- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-Context配置
本章節下載: 02-Context配置 (410.23 KB)
通過虛擬化技術將一台物理設備劃分成多台邏輯設備,每台邏輯設備就稱為一個Context。每個Context擁有自己專屬的軟硬件資源,獨立運行。
對於用戶來說,每個Context就是一台獨立的設備,方便管理和維護;對於管理者來說,可以將一台物理設備虛擬成多台邏輯設備供不同的分支機構使用,可以保護現有投資,提高組網靈活性。
如圖1-1所示,LAN 1、LAN 2和LAN 3是三個不同的局域網,它們通過同一台設備Device連接到外網。通過虛擬化技術,能讓一台設備當三台設備使用。具體做法是,在Device上創建三個Context(Context 1、Context 2、Context 3),分別負責LAN 1、LAN 2、LAN 3的安全接入。LAN 1、LAN 2、LAN 3的網絡管理員可以(也隻能)分別登錄到自己的設備進行配置、保存、重啟等操作,不會影響其它網絡的使用,其效果等同於LAN 1、LAN 2和LAN 3分別通過各自的設備Device 1、Device 2、Device 3接入Internet。
圖1-1 Context組網示意圖
· 設備支持Context功能後,整台物理設備就是一個Context,稱為缺省Context,如圖1-1中的Device。當用戶登錄物理設備時,實際登錄的就是缺省Context。用戶在物理設備上的配置實質就是對缺省Context的配置。缺省Context的名稱為Admin,編號為1。缺省Context不需要創建,不能刪除。
· 與缺省Context相對應的是非缺省Context,如圖1-1中的Context 1、Context 2、Context 3。非缺省Context是管理員在設備上通過命令行創建的,可分配給不同的接入網絡使用。
· 缺省Context擁有對整台物理設備的所有權限,它可以使用和管理設備所有的資源。缺省Context下可以創建/刪除非缺省Context,給非缺省Context分配CPU資源/磁盤/內存空間、接口、VLAN、VXLAN,沒有分配的CPU資源/磁盤/內存空間、接口、VLAN、VXLAN由缺省Context使用和管理。
· 非缺省Context下不可再創建/刪除非缺省Context,它隻能使用缺省Context分配給自己的資源,並在缺省Context指定的資源限製範圍內工作,不能搶占其他Context或者係統剩餘的資源。
· 非缺省Context下不支持共享口的報文捕獲功能,關於報文捕獲功能的詳細描述請參見“網絡管理和監控配置指導”中的“報文捕獲配置”。
對於本文列出的命令,缺省Context均支持,非缺省Context隻支持display context interface命令。
非缺省Context中的DPI業務功能使用缺省Context中的應用層檢測引擎對報文進行匹配,當創建、刪除、關閉和重啟非缺省Context時,缺省Context中的應用層檢測引擎會重新激活,激活期間設備上的所有Context均不能對報文進行DPI業務處理。
Context配置任務如下:
(1) 創建Context
(2) 將Context進駐安全引擎
a. 配置安全引擎組
(3) (可選)為Context分配資源
(4) (可選)限製Context的資源使用
(5) 啟動Context
(6) (可選)為Context分配CPU/磁盤/內存資源
(7) 訪問和管理Context
(8) (可選)收集各Context的日誌信息
(9) (可選)配置Context支持跨VPC流量互通
創建Context相當於構造了一台新的設備。
創建Context時,通過vlan-unshared參數可選擇是否和其它Context共享VLAN:
· 如果選擇和其它Context共享VLAN,需要在缺省Context內創建並配置VLAN,再分配給非缺省Context。共享VLAN由多個Context共同所有。VLAN 1為係統缺省VLAN,由缺省Context獨有,不能分配給非缺省Context。
· 如果選擇不和其它Context共享VLAN,請登錄該Context,並使用vlan命令創建VLAN 2~VLAN 4094。VLAN 1為缺省VLAN,用戶不能手工創建和刪除。Context各自使用和管理VLAN,互不幹擾。
(1) 進入係統視圖。
system-view
(2) 創建Context,並進入Context視圖。
context context-name [ id context-id ] [ vlan-unshared ]
缺省情況下,設備上存在缺省Context,名稱為Admin,編號為1。
(3) (可選)配置Context的描述信息。
description text
缺省情況下,缺省Context描述信息為DefaultContext。非缺省Context沒有配置描述信息。
安全引擎是設備上的硬件。Context創建後,必須進駐安全引擎(通過將Context進駐安全引擎組來實現),才有實際運行的環境,才能運行業務。
設備上通常配備多個安全引擎,安全引擎組用來組織和管理這些安全引擎。請先配置安全引擎組,再將Context進駐安全引擎組,這樣,Context就能進駐安全引擎組中的所有安全引擎。
安全引擎組是一個邏輯概念,用於組織和管理安全引擎,一個安全引擎組中可添加多個安全引擎。新創建的安全引擎組內沒有安全引擎,必須先將安全引擎加入安全引擎組,才能使Context進駐到安全引擎組中的所有安全引擎。
在數據層麵安全引擎組中的所有安全引擎都會同時處理安全業務和轉發報文。在管理層麵係統會自動選舉一個引擎為主安全引擎,其它均為從安全引擎。從安全引擎以備份身份運行,當主安全引擎不能正常工作時,會將一個從安全引擎升級為新的主安全引擎,替代原主安全引擎工作。
缺省安全引擎組中必須至少存在一個安全引擎,否則設備不能正常處理業務。
一個安全引擎隻能屬於一個安全引擎組。
(1) 進入係統視圖。
system-view
(2) 創建安全引擎組並進入該安全引擎組視圖。
blade-controller-team blade-controller-team-name [ id blade-controller-team-id ]
缺省情況下,設備上有一個缺省安全引擎組,名稱為Default,編號為1。
(3) 將安全引擎加入安全引擎組。
(獨立運行模式)
location blade-controller slot slot-number cpu cpu-number
(IRF模式)
location blade-controller chassis chassis-number slot slot-number cpu cpu-number
缺省情況下,安全引擎插入時會自動加入缺省安全引擎組。
為了在Context上啟動業務,用戶必須將Context進駐安全引擎組。Context進駐安全引擎組後,會進駐安全引擎組內的所有安全引擎。
Context和安全引擎組的關係如下:
· 一個Context隻能進駐一個安全引擎組。如果該Context已經進駐一個安全引擎組,請先執行undo location blade-controller-team命令退出已進駐的安全引擎組,再配置location blade-controller-team命令,進駐其它安全引擎組。
