02-虚拟设备(仅适用于F50X0-D和F5000-AK5X5)
本章节下载: 02-虚拟设备(仅适用于F50X0-D和F5000-AK5X5) (333.97 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 资源分配
¡ 信息收集
¡ 信息收集
通过虚拟化技术将一台物理设备划分成多台虚拟设备,每台虚拟设备就称为一个Context。每个Context拥有自己专属的软硬件资源,独立运行。
对于用户来说,每个Context就是一台独立的设备,方便管理和维护;对于管理者来说,可以将一台物理设备虚拟成多台逻辑设备供不同的分支机构使用,可以保护现有投资,提高组网灵活性。
· 整台物理设备就是一个Context,称为缺省Context。当用户登录物理设备时,实际登录的就是缺省Context。用户在物理设备上的配置实质就是对缺省Context的配置。缺省Context的名称为Admin,编号为1。缺省Context不需要创建,不能删除。
· 与缺省Context相对应的是非缺省Context。非缺省Context是管理员在设备上创建的,可分配给不同的接入网络使用。
· 缺省Context拥有对整台物理设备的所有权限,它可以使用和管理设备所有的资源。缺省Context下可以创建/删除非缺省Context,给非缺省Context分配VLAN、接口、CPU、内存/磁盘资源,没有分配的VLAN、接口、CPU、内存/磁盘资源由缺省Context使用和管理。
· 非缺省Context下不可再创建/删除非缺省Context,它只能使用缺省Context分配给自己的资源,并在缺省Context指定的资源限制范围内工作,不能抢占其他Context或者系统剩余的资源。
因为缺省Context不需要创建和配置,所以,如无特殊说明,Web页面中的Context均指非缺省Context。
安全引擎是设备上的硬件。Context创建后,必须进驻安全引擎,才有实际运行的环境,才能运行业务。
安全引擎组用于组织和管理安全引擎。缺省情况下,设备上有一个缺省引擎组,名称为Default,编号为1,所有安全引擎都属于缺省安全引擎组。
一个安全引擎只能属于一个安全引擎组;一个安全引擎组下可添加多个安全引擎,系统会自动选举一个为主安全引擎,其它为备安全引擎。备安全引擎以备份身份运行,当主安全引擎不能正常工作时,会将一个备安全引擎升级为新的主安全引擎,替代原主安全引擎工作。
管理员可以为每个Context分配VLAN资源、接口资源、CPU资源和内存/磁盘资源。
用户在创建Context时,可选择是否和其它Context共享VLAN:
· 共享:该模式下的VLAN由管理员在缺省Context中创建,统一配置和管理。非缺省Context只能使用指定的共享VLAN,不能自行创建和配置。一个VLAN可以被多个Context共享,物理设备收到报文后,根据报文的入接口以及报文的VLAN tag交给相应的Context处理。此方式适用于同一个VLAN由多个Context共同使用的场景。
· 独占:该模式下的VLAN由各Context的管理员登录各自的Context后,自行创建、配置和管理。该模式要求各Context的管理员来规划和配置VLAN。此方式适用于Context需要各自管理和使用一个独立VLAN的场景。
缺省情况下,设备上的所有接口都属于缺省Context,不属于任何非缺省Context。只有给非缺省Context分配接口后,它才能和网络中的其它设备通信。
在给Context分配接口时,可以选择:
· 独占分配:使用该方式分配的接口仅归该Context使用。用户登录该Context后,能查看到该接口,并执行接口支持的所有操作。
· 共享分配:表示将一个接口分配给多个Context使用,这些Context共享这个物理接口。设备从共享的物理接口接收报文后交给对应的虚拟接口处理;出方向,虚拟接口处理完报文后,会交给共享的物理接口发送。使用该方式,可以提高设备接口的利用率。通过共享方式分配的接口在非缺省Context内,会新建一个同名的虚接口,用户登录这些Context后,能查看到该接口,但只能执行禁用、修改描述信息以及网络/安全相关操作。
Context进驻安全引擎组后,才能使用安全引擎组中安全引擎上的CPU资源。如果多个Context进驻了同一个安全引擎,这些Context会共享该安全引擎的CPU,为了防止一个Context过多的占用CPU,而导致其它Context无法运行,需要限制Context对CPU资源的使用,即为Context配置CPU权重。
当CPU无法满足所有Context的处理需求时,系统将按照CPU权重值为每个Context分配处理时间。通过调整Context的权重,可以使指定的Context获得更多的CPU资源,保证关键业务的运行。例如:在三个Context中,将处理关键业务的Context的CPU权重设置为2,其余两个Context的CPU权重设置为1,则当CPU忙时,将为关键业务Context提供2倍于其它Context的处理时间。
Context进驻安全引擎组后,才能使用安全引擎组中安全引擎的内存/磁盘资源。如果多个Context进驻了同一个安全引擎,这些Context会共享这个安全引擎的内存/磁盘资源,为了防止一个Context过多的占用内存/磁盘,而导致其它Context无法运行,需要限制Context对内存/磁盘资源的使用。用户可配置每个安全引擎上运行的每个Context最大可占用的内存/磁盘百分比。
