- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
30-虛擬設備(僅適用於F50X0-D和F5000-AK5X5)
本章節下載: 30-虛擬設備(僅適用於F50X0-D和F5000-AK5X5) (340.99 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ 資源分配
¡ 信息收集
¡ 報文限速
¡ 信息收集
通過虛擬化技術將一台物理設備劃分成多台虛擬設備,每台虛擬設備就稱為一個Context。每個Context擁有自己專屬的軟硬件資源,獨立運行。
對於用戶來說,每個Context就是一台獨立的設備,方便管理和維護;對於管理者來說,可以將一台物理設備虛擬成多台邏輯設備供不同的分支機構使用,可以保護現有投資,提高組網靈活性。
· 整台物理設備就是一個Context,稱為缺省Context。當用戶登錄物理設備時,實際登錄的就是缺省Context。用戶在物理設備上的配置實質就是對缺省Context的配置。缺省Context的名稱為Admin,編號為1。缺省Context不需要創建,不能刪除。
· 與缺省Context相對應的是非缺省Context。非缺省Context是管理員在設備上創建的,可分配給不同的接入網絡使用。
· 缺省Context擁有對整台物理設備的所有權限,它可以使用和管理設備所有的資源。缺省Context下可以創建/刪除非缺省Context,給非缺省Context分配VLAN、接口、CPU、內存/磁盤資源,沒有分配的VLAN、接口、CPU、內存/磁盤資源由缺省Context使用和管理。
· 非缺省Context下不可再創建/刪除非缺省Context,它隻能使用缺省Context分配給自己的資源,並在缺省Context指定的資源限製範圍內工作,不能搶占其他Context或者係統剩餘的資源。
因為缺省Context不需要創建和配置,所以,如無特殊說明,Web頁麵中的Context均指非缺省Context。
安全引擎是設備上的硬件。Context創建後,必須進駐安全引擎,才有實際運行的環境,才能運行業務。
安全引擎組用於組織和管理安全引擎。缺省情況下,設備上有一個缺省引擎組,名稱為Default,編號為1,所有安全引擎都屬於缺省安全引擎組。
一個安全引擎隻能屬於一個安全引擎組;一個安全引擎組下可添加多個安全引擎,係統會自動選舉一個為主安全引擎,其它為備安全引擎。備安全引擎以備份身份運行,當主安全引擎不能正常工作時,會將一個備安全引擎升級為新的主安全引擎,替代原主安全引擎工作。
管理員可以為每個Context分配VLAN資源、接口資源、CPU資源和內存/磁盤資源。
用戶在創建Context時,可選擇是否和其它Context共享VLAN:
· 共享:該模式下的VLAN由管理員在缺省Context中創建,統一配置和管理。非缺省Context隻能使用指定的共享VLAN,不能自行創建和配置。一個VLAN可以被多個Context共享,物理設備收到報文後,根據報文的入接口以及報文的VLAN tag交給相應的Context處理。此方式適用於同一個VLAN由多個Context共同使用的場景。
· 獨占:該模式下的VLAN由各Context的管理員登錄各自的Context後,自行創建、配置和管理。該模式要求各Context的管理員來規劃和配置VLAN。此方式適用於Context需要各自管理和使用一個獨立VLAN的場景。
缺省情況下,設備上的所有接口都屬於缺省Context,不屬於任何非缺省Context。隻有給非缺省Context分配接口後,它才能和網絡中的其它設備通信。
在給Context分配接口時,可以選擇:
· 獨占分配:使用該方式分配的接口僅歸該Context使用。用戶登錄該Context後,能查看到該接口,並執行接口支持的所有操作。
· 共享分配:表示將一個接口分配給多個Context使用,這些Context共享這個物理接口。設備從共享的物理接口接收報文後交給對應的虛擬接口處理;出方向,虛擬接口處理完報文後,會交給共享的物理接口發送。使用該方式,可以提高設備接口的利用率。通過共享方式分配的接口在非缺省Context內,會新建一個同名的虛接口,用戶登錄這些Context後,能查看到該接口,但隻能執行禁用、修改描述信息以及網絡/安全相關操作。
Context進駐安全引擎組後,才能使用安全引擎組中安全引擎上的CPU資源。如果多個Context進駐了同一個安全引擎,這些Context會共享該安全引擎的CPU,為了防止一個Context過多的占用CPU,而導致其它Context無法運行,需要限製Context對CPU資源的使用,即為Context配置CPU權重。
當CPU無法滿足所有Context的處理需求時,係統將按照CPU權重值為每個Context分配處理時間。通過調整Context的權重,可以使指定的Context獲得更多的CPU資源,保證關鍵業務的運行。例如:在三個Context中,將處理關鍵業務的Context的CPU權重設置為2,其餘兩個Context的CPU權重設置為1,則當CPU忙時,將為關鍵業務Context提供2倍於其它Context的處理時間。
Context進駐安全引擎組後,才能使用安全引擎組中安全引擎的內存/磁盤資源。如果多個Context進駐了同一個安全引擎,這些Context會共享這個安全引擎的內存/磁盤資源,為了防止一個Context過多的占用內存/磁盤,而導致其它Context無法運行,需要限製Context對內存/磁盤資源的使用。用戶可配置每個安全引擎上運行的每個Context最大可占用的內存/磁盤百分比。
|
|