· 在不同的Context視圖下執行該命令可以使多個Context進駐同一個安全引擎組。最多可以有256個Context進駐到同一個安全引擎組,安全引擎組和Context是一對多的關係。
· 安全引擎組中加入新的安全引擎後,安全引擎組上已進駐的Context會自動進駐到新加入的安全引擎上,不需要再次配置。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 將Context進駐安全引擎組。
location blade-controller-team team-id
缺省情況下,缺省Context進駐了所有安全引擎組,非缺省Context沒有進駐任何安全引擎組。
設備上的所有接口都屬於缺省Context,不屬於任何非缺省Context。請給非缺省Context分配接口,它才能和網絡中的其它設備通信。
為了提高設備接口的利用率,在給Context分配接口時,可以選擇:
· 獨占方式分配(不帶share參數)。使用該方式分配的接口僅歸該Context所有、使用。用戶登錄該Context後,能查看到該接口,並執行接口支持的所有命令。
· 共享方式分配(帶share參數):表示將一個接口分配給多個Context使用,這些Context共享這個物理接口,但是在各個Context內會創建一個同名的虛接口,這些虛接口具有不同的MAC地址和IP地址。設備從共享的物理接口接收報文後交給對應的虛擬接口處理;出方向,虛擬接口處理完報文後,會交給共享的物理接口發送。使用該方式,可以提高設備接口的利用率。通過共享方式分配的接口:
¡ 在缺省Context內仍然存在該接口,該接口可執行接口支持的所有命令;
¡ 在非缺省Context內,會新建一個同名接口,用戶登錄這些Context後,能查看到該接口,但隻能執行shutdown、description以及網絡/安全相關的命令。
當設備運行在IRF模式時,禁止將IRF物理端口分配給Context。
聚合接口的成員接口不能分配給Context。
冗餘口的成員接口不能分配給Context,當冗餘口的成員接口為子接口時,其子接口的主接口也不能分配給Context。
邏輯接口(如子接口、聚合接口等)僅支持共享方式分配,物理接口支持獨占和共享兩種方式分配。
如果子接口已經被分配,則不能再分配其父接口;如果父接口已經被分配,則不能再分配其子接口。
如果接口已經被共享分配,則不能再獨占分配。需將共享分配配置取消後,才能獨占分配。
為使非缺省Context之間可以互通,必須在缺省Context中將物理接口或邏輯接口以共享方式分配給非缺省Context。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 為Context分配接口。
¡ 非連續接口配置。
allocate interface { interface-type interface-number }&<1-24> [ share ]
¡ 連續接口配置。
allocate interface interface-type interface-number1 to interface-type interface-number2 [ share ]
缺省情況下,設備上的所有接口都屬於缺省Context,不屬於任何非缺省Context。
· 創建Context時,如果不選擇vlan-unshared參數,則表示和其它Context共享VLAN。
· 對於共享VLAN,請先在缺省Context內創建VLAN,再通過allocate vlan命令將指定VLAN分配給指定的Context使用。
· VLAN 1不能被共享。
· 端口的缺省VLAN不能被共享。
· 已經創建了VLAN接口的VLAN不能被共享。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 為Context分配VLAN。
¡ 非連續VLAN配置。
allocate vlan vlan-id&<1-24>
¡ 連續VLAN配置。
allocate vlan vlan-id1 to vlan-id2
缺省情況下,沒有為Context分配VLAN。
為Context分配的VXLAN僅歸該Context所有,其他Context不能對其進行使用、配置。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 為Context分配VXLAN。
¡ 非連續VXLAN配置。
allocate vxlan vxlan-id&<1-24>
¡ 連續VXLAN配置。
allocate vxlan vxlan-id1 to vxlan-id2
缺省情況下,沒有為Context分配VXLAN。
為了防止一個Context發送的報文過多而導致其它Context發送的報文被丟棄,需要限製Context出方向的吞吐量。
一個Context出方向的吞吐量,是在其進駐的每個安全引擎內獨立計算的,即Context在每個進駐的安全引擎上享有相同的吞吐量,多個報文分散在不同引擎處理時,實際吞吐量會大於限製的值。
因為此功能基於CPU進行吞吐量限製,所以其僅在非硬件快速轉發的情況下生效。有關硬件快速轉發功能的詳細介紹,請參見“三層技術-IP業務配置指導”中的“快速轉發”。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 設置Context出方向的吞吐量限製。
capability throughput { kbps | pps } value
缺省情況下,各Context出方向不做吞吐量限製,按實際能力轉發。
一個Context內可以配置多個對象策略,一個對象策略內包含多個規則。如果不加限製,會出現大量規則占用過多的內存的情況,影響Context的其它功能正常運行。所以,請根據需要為Context設置對象策略規則總數限製。當規則總數達到限製值時,後續不能新增規則。
一個Context的最大對象策略規則數,是在進駐的每個安全引擎內獨立計算的,即Context進駐的每個安全引擎都有相同的對象策略規則數。
關於對象策略的詳細描述請參見“安全配置指導”中的“對象策略”。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 設置Context的對象策略規則總數限製。
capability object-policy-rule maximum max-value
缺省情況下,未對Context的對象策略規則總數進行限製。
一個Context內可以配置多個安全策略規則。如果不加限製,會出現大量規則占用過多的內存的情況,影響Context的其它功能正常運行。所以,請根據需要為Context設置安全策略規則總數限製。當規則總數達到限製值時,後續不能新增規則。
一個Context的最大安全策略規則數,是在進駐的每個安全引擎內獨立計算的,即Context進駐的每個安全引擎都有相同的安全策略規則數。
關於安全策略的詳細描述請參見“安全配置指導”中的“安全策略”。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 設置Context的安全策略規則總數限製。
