• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-系统

目录

42-虚拟设备

本章节下载 42-虚拟设备  (361.64 KB)

42-虚拟设备

虚拟设备

 

本帮助主要介绍以下内容:

·     特性简介

     缺省Context和非缺省Context

     安全引擎和安全引擎组

     资源分配

     信息收集

     报文限速

·     使用限制和注意事项

     停止Context时的注意事项

     引擎组配置注意事项

     分配VLAN时的注意事项

     分配接口时的注意事项

     信息收集

·     配置指南

特性简介

通过虚拟化技术将一台物理设备划分成多台虚拟设备,每台虚拟设备就称为一个Context。每个Context拥有自己专属的软硬件资源,独立运行。

对于用户来说,每个Context就是一台独立的设备,方便管理和维护;对于管理者来说,可以将一台物理设备虚拟成多台逻辑设备供不同的分支机构使用,可以保护现有投资,提高组网灵活性。

缺省Context和非缺省Context

·     整台物理设备就是一个Context,称为缺省Context。当用户登录物理设备时,实际登录的就是缺省Context。用户在物理设备上的配置实质就是对缺省Context的配置。缺省Context的名称为Admin,编号为1。缺省Context不需要创建,不能删除。

·     与缺省Context相对应的是非缺省Context。非缺省Context是管理员在设备上创建的,可分配给不同的接入网络使用。

·     缺省Context拥有对整台物理设备的所有权限,它可以使用和管理设备所有的资源。缺省Context下可以创建/删除非缺省Context,给非缺省Context分配VLAN、接口、CPU、内存/磁盘资源,没有分配的VLAN、接口、CPU、内存/磁盘资源由缺省Context使用和管理。

·     非缺省Context下不可再创建/删除非缺省Context,它只能使用缺省Context分配给自己的资源,并在缺省Context指定的资源限制范围内工作,不能抢占其他Context或者系统剩余的资源。

因为缺省Context不需要创建和配置,所以,如无特殊说明,Web页面中的Context均指非缺省Context

安全引擎和安全引擎组

安全引擎是设备上的硬件。Context创建后,必须进驻安全引擎,才有实际运行的环境,才能运行业务。

安全引擎组用于组织和管理安全引擎。缺省情况下,设备上有一个缺省引擎组,名称为Default,编号为1,所有安全引擎都属于缺省安全引擎组。

一个安全引擎只能属于一个安全引擎组;一个安全引擎组下可添加多个安全引擎,系统会自动选举一个为主安全引擎,其它为备安全引擎。备安全引擎以备份身份运行,当主安全引擎不能正常工作时,会将一个备安全引擎升级为新的主安全引擎,替代原主安全引擎工作。

资源分配

管理员可以为每个Context分配VLAN资源、接口资源、CPU资源和内存/磁盘资源。

VLAN资源

用户在创建Context时,可选择是否和其Context共享VLAN

·     共享:该模式下的VLAN由管理员在缺省Context中创建,统一配置和管理。非缺省Context只能使用指定的共享VLAN,不能自行创建和配置。一个VLAN可以被多个Context共享,物理设备收到报文后,根据报文的入接口以及报文的VLAN tag交给相应的Context处理。此方式适用于同一个VLAN由多个Context共同使用的场景。

·     独占:该模式下的VLAN由各Context的管理员登录各自的Context后,自行创建、配置和管理。该模式要求各Context的管理员来规划和配置VLAN此方式适用于Context需要各自管理和使用一个独立VLAN的场景。

接口资源

缺省情况下,设备上的所有接口都属于缺省Context,不属于任何非缺省Context。只有给非缺省Context分配接口后,它才能和网络中的其它设备通信。

在给Context分配接口时,可以选择:

·     独占分配:使用该方式分配的接口仅归该Context使用。用户登录该Context后,能查看到该接口,并执行接口支持的所有操作。

·     共享分配:表示将一个接口分配给多个Context使用,这些Context共享这个物理接口。设备从共享的物理接口接收报文后交给对应的虚拟接口处理;出方向,虚拟接口处理完报文后,会交给共享的物理接口发送。使用该方式,可以提高设备接口的利用率。通过共享方式分配的接口在非缺省Context内,会新建一个同名的虚接口,用户登录这些Context后,能查看到该接口,但只能执行禁用、修改描述信息以及网络/安全相关操作。

CPU资源

CPU无法满足所有Context的处理需求时,系统将按照CPU权重值为每个Context分配处理时间。通过调整Context的权重,可以使指定的Context获得更多的CPU资源,保证关键业务的运行。例如:在三个Context中,将处理关键业务的ContextCPU权重设置为2,其余两个ContextCPU权重设置为1,则当CPU忙时,将为关键业务Context提供2倍于其它Context的处理时间。

内存/磁盘资源

为了防止一个Context过多的占用内存/磁盘,而导致其它Context无法运行,需要限制Context对内存/磁盘资源的使用。用户可配置每个Context最大可占用的内存/磁盘百分比。

·     建议在Context正常启动后再为Context分配磁盘空间上限,如果Context仅创建但未启动,那么磁盘使用值为0,此时如果配置磁盘空间上限的值小于Context启动后正常实际使用的值,可能导致Context不能正常启动。

·     建议在Context正常启动后再为Context分配内存空间上限,如果Context仅创建未启动,可能会由于内存不足,造成Context无法正常启动。在Context启动后,配置的内存上限值还不应过小,以免Context内业务申请不到内存后引起功能不正常。

 

会话并发数

设备能够同时维持的会话连接总数是有限制的,为防止一个Context创建过多的会话,而导致其它Context无法创建新的会话,需要限制Context的会话并发数。用户可以为每个Context配置最大的会话并发数。