· 建議在Context正常啟動後再為Context分配磁盤空間上限,如果Context僅創建但未啟動,那麼磁盤使用值為0,此時如果配置磁盤空間上限的值小於Context啟動後正常實際使用的值,可能導致Context不能正常啟動。 · 建議在Context正常啟動後再為Context分配內存空間上限,如果Context僅創建未啟動,可能會由於內存不足,造成Context無法正常啟動。在Context啟動後,配置的內存上限值還不應過小,以免Context內業務申請不到內存後引起功能不正常。 |
Context進駐安全引擎組後,才能使用安全引擎組中安全引擎的係統資源。如果多個Context進駐了同一個安全引擎,這些Context會共享這個安全引擎的係統資源,為了防止一個Context創建過多的會話,而導致其它Context由於內存不足無法創建會話,需要限製Context的最大會話並發數。用戶可以為每個Context配置最大的會話並發數。
|
|
· Context會話並發數限製對本機流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP類型的七層負載均衡等業務。 · 一個Context的最大會話數,是在進駐的每個安全引擎內獨立計算的,即Context進駐的每個安全引擎都有相同的最大會話數,多個報文分散在不同引擎處理時,實際建立的會話數會大於限製的值。 |
Context進駐安全引擎組後,才能使用安全引擎組中安全引擎的係統資源。如果多個Context進駐了同一個安全引擎,這些Context會共享這個安全引擎的係統資源,為了防止一個Context會話新建速率過快,而導致其它Context由於CPU處理能力不足而無法創建會話,需要限製Context的會話新建速率。用戶可以為每個Context配置最大的會話新建速率。
|
|
· Context會話新建速率限製對本機流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP類型的七層負載均衡等業務。 · 一個Context的會話新建速率,是在進駐的每個安全引擎內獨立計算的,即Context進駐的每個安全引擎都有相同的會話新建速率,多個報文分散在不同引擎處理時,實際的會話新建速率會大於限製的值。 |
對Context的最大SSL VPN登錄用戶數進行限製後,當該Context的SSL VPN登錄用戶數達到最大數目時,該Context將不允許新的用戶登錄。
如果設置的數值小於當前Context的SSL VPN登錄用戶總數,則配置可以成功,但不再允許新的用戶登錄,且已經登錄的用戶不會被刪除。直到已登錄的用戶通過老化機製下線或用戶主動下線,使得用戶總數低於配置的最大值後,係統才允許新的用戶登錄。
如果多個Context進駐同一個安全引擎,則所有Context共同競爭安全引擎上的資源。安全引擎會按實際轉發能力處理所有Context的報文。為了防止一個Context的報文過多而導致其它Context的報文被丟棄,需要限製Context的吞吐量。當啟用吞吐量限製時,係統優先處理協議報文,對於超過限製值的業務報文會被丟棄。
需要注意的是,一個Context的吞吐量,是在其進駐的每個安全引擎內獨立計算的,即Context在每個進駐的安全引擎上享有相同的吞吐量,多個報文分散在不同引擎處理時,實際吞吐量會大於限製的值。
缺省Context中提供了一鍵收集多個或所有Context相關信息的功能。目前在缺省Context中可收集的信息包括日誌信息、診斷信息和配置信息。
此功能僅對使用共享接口且處於Active狀態的Context生效。
如果一個Context接收和處理的廣播報文和組播報文過多,將會導致其他Context處理業務能力的下降。因此需要限製Context接收廣播報文和組播報文的數量。
Context對入方向廣播報文和組播報文進行限速是通過整機接收報文限速和單個Context接收報文限速共同實現。當廣播報文或組播報文總速率和單個Context入方向廣播報文或組播報文速率均達到各自的閾值後,發往此Context的廣播報文或組播報文會被設備丟棄,否則不會被丟棄。
當整機或單個Context廣播/組播限速閾值為零時表示對接收報文不做速率限製。
當運行廣播或組播限速閾值低於1000時為係統缺省值,係統缺省值為廣播/組播報文總速率閾值除以使用共享接口Context的數量。當運行廣播或組播限速閾值大於等於1000時,有可能是係統缺省值,也有可能是係統管理員配置的閾值。
· 同一個Context隻能進駐一個安全引擎組;同一個安全引擎組可以和多個Context綁定。
· 同一個安全引擎隻能加入一個安全引擎組;一個引擎組中可添加多個安全引擎。
· 如果將非缺省引擎組中的最後一個安全引擎移出,係統會自動刪除該非缺省安全引擎組。
· 如果將安全引擎從一個安全引擎組移入其它安全引擎組,係統會自動重啟該安全引擎,導致該安全引擎上的業務中斷。請先規劃引擎組,再配置。
· 缺省安全引擎組內必須有安全引擎加入,並且安全引擎能夠正常工作,否則係統不能正常運行。
· 共享VLAN必須是設備上存在的VLAN。請先創建VLAN,再指定共享VLAN。
· VLAN 1不能被共享。
· 端口的缺省VLAN不能被共享。
· 已經創建了VLAN接口的VLAN不能被共享。
· 邏輯接口(如子接口、聚合接口等)僅支持共享方式分配,物理接口支持獨占和共享兩種方式分配。
· 如果子接口已經被分配,則不能再分配其父接口;如果父接口已經被分配,則不能再分配其子接口。
· 如果接口已經被共享分配,則不能再獨占分配。需將共享分配配置取消後,才能獨占分配。
· 當設備運行在集群模式時,禁止將集群物理端口分配給Context。
· 聚合接口的成員接口不能分配給Context。
· 冗餘口的成員接口不能分配給Context,當冗餘口的成員接口為子接口時,其子接口的主接口也不能分配給Context。
· 在缺省Context中,無法對從未啟動過的自定義Context進行日誌信息收集。
· 在缺省Context中,無法對處於未啟動狀態的自定義Context進行配置信息收集。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