capability security-policy-rule maximum max-value
缺省情況下,未對Context的安全策略規則總數進行限製。
如果一個Context建立了太多會話表會導致其他Context的會話由於內存不夠而無法建立,為了防止這種情況,需要限製Context建立會話表的數量。
一個Context的最大會話數,是在進駐的每個安全引擎內獨立計算的,即Context進駐的每個安全引擎都有相同的最大會話數,多個報文分散在不同引擎處理時,實際建立的會話數會大於限製的值。
Context會話並發數限製對本機流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP類型的七層負載均衡等業務。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 設置Context的單播會話並發數限製。
capability session maximum max-number
缺省情況下,未對Context允許的單播會話並發數進行限製。
如果一個Context的會話新建速率過快會導致其他Context由於CPU處理能力不夠而無法建立會話,為了防止這種情況,需要限製Context的會話新建速率。
一個Context的會話新建速率,是在進駐的每個安全引擎內獨立計算的,即Context進駐的每個安全引擎都有相同的會話新建速率,多個報文分散在不同引擎處理時,實際的會話新建速率會大於限製的值。
Context會話新建速率限製對本機流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP類型的七層負載均衡等業務。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 設置Context的會話新建速率限製。
capability session rate max-value
缺省情況下,未對Context允許的會話新建速率進行限製。
目前SSL VPN的用戶數目由設備License控製,設備全部用戶總數不能超過License控製,如果一個Context的用戶總數到達了License限製,則會出現其他Context用戶無法上線的問題,因此需要限製Context的上線用戶數,同時設備全部用戶總數仍受License控製。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 設置Context的SSL VPN登錄用戶數限製。
capability sslvpn-user maximum max-number
缺省情況下,未對Context的SSL VPN登錄用戶總數進行限製,由設備上SSL VPN Licence使用情況決定。
Context創建後需要啟動,才能完成新Context的初始化,相當於上電啟動。啟動後,用戶可以登錄到該Context執行配置。
正常程序啟動Context時,設備會先做一些檢查(比如Context的主、備進程能否正常啟動),滿足條件後,才啟動Context,該命令會保證主備的Context狀態一致,如果某成員設備或安全引擎上的Context啟動失敗,則會導致所有該Context進程啟動失敗。正常程序啟動的Context能更好的保證Context的業務正常運行,所以,通常情況下,使用context start命令啟動Context即可。force參數用於以下場景:在IRF環境,如果主備倒換或者配置恢複過程中出現內存不足,會導致部分Context雖然可以處理業務,但因為它們的主、備進程狀態不一致,這些Context一直停留在updating或者inactive狀態。當內存資源恢複後,執行context start force命令,設備會在不中斷業務的情況下,盡可能修複不正常的Conext進程,讓這些Context恢複到正常狀態。
在使用context start force前,用戶可以通過display context、display system internal context configuration-status、display system internal context id contex-id running-status命令查看Context的運行情況。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 啟動Context。
context start [ force ]
缺省情況下,Context會共享設備上的CPU/磁盤/內存資源,為了防止一個Context過多的占用CPU/磁盤/內存,而導致其它Context無法運行,需要限製Context對CPU/磁盤/內存資源的使用。
當CPU無法滿足所有Context的處理需求時,係統將按照CPU權重值為每個Context分配處理時間。通過調整Context的權重,可以使指定的Context獲得更多的CPU資源,保證關鍵業務的運行。例如:在三個Context中,將處理關鍵業務的Context的CPU權重設置為2,其餘兩個Context的CPU權重設置為1,則當CPU處理能力不足時,將為關鍵業務Context提供2倍於其它Context的處理時間。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 指定Context的CPU權重。
limit-resource cpu weight weight-value
缺省情況下,Context的CPU權重為10。
建議在Context正常啟動後再為Context分配磁盤空間上限,如果Context僅創建但未啟動,那麼磁盤使用值為0,此時如果配置磁盤空間上限的值小於Context啟動後正常實際使用的值,可能導致Context不能正常啟動。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 顯示Context對磁盤資源的使用情況。
display context resource disk
(4) 配置Context可使用的磁盤空間上限。
(獨立運行模式)
limit-resource disk slot slot-number cpu cpu-number ratio limit-ratio
(IRF模式)
limit-resource disk chassis chassis-number slot slot-number cpu cpu-number ratio limit-ratio
缺省情況下,進駐到同一安全引擎的所有Context共享該安全引擎的所有磁盤空間,每個Context可使用的磁盤空間上限為該安全引擎的空閑磁盤空間值。
如果設備上有多塊磁盤,該命令對所有磁盤生效。
建議在Context正常啟動後再為Context分配內存空間上限,如果Context僅創建未啟動,可能會由於內存不足,造成Context無法正常啟動。在Context啟動後,配置的內存上限值還不應過小,以免Context內業務申請不到內存後引起功能不正常。
(1) 進入係統視圖。
system-view
(2) 進入Context視圖。
context context-name
(3) 顯示Context對內存資源的使用情況。