· 建议在Context正常启动后再为Context分配磁盘空间上限,如果Context仅创建但未启动,那么磁盘使用值为0,此时如果配置磁盘空间上限的值小于Context启动后正常实际使用的值,可能导致Context不能正常启动。 · 建议在Context正常启动后再为Context分配内存空间上限,如果Context仅创建未启动,可能会由于内存不足,造成Context无法正常启动。在Context启动后,配置的内存上限值还不应过小,以免Context内业务申请不到内存后引起功能不正常。 |
Context进驻安全引擎组后,才能使用安全引擎组中安全引擎的系统资源。如果多个Context进驻了同一个安全引擎,这些Context会共享这个安全引擎的系统资源,为了防止一个Context创建过多的会话,而导致其它Context由于内存不足无法创建会话,需要限制Context的最大会话并发数。用户可以为每个Context配置最大的会话并发数。
· Context会话并发数限制对本机流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP类型的七层负载均衡等业务。 · 一个Context的最大会话数,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的最大会话数,多个报文分散在不同引擎处理时,实际建立的会话数会大于限制的值。 |
Context进驻安全引擎组后,才能使用安全引擎组中安全引擎的系统资源。如果多个Context进驻了同一个安全引擎,这些Context会共享这个安全引擎的系统资源,为了防止一个Context会话新建速率过快,而导致其它Context由于CPU处理能力不足而无法创建会话,需要限制Context的会话新建速率。用户可以为每个Context配置最大的会话新建速率。
· Context会话新建速率限制对本机流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP类型的七层负载均衡等业务。 · 一个Context的会话新建速率,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的会话新建速率,多个报文分散在不同引擎处理时,实际的会话新建速率会大于限制的值。 |
SSL VPN的用户数目由设备License控制,设备全部用户总数不能超过License控制,如果一个Context的用户总数到达了License限制,则会出现其他Context用户无法上线的问题,因此需要限制Context的上线用户数,同时设备全部用户总数仍受License控制。
如果多个Context进驻同一个安全引擎,则所有Context共同竞争安全引擎上的资源。安全引擎会按实际转发能力处理所有Context的报文。为了防止一个Context的报文过多而导致其它Context的报文被丢弃,需要限制Context的吞吐量。当启用吞吐量限制时,系统优先处理协议报文,对于超过限制值的业务报文会被丢弃。
需要注意的是,一个Context的吞吐量,是在其进驻的每个安全引擎内独立计算的,即Context在每个进驻的安全引擎上享有相同的吞吐量,多个报文分散在不同引擎处理时,实际吞吐量会大于限制的值。
缺省Context中提供了一键收集多个或所有Context相关信息的功能。目前在缺省Context中可收集的信息包括日志信息、诊断信息和配置信息。
· 同一个Context只能进驻一个安全引擎组;同一个安全引擎组可以和多个Context绑定。
· 同一个安全引擎只能加入一个安全引擎组;一个引擎组中可添加多个安全引擎。
· 如果将非缺省引擎组中的最后一个安全引擎移出,系统会自动删除该非缺省安全引擎组。
· 如果将安全引擎从一个安全引擎组移入其它安全引擎组,系统会自动重启该安全引擎,导致该安全引擎上的业务中断。请先规划引擎组,再配置。
· 缺省安全引擎组内必须有安全引擎加入,并且安全引擎能够正常工作,否则系统不能正常运行。
· 共享VLAN必须是设备上存在的VLAN。请先创建VLAN,再指定共享VLAN。
· VLAN 1不能被共享。
· 端口的缺省VLAN不能被共享。
· 已经创建了VLAN接口的VLAN不能被共享。
· 逻辑接口(如子接口、聚合接口等)仅支持共享方式分配,物理接口支持独占和共享两种方式分配。
· 如果子接口已经被分配,则不能再分配其父接口;如果父接口已经被分配,则不能再分配其子接口。
· 如果接口已经被共享分配,则不能再独占分配。需将共享分配配置取消后,才能独占分配。
· 当设备运行在集群模式时,禁止将集群物理端口分配给Context。
· 聚合接口的成员接口不能分配给Context。
· 冗余口的成员接口不能分配给Context,当冗余口的成员接口为子接口时,其子接口的主接口也不能分配给Context。
· 在缺省Context中,无法对从未启动过的自定义Context进行日志信息收集。
· 在缺省Context中,无法对处于未启动状态的自定义Context进行配置信息收集。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!