Context会话并发数限制对本机流量不生效,例如:FTPTelnet等业务。

一个Context的最大会话数,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的最大会话数,多个报文分散在不同引擎处理时,实际建立的会话数会大于限制的值。

如果设置的最大值比当前存在的会话总数小,配置仍会成功,但不允许新建会话,且已经创建的会话不会被删除,依然生效。直到已建立的会话通过老化机制使得会话总数低于配置的最大值后,系统才允许新建会话。

会话新建速率

会话新建速率是指设备在单位时间内所能够完全处理的新会话请求数量。由于设备的处理能力有限,为防止一个Context的会话新建速率过高,而导致其它Context创建会话失败,需要限制Context的会话新建速率。用户可以为每个Context配置最大的会话新建速率。

Context会话新建速率限制对本机流量不生效,例如:FTPTelnet等业务。

一个Context的会话新建速率,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的会话新建速率,多个报文分散在不同引擎处理时,实际的会话新建速率会大于限制的值。

安全策略数

一个Context内可以配置多个安全策略。如果不加限制,会出现大量策略占用过多的内存的情况,影响Context的其它功能正常运行。所以,请根据需要为Context设置安全策略总数限制。当策略总数达到限制值时,后续不能新增策略。

如果设置的最大值比当前存在的安全策略总数小,配置仍会成功,多出的策略不会删除,依然生效,但不能新增策略。

SSL VPN登录用户数

Context的最大SSL VPN登录用户数进行限制后,当该ContextSSL VPN登录用户数达到最大数目时,该Context将不允许新的用户登录。

如果设置的数值小于当前ContextSSL VPN登录用户总数,则配置可以成功,但不再允许新的用户登录,且已经登录的用户不会被删除,依然生效。直到已登录的用户通过老化机制下线或用户主动下线,使得用户总数低于配置的最大值后,系统才允许新的用户登录。

吞吐量

为了防止一个Context的报文过多而导致其它Context的报文被丢弃,需要限制Context的吞吐量。当启用吞吐量限制时,系统优先处理协议报文,对于超过限制值的业务报文会被丢弃。

一个Context的吞吐量,是在其进驻的每个安全引擎内独立计算的,即Context在每个进驻的安全引擎上享有相同的吞吐量,多个报文分散在不同引擎处理时,实际吞吐量会大于限制的值。

信息收集

缺省Context中提供了一键收集多个或所有Context相关信息的功能。目前在缺省Context中可收集的信息包括日志信息、诊断信息和配置信息。

报文限速

此功能仅对使用共享接口且处于Active状态的Context生效。

如果一个Context接收和处理的广播报文和组播报文过多,将会导致其他Context处理业务能力的下降。因此需要限制Context接收广播报文和组播报文的数量。

Context对入方向广播报文和组播报文进行限速是通过整机接收报文限速和单个Context接收报文限速共同实现。当广播报文或组播报文总速率和单个Context入方向广播报文或组播报文速率均达到各自的阈值后,发往此Context的广播报文或组播报文会被设备丢弃,否则不会被丢弃。

当整机或单个Context广播/组播限速阈值为零时表示对接收报文不做速率限制。

当运行广播或组播限速阈值低于1000时为系统缺省值,系统缺省值为广播/组播报文总速率阈值除以使用共享接口且处于Active状态的Context的数量。当运行广播或组播限速阈值大于等于1000时,有可能是系统缺省值,也有可能是系统管理员配置的阈值。

使用限制和注意事项

停止Context时的注意事项

停止Context会导致该Context的业务中断,以及登录该Context的用户自动退出,请谨慎使用。

引擎组配置注意事项

·     同一个Context只能进驻一个安全引擎组;同一个安全引擎组可以和多个Context绑定。

·     同一个安全引擎只能加入一个安全引擎组;一个引擎组中可添加多个安全引擎。

·     如果将非缺省引擎组中的最后一个安全引擎移出,系统会自动删除该非缺省安全引擎组。

·     如果将安全引擎从一个安全引擎组移入其它安全引擎组,系统会自动重启该安全引擎,导致该安全引擎上的业务中断。请先规划引擎组,再配置。

·     缺省安全引擎组内必须有安全引擎加入,并且安全引擎能够正常工作,否则系统不能正常运行。

分配VLAN时的注意事项

·     共享VLAN必须是设备上存在的VLAN。请先创建VLAN,再指定共享VLAN

·     VLAN 1不能被共享。

·     端口的缺省VLAN不能被共享。

·     已经创建了VLAN接口的VLAN不能被共享。

分配接口时的注意事项

·     逻辑接口(如子接口、聚合接口等)仅支持共享方式分配,物理接口支持独占和共享两种方式分配。

·     如果子接口已经被分配,则不能再分配其父接口;如果父接口已经被分配,则不能再分配其子接口。

·     如果接口已经被共享分配,则不能再独占分配。需将共享分配配置取消后,才能独占分配。

·     当设备运行在集群模式时,禁止将集群物理端口分配给Context

·     聚合接口的成员接口不能分配给Context

·     冗余口的成员接口不能分配给Context,当冗余口的成员接口为子接口时,其子接口的主接口也不能分配给Context

信息收集

·     在缺省Context中,无法对从未启动过的自定义Context进行日志信息收集。

·     在缺省Context中,无法对处于未启动状态的自定义Context进行配置信息收集。

配置指南

1.     查看接口分配情况,了解各接口的参数。

2.     创建并配置Context

3.     Context分配VLAN、接口、CPU、内存/磁盘、会话并发数、会话新建速率、安全策略数、SSL VPN登录用户数和吞吐量等资源。

4.     监控Context的资源使用情况。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们