display context resource memory
(4) 配置Context可使用的內存空間上限。
(獨立運行模式)
limit-resource memory slot slot-number cpu cpu-number ratio limit-ratio
(IRF模式)
limit-resource memory chassis chassis-number slot slot-number cpu cpu-number ratio limit-ratio
缺省情況下,進駐到同一安全引擎的所有Context共享該安全引擎的所有內存空間,每個Context可使用的內存空間上限為該安全引擎的空閑內存空間值。
隻要用戶和設備之間路由可達,就能使用switchto context命令,通過設備和Context的內部連接,登錄Context。
除了上述方式,用戶還可以通過Context上的接口,使用該Context的IP地址進行Telnet/SSH登錄。
(1) 進入係統視圖。
system-view
(2) 登錄Context。
switchto context context-name
用戶登錄Context後,可以在Context的用戶視圖執行quit命令來退出登錄。此時,命令視圖將從當前Context的用戶視圖返回到缺省Context的係統視圖。
如果一個Context接收和處理的廣播報文過多,將會導致其他Context處理業務能力的下降,因此需要限製Context接收廣播報文的數量。
Context對入方向廣播報文進行限速是通過整機接收報文限速和單個Context接收報文限速共同實現。當廣播報文總速率和單個Context廣播報文速率均達到各自的閾值後,發往此Context的廣播報文會被設備丟棄,否則不會被丟棄。
一個Context入方向廣播報文的速率,在進駐的每個安全引擎內獨立計算,即Context進駐的每個安全引擎都有相同的限速閾值,每個安全引擎對Context單獨限製。當多個報文分散在不同安全引擎處理時,一個Context實際接收廣播報文的速率可能大於設置的限速閾值。
此功能僅限製入方向報文的速率。
此功能僅對使用共享接口且處於Active狀態的Context生效。
當整機或單個Context廣播限速閾值為零時表示不對廣播報文限速。
(1) 進入係統視圖。
system-view
(2) 配置所有Context入方向廣播報文的總速率限製。
context-capability inbound broadcast total pps threshold
缺省情況下,所有Context入方向廣播報文總速率限製與設備型號有關,具體信息請參見命令參考手冊。
(3) 配置缺省Context入方向廣播報文的速率限製。
context-capability inbound broadcast single pps threshold
缺省情況下,缺省Context入方向廣播報文限速速率為廣播報文總速率閾值除以使用共享接口且處於Active狀態的Context的總數。
(4) 進入Context視圖。
context context-name
(5) 配置單個非缺省Context入方向廣播報文的速率限製。
context-capability inbound broadcast single pps threshold
缺省情況下,單個非缺省Context入方向廣播報文限速速率為廣播報文總速率閾值除以使用共享接口且處於Active狀態的Context的總數。
如果一個Context接收和處理的組播報文過多,將會導致其他Context處理業務能力的下降,因此需要限製Context接收組播報文的數量。
Context對入方向組播報文進行限速是通過整機接收報文限速和單個Context接收報文限速共同實現。當廣組播報文總速率和單個Context廣組播報文速率均達到各自的閾值後,發往此Context的廣組播報文會被設備丟棄,否則不會被丟棄。
一個Context入方向組播報文的速率,在進駐的每個安全引擎內獨立計算,即Context進駐的每個安全引擎都有相同的限速閾值,每個安全引擎對Context單獨限製。當多個報文分散在不同安全引擎處理時,一個Context實際接收組播報文的速率可能大於設置的限速閾值。
此功能僅限製入方向報文的速率。
此功能僅對使用共享接口且處於Active狀態的Context生效。
當整機或單個Context組播限速閾值為零時表示不對組播報文進行限速。
(1) 進入係統視圖。
system-view
(2) 配置所有Context入方向組播報文的總速率限製。
context-capability inbound multicast total pps threshold
缺省情況下,所有Context入方向組播報文總速率限製與設備型號有關,具體信息請參見命令參考手冊。
(3) 配置缺省Context入方向組播報文的速率限製。
context-capability inbound multicast single pps threshold
缺省情況下,缺省Context入方向組播報文限速速率為組播報文總速率閾值除以使用共享接口且處於Active狀態的Context的總數。
(4) 進入Context視圖。
context context-name
(5) 配置單個非缺省Context入方向組播報文的速率限製。
context-capability inbound multicast single pps threshold
缺省情況下,單個非缺省Context入方向組播報文限速速率為組播報文總速率閾值除以使用共享接口且處於Active狀態的Context的總數。
如果一個Context接收和處理的單播報文過多會消耗大量的CPU資源,將會導致其他Context處理業務能力的下降,因此需要限製Context處理單播報文對CPU的消耗。
Context對入方向單播報文進行限速是通過整機CPU消耗率和單個Context CPU消耗率共同實現。當整機的總CPU消耗率和單個Context CPU消耗率均達到各自閾值後,發往此Context的單播報文會被設備丟棄,否則不會被丟棄。
一個Context入方向單播報文的CPU消耗率,在進駐的每個安全引擎內獨立計算,即Context進駐的每個安全引擎都有相同的限製閾值,每個安全引擎對Context單獨限製。當多個報文分散在不同安全引擎處理時,一個Context實際接收單播報文的CPU消耗率可能大於設置的限製閾值。
此功能僅限製入方向報文的速率。
此功能對使用共享接口和獨占接口且處於Active狀態的Context均生效。
(1) 進入係統視圖。
system-view
(2) 配置所有Context入方向單播報文的總CPU消耗率限製。
context-capability inbound unicast total cpu-usage threshold
缺省情況下,所有Context入方向單播報文的總CPU消耗率的缺省值與設備型號有關,具體信息請參見命令參考手冊。
(3) 配置缺省Context入方向單播報文的CPU消耗率限製。
context-capability inbound unicast single cpu-usage threshold
