些遗传症和神经系统变性类疾病,患者常表现出共济失调、语言功能障碍、眼球运动障碍以及肌肉功能障碍等症状。尽管小脑萎缩目前尚无完全治愈的方法,但通过合理的饮食调整和必要的维生素补充,…...
基于SSM+Vue的个性化旅游推荐系统
系统展示 用户前台界面 管理员后台界面 系统背景 随着社会经济的快速发展和人民生活水平的不断提高,旅游业逐渐成为我国国民经济的重要支柱产业。然而,在旅游市场日益繁荣的背景下,游客对于旅游产品和服务的需求逐渐呈现出多样化和个性化的趋…...
灰狼优化算法(GWO)与狼群算法(WPA)的全面比较
灰狼优化算法(GWO)与狼群算法(WPA)都是基于狼群行为的智能优化算法,但它们在多个方面存在显著的区别。以下是对这两种算法的全方面比较: 一、算法起源与灵感 1. 灰狼优化算法(GWO)&…...
探索未知,乐享惊喜 —— 盲盒APP开发,开启您的个性化惊喜之旅!
在这个瞬息万变的数字时代,我们总在寻找那些能触动心灵、带来无限可能的小确幸。为了满足您对未知的好奇与对惊喜的渴望,我们匠心打造了一款全新的盲盒APP,旨在为您的生活增添一抹不同寻常的色彩,让每一次打开都是一次全新的探索与…...
音视频学习(二十五):ts
TS(MPEG-TS,MPEG Transport Stream) 是一种广泛应用于流媒体传输和存储的容器格式。它最早由 MPEG(Moving Picture Experts Group)组织制定,用于视频和音频的压缩编码。在 HLS(HTTP Live Stream…...
MVVM、MVC、MVP 的区别
MVVM(Model-View-ViewModel)、MVC(Model-View-Controller)和MVP(Model-View-Presenter)是三种常见的软件架构模式,它们在客户端应用开发中被广泛使用。每种模式都有其特定的设计理念和应用场景&…...
低延迟!实时处理!中软高科AI边缘服务器,解决边缘计算多样化需求!
根据相关统计,随着物联网的发展和5G技术的普及,到2025年,全球物联网设备连接数将达到1000亿,海量的计算数据使得传输到云端再处理的云计算方式显得更捉襟见肘。拥有低延迟、实时处理、可扩展性和更高安全性的边缘计算应运而生&…...
CSS|14 z-index
z-index z-index表示谁压盖着谁,数值大的会压盖住数值小的。只有定位的元素才有z-index值,只有设置了固定定位、相对定位、绝对定位了的元素,才会拥有z-indexz-index的值是没有单位的,值是一个正整数,默认的z-index值…...
Elasticsearch:使用 Open Crawler 和 semantic text 进行语义搜索
作者:来自 Elastic Jeff Vestal 了解如何使用开放爬虫与 semantic text 字段结合来轻松抓取网站并使其可进行语义搜索。 Elastic Open Crawler 演练 我们在这里要做什么? Elastic Open Crawler 是 Elastic 托管爬虫的后继者。 Semantic text 是 Elasti…...
【潜意识Java】深度解析黑马项目《苍穹外卖》与蓝桥杯算法的结合问题
目录 为什么要结合项目与算法? 1. 蓝桥杯与《苍穹外卖》项目的结合 实例:基于蓝桥杯算法思想的订单配送路径规划 问题描述: 代码实现:使用动态规划解决旅行商问题 代码解析: 为什么这个题目与蓝桥杯相关&#x…...
powershell基础(1)
powershell基础(1) 1. 安装PowerShell 首先,确保你的计算机上已经安装了PowerShell。对于Windows 10及更高版本,PowerShell通常是默认安装的。你也可以从微软官网下载并安装最新版本的PowerShell Core。 2. 打开PowerShell 在Windows搜索栏中输入“P…...
国标GB28181协议平台Liveweb:搭建建筑工地无线视频联网监控系统方案
随着科技高速发展,视频信号经过数字压缩,通过互联网宽带或者移动4G网络传递,可实现远程视频监控功能。将这一功能运用于施工现场安全管理,势必会大大提高管理效率,提升监管层次。而这些,通过Liveweb监控系统…...
踩准智能汽车+机器人两大风口,速腾聚创AI+机器人应用双线爆发
日前,RoboSense速腾聚创交出了一份亮眼的Q3财报。受到多重利好消息影响,其股价也应势连续大涨。截止12月9日发稿前,速腾聚创股价近一个月内累计涨幅已超88%。 财务数据方面,速腾聚创在今年前三季度实现总收入约11.3亿元࿰…...
本地maven项目打包部署到maven远程私库
目的:在自己的maven项目中,要把当前maven项目部署到maven私库,供其他人引入依赖使用。 首先要确保你当前能访问到你的私库,能拉私库的maven依赖即可。 maven部署命令: mvn deploy:deploy-file -Dmaven.test.skiptrue -…...
青少年编程与数学 02-004 Go语言Web编程 14课题、数据操作
青少年编程与数学 02-004 Go语言Web编程 14课题、数据操作 一、数据操作二、CRUD说明: 三、数据验证为什么需要数据验证?Go Web应用中的数据验证示例步骤 1: 定义订单结构体步骤 2: 实现验证逻辑步骤 3: 在HTTP处理函数中使用验证 四、数据格式化什么是数…...
Java 中 ConcurrentHashMap 和 HashMap 能存 null 吗?深挖原理和使用场景
前言 当你使用 HashMap 或 ConcurrentHashMap 时,可能会冒出一个经典问题:它们能存储 null 键或 null 值吗? 初学者可能觉得无所谓,试一下不就知道了,但在真实项目中,这个问题可能导致严重的 bug。今天我们…...
【JavaWeb后端学习笔记】Spring Task实现定时任务处理
Spring Task是Spring框架提供的任务调度工具,可以按照约定的时间自动执行某个代码逻辑。 主要的应用场景有:纪念日提醒,处理订单未支付,还款提醒等。 1、corn表达式 使用Spring Task首先需要了解corn表达式,通过cor…...
【CSS in Depth 2 精译_087】14.4:CSS 中的浮动特效以及在文字环绕中的应用 + 14.5:本章小结
当前内容所在位置(可进入专栏查看其他译好的章节内容) 第四部分 视觉增强技术 ✔️【第 14 章 蒙版、形状与剪切】 ✔️ 14.1 滤镜 14.1.1 滤镜的类型14.1.2 背景滤镜 14.2 蒙版 14.2.1 带渐变效果的蒙版特效14.2.2 基于亮度来定义蒙版14.2.3 其他蒙版属…...
探索 Python编程 调试案例:计算小程序中修复偶数的bug
在 学习Python 编程的过程里,会遇到各种各样的bug。而修复bug调试代码就像是一场充满挑战的侦探游戏。每一个隐藏的 bug 都是谜题,等待开发者去揭开真相,让程序可以顺利运行。今天,让我们通过一个实际案例,深入探索 Py…...
探索 CI/CD 工具的力量
CI/CD 工具是什么? CI/CD 工具是开发者的“生产力加速器”。它通过自动化代码构建、测试、部署等流程,消除了繁琐的手动操作,确保开发和运维的无缝衔接。借助这些工具,开发者不仅能够更快地发布产品,还能更早发现问题…...