缺省情況下,缺省Context入方向單播報文的CPU消耗率為單播報文的總CPU消耗率除以此Context所進駐引擎組中所有Context的總數。
(4) 進入Context視圖。
context context-name
(5) 配置單個非缺省Context入方向單播報文的CPU消耗率限製。
context-capability inbound unicast single cpu-usage threshold
缺省情況下,單個Context入方向單播報文的CPU消耗率為單播報文的總CPU消耗率除以此Context所進駐引擎組中所有Context的總數。
開啟此功能後,當Context接收到的廣播報文或組播報文因達到係統設置的閾值而被丟棄時,設備將會對丟棄的報文生成日誌信息。此日誌信息將會被輸出到信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。有關信息中心的詳細介紹,請參見“網絡管理和監控配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 開啟Context入方向報文限速丟包日誌功能。
context-capability inbound drop-logging enable
缺省情況下,Context入方向報文限速丟包日誌功能處於關閉狀態。
此功能可以收集logfile文件夾和diagfile文件夾下的所有文件。
請在用戶視圖下執行本命令,收集各Context的日誌信息
tar context [ name context-name ] log file filename
在VPC(Virtual Private Cloud,虛擬私有雲)場景中,不同租戶被不同的VPC隔離。設備上使用VPN實例與VPC進行一一對應,這樣既可以保證不同VPC租戶之間流量的隔離,又可以實現不同VPC租戶之間流量的互通。
圖1-2 Context中跨VPC流量互通示意圖
如圖1-2所示,不同VPC之間流量隔離和互通的實現機製如下:
· 在設備上創建不同的VPN實例用於區分和隔離VPC之間的流量。
· 在設備上為VPN實例配置靜態路由,將路由出接口配置為LoopBack接口,可實現VPC間流量的互通。
跨VPN實例轉發流量隻支持類似安全策略這種報文過濾和阻斷的業務,不支持類似NAT、負載均衡等這種修改IP地址的業務,不支持MPLS L3VPN的PE功能。僅支持靜態路由配置,不支持路由導入和引出功能。
一般推薦使用設備的物理子接口或者邏輯子接口與VPC租戶進行連接。
開啟跨VPC的硬件快速轉發功能與GRE和MPLS功能互斥不能同時使用。
(1) 進入係統視圖。
system-view
(2) 創建VPN實例,並與接口關聯。
有關創建VPN實例並與接口關聯的具體操作,請參見“MPLS配置指導”中的“MPLS L3VPN”。
(3) 為VPN實例配置靜態路由,路由出接口為LoopBack接口。
有關為VPN實例配置靜態路由的具體操作,請參見“三層技術-IP路由配置指導”中的“靜態路由”和“IPv6靜態路由”。
(4) 開啟跨VPC的硬件快速轉發功能。
(獨立運行模式)
hardware fast-forwarding vpc enable [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
hardware fast-forwarding vpc enable [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
缺省情況下,跨VPC的硬件快速轉發功能處於關閉狀態。
在完成Context相關配置後,在任意視圖下執行display命令,可以顯示配置後Context的運行情況,通過查看顯示信息,來驗證配置的效果。
在用戶視圖下,用戶可以執行reset命令清除不在位的安全引擎的數據信息。
表1-1 Context顯示和維護
|
操作 |
命令 |
|
顯示安全引擎組的信息 |
display blade-controller-team [ blade-controller-team-name | id blade-controller-team-id ] |
|
顯示Context的相關信息 |
display context [ name context-name ] [ verbose ] |
|
顯示Context內可分配業務資源的使用情況 |
(獨立運行模式) display context [ name context-name ] capability [ security-policy | session [ slot slot-number cpu cpu-number ] | sslvpn-user ] (IRF模式) display context [ name context-name ] capability [ security-policy | session [ chassis chassis-number slot slot-number cpu cpu-number ] | sslvpn-user ] |
|
顯示Context入方向廣播報文的速率限製的統計信息 |
(獨立運行模式) display context name context-name capability inbound broadcast slot slot-number cpu cpu-number (IRF模式) display context name context-name capability inbound broadcast chassis chassis-number slot slot-number cpu cpu-number |
|
顯示Context入方向組播報文的速率限製的統計信息 |
(獨立運行模式) display context name context-name capability inbound multicast slot slot-number cpu cpu-number (IRF模式) display context name context-name capability inbound multicast chassis chassis-number slot slot-number cpu cpu-number |
|
顯示Context入方向單播報文的速率限製的統計信息 |
display context name context-name capability inbound unicast (獨立運行模式) display context name context-name capability inbound unicast slot slot-number cpu cpu-number (IRF模式) display context name context-name capability inbound unicast chassis chassis-number slot slot-number cpu cpu-number |
|
顯示各Context的配置信息 |
display context [ name context-name ] configuration [ file filename ] |
|
顯示Context的接口列表 |
display context [ name context-name ] interface |
|
顯示Context對CPU/磁盤/內存資源的使用情況 |
(獨立運行模式) display context [ name context-name ] resource [ cpu | disk | memory ] [ slot slot-number cpu cpu-number ] (IRF模式) display context [ name context-name ] resource [ cpu | disk | memory ] [ chassis chassis-number slot slot-number cpu cpu-number ] |
|
顯示Context內資源的統計信息 |
display context [ name context-name ] statistics [ file filename ] |
|
顯示Context的VLAN列表 |
display context [ name context-name ] vlan |
|
顯示所有Context內SSL VPN在線用戶數 |
display context online-users sslvpn |
|
清除指定安全引擎組中不在位的安全引擎的數據信息 |
reset blade-controller-team team-id member slot slot-number cpu cpu-number |
|
清除Context入方向廣播報文的速率限製的統計信息 |
(獨立運行模式) reset context name context-name capability inbound broadcast slot slot-number cpu cpu-number (IRF模式) reset context name context-name capability inbound broadcast chassis chassis-number slot slot-number cpu cpu-number |
|
清除Context入方向組播報文的速率限製的統計信息 |
(獨立運行模式) reset context name context-name capability inbound multicast slot slot-number cpu cpu-number (IRF模式) reset context name context-name capability inbound multicast chassis chassis-number slot slot-number cpu cpu-number |
|
清除Context入方向單播報文的速率限製的統計信息 |
reset context name context-name capability inbound unicast (獨立運行模式) reset context name context-name capability inbound unicast slot slot-number cpu cpu-number (IRF模式) reset context name context-name capability inbound unicast chassis chassis-number slot slot-number cpu cpu-number |
將設備Device虛擬成三台獨立的Device:Context cnt1、Context cnt2、Context cnt3,並分給三個不同的用戶網絡進行安全防護。要求在用戶側看來,各自的接入設備是獨享的。
· LAN 1、LAN 2、LAN 3分別屬於公司A、公司B、公司C,現各公司的網絡均需要進行安全防護。公司A使用的網段為192.168.1.0/24,公司B使用的網段為192.168.2.0/24,公司C使用的網段為192.168.3.0/24。
· 公司A的用戶多,業務需求複雜,因此需要給Context cnt1提供較大的磁盤/內存空間使用上限,以便保存配置文件、啟動文件和係統信息等;對公司B使用係統缺省的磁盤空間即可;公司C人員規模小,上網流量比較少,對接入Device的配置及性能要求較低,因此對Context cnt3提供較低的CPU權重。
· GigabitEthernet1/0/1和GigabitEthernet1/0/4分配給Context cnt1、GigabitEthernet1/0/2和GigabitEthernet1/0/5分配給Context cnt2、GigabitEthernet1/0/3和GigabitEthernet1/0/6分配給Context cnt3。
圖1-3 Context基本組網配置組網圖
(1) 配置安全引擎組test
# 創建安全引擎組test。
<Device> system-view
[Device] blade-controller-team test
# 將3號槽位cpu號為1的安全引擎加入該安全引擎組。
[Device-blade-controller-team-2-test] location blade-controller slot 3 cpu 1
This operation will also reboot the blade controller. Continue? [Y/N]:y
[Device-blade-controller-team-2-test] quit
(2) 創建並配置Context cnt1,供公司A使用
# 創建Context cnt1,設置描述信息。
[Device] context cnt1
[Device-context-2-cnt1] description context-1
# 設置cnt1進駐安全引擎組test(編號為2)。
[Device-context-2-cnt1] location blade-controller-team 2
# 配置Context cnt1在3號槽位CPU號為1的安全引擎上的磁盤使用上限為60%。
[Device-context-2-cnt1] limit-resource disk slot 3 cpu 1 ratio 60
# 配置Context cnt1在3號槽位cpu號為1的安全引擎上的內存使用上限為60%。
[Device-context-2-cnt1] limit-resource memory slot 3 cpu 1 ratio 60
# 配置Context cnt1的CPU權重為8。
[Device-context-2-cnt1] limit-resource cpu weight 8
# 將接口GigabitEthernet1/0/1和GigabitEthernet1/0/4分配給Context cnt1。
[Device-context-2-cnt1] allocate interface gigabitethernet 1/0/1 gigabitethernet 1/0/4
# 啟動Context cnt1。
[Device-context-2-cnt1] context start
It will take some time to start the context...
Context started successfully.
[Device-context-2-cnt1] quit
# 切換到Context cnt1。
[Device] switchto context cnt1
******************************************************************************
* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Device> system-view
# 配置Telnet功能,保證管理用戶可以正常登錄設備,具體配置步驟請參考“基礎配置指導”中的“登錄設備”。
# 將Context cnt1的名稱修改為cnt1,以便和其它Context區別。
[Device] sysname cnt1
# 配置接口GigabitEthernet1/0/1的IP地址為192.168.1.251,供公司A的管理用戶遠程登錄。
[cnt1] interface gigabitethernet 1/0/1
[cnt1-GigabitEthernet1/0/1] ip address 192.168.1.251 24
# 從自定義Context cnt1返回缺省Context。
[cnt1-GigabitEthernet1/0/1] return
<cnt1> quit
[Device]
(3) 創建並配置Context cnt2,供公司B使用
# 創建Context cnt2,設置描述信息
[Device] context cnt2
[Device-context-3-cnt2] description context-2
# 設置cnt2進駐安全引擎組test(編號為2)。
[Device-context-3-cnt2] location blade-controller-team 2
# 將接口GigabitEthernet1/0/2和GigabitEthernet1/0/5分配給Context cnt2。
[Device-context-3-cnt2] allocate interface gigabitethernet 1/0/2 gigabitethernet 1/0/5
# 啟動Context cnt2。
[Device-context-3-cnt2] context start
It will take some time to start the context...
Context started successfully.
[Device-context-3-cnt2] quit
# 切換到Context cnt2。
[Device] switchto context cnt2
******************************************************************************
* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Device> system-view
# 配置Telnet功能,保證管理用戶可以正常登錄設備,具體配置步驟請參考“基礎配置指導”中的“登錄設備”。
# 將Context cnt2的名稱修改為cnt2,以便和其它Context區別。
[Device] sysname cnt2
# 配置接口GigabitEthernet1/0/2的IP地址為192.168.2.251,供公司B的管理用戶遠程登錄。
[cnt2] interface gigabitethernet 1/0/2
[cnt2-GigabitEthernet1/0/2] ip address 192.168.2.251 24
# 從自定義Context cnt2返回缺省Context。
[cnt2-GigabitEthernet1/0/2] return
<cnt2> quit
[Device]
(4) 創建並配置Context cnt3,供公司C使用
# 創建Context cnt3,設置描述信息
[Device] context cnt3
[Device-context-4-cnt3] description context-3
# 設置cnt3進駐安全引擎組test(編號為2)。
[Device-context-4-cnt3] location blade-controller-team 2
# 配置Context cnt3的CPU權重為2。
[Device-context-4-cnt3] limit-resource cpu weight 2
# 將接口GigabitEthernet1/0/3和GigabitEthernet1/0/6分配給Context cnt3。
[Device-context-4-cnt3] allocate interface gigabitethernet 1/0/3 gigabitethernet 1/0/6
# 啟動Context cnt3。
[Device-context-4-cnt3] context start
It will take some time to start the context...
Context started successfully.
[Device-context-4-cnt3] quit
# 切換到Context cnt3。
[Device] switchto context cnt3
******************************************************************************
* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Device> system-view
# 配置Telnet功能,保證管理用戶可以正常登錄設備,具體配置步驟請參考“基礎配置指導”中的“登錄設備”。
# 將Context cnt3的名稱修改為cnt3,以便和其它Context區別。
[Device] sysname cnt3
# 配置接口GigabitEthernet1/0/3的IP地址為192.168.3.251,供公司C的管理用戶遠程登錄。
[cnt3] interface gigabitethernet 1/0/3
[cnt3-GigabitEthernet1/0/3] ip address 192.168.3.251 24
# 從自定義Context cnt3返回缺省Context。
[cnt3-GigabitEthernet1/0/3] return
<cnt3> quit
[Device]
(1) 查看Context是否存在並且運轉正常。(此時,Device上應該有四台處於正常工作active狀態的Context)
[Device] display context
ID Name Status Description
1 Admin active DefaultContext
2 cnt1 active context-1
3 cnt2 active context-2
4 cnt3 active context-3
(2) 模擬公司A的管理用戶登錄到Context cnt1,可以查看本設備的當前配置。
C:\> telnet 192.168.1.251
******************************************************************************
* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<cnt1> display current-configuration
顯示信息略……。
設備上的非缺省Context在對VPC租戶訪問公有雲的流量進行安全防護的同時也可以使不同VPC之間的流量互通。
圖1-4 Context支持跨VPC流量互通配置組網圖
(1) 創建並配置Context cnt1,供VPC1和VPC2使用。
創建名稱為cnt1的Context,並為其分配CPU、內存、磁盤和接口資源,其具體配置步驟請參見“1.15.1 Context基本組網配置舉例(獨立運行模式)”中的相關內容,本舉例不再贅述。
(2) 切換到Context cnt1。
<Device> system-view
[Device] switchto context cnt1
******************************************************************************
* Copyright (c) 2004-2020 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<H3C> system-view
# 配置Telnet功能,保證管理用戶可以正常登錄設備,具體配置步驟請參考“基礎配置指導”中的“登錄設備”。
# 將Context cnt1的名稱修改為cnt1,以便和其它Context區別。
[H3C] sysname cnt1
(3) 創建VPN實例,創建LoopBack接口和以太網子接口並關聯VPN實例。
# 創建一個名為vpc1的VPN實例,並進入VPN實例視圖。
[cnt1] ip vpn-instance vpc1
[cnt1-vpn-instance-vpc1] quit
# 創建一個名為vpc2的VPN實例,並進入VPN實例視圖。
[cnt1] ip vpn-instance vpc2
[cnt1-vpn-instance-vpc2] quit
# 創建接口LoopBack1,為其綁定VPN實例vpc1,配置IP地址為10.0.1.1/32。
[cnt1] interface loopback 1
[cnt1-LoopBack1] ip binding vpn-instance vpc1
[cnt1-LoopBack1] ip address 10.0.1.1 255.255.255.255
[cnt1-LoopBack1] quit
# 創建接口LoopBack2,為其綁定VPN實例vpc2,配置IP地址為10.0.2.1/32。
[cnt1] interface loopback 2
[cnt1-LoopBack2] ip binding vpn-instance vpc2
[cnt1-LoopBack2] ip address 10.0.2.1 255.255.255.255
[cnt1-LoopBack2] quit
# 創建子接口GigabitEthernet1/0/1.1,為其綁定VPN實例vpc1,配置IP地址為10.10.0.1/24。
[cnt1] interface gigabitethernet 1/0/1.1
[cnt1-GigabitEthernet1/0/1.1] ip binding vpn-instance vpc1
[cnt1-GigabitEthernet1/0/1.1] ip address 10.10.0.1 255.255.255.0
# 配置子接口GigabitEthernet1/0/1.1能夠終結最外層VLAN ID為10的VLAN報文。
[cnt1-GigabitEthernet1/0/1.1] vlan-type dot1q vid 10
[cnt1-GigabitEthernet1/0/1.1] quit
# 創建子接口GigabitEthernet1/0/1.2,為其綁定VPN實例vpc2,配置IP地址為10.20.0.1/24。
[cnt1] interface gigabitethernet 1/0/1.2
[cnt1-GigabitEthernet1/0/1.2] ip binding vpn-instance vpc2
[cnt1-GigabitEthernet1/0/1.2] ip address 10.20.0.1 255.255.255.0
# 配置子接口GigabitEthernet1/0/1.2能夠終結最外層VLAN ID為20的VLAN報文。
[cnt1-GigabitEthernet1/0/1.2] vlan-type dot1q vid 20
[cnt1-GigabitEthernet1/0/1.2] quit
(4) 為VPN實例配置靜態路由保證VPC之間的流量路由可達。
# 為名稱為vpc1的VPN實例配置靜態路由,其目的地址為10.20.0.0/24,指定路由出接口為LoopBack1,指定下一跳的地址為10.0.2.1。
[cnt1] ip route-static vpn-instance vpc1 10.20.0.0 24 loopback1 10.0.2.1
# 為名稱為vpc2的VPN實例配置靜態路由,其目的地址為10.10.0.0/24,指定路由出接口為LoopBack2,指定下一跳的地址為10.0.1.1。
[cnt1] ip route-static vpn-instance vpc2 10.10.0.0 24 loopback2 10.0.1.1
(5) 開啟跨VPC的硬件快速轉發功能。
# 開啟跨VPC的硬件快速轉發功能提高報文轉發速度。
[cnt1] hardware fast-forwarding vpc enable
(6) 配置安全域。
# 向安全域Trust中添加接口LoopBack1、子接口GigabitEthernet1/0/1.1。
[cnt1] security-zone name trust
[cnt1-security-zone-Trust] import interface loopback1
[cnt1-security-zone-Trust] import interface gigabitethernet 1/0/1.1
[cnt1-security-zone-Trust] quit
# 向安全域Untrust中添加接口LoopBack2、子接口GigabitEthernet1/0/1.2。
[cnt1] security-zone name untrust
[cnt1-security-zone-Untrust] import interface loopback2
[cnt1-security-zone-Untrust] import interface gigabitethernet 1/0/1.2
[cnt1-security-zone-Untrust] quit
(7) 配置安全策略保證VPC之間的流量互通。
[cnt1] security-policy ip
[cnt1-security-policy-ip] rule 0 name vpc1
[cnt1-security-policy-ip-0-vpc1] action pass
[cnt1-security-policy-ip-0-vpc1] vrf vpc1
[cnt1-security-policy-ip-0-vpc1] source-zone trust
[cnt1-security-policy-ip-0-vpc1] destination-zone untrust
[cnt1-security-policy-ip-0-vpc1] quit
[cnt1-security-policy-ip] rule 1 name vpc2
[cnt1-security-policy-ip-1-vpc2] action pass
[cnt1-security-policy-ip-1-vpc2] vrf vpc2
[cnt1-security-policy-ip-1-vpc2] source-zone untrust
[cnt1-security-policy-ip-1-vpc2] destination-zone trust
[cnt1-security-policy-ip-1-vpc2] quit
[cnt1-security-policy-ip] quit
# 在租戶A上可以Ping通租戶B。
C:\> ping 10.20.0.2
Pinging 10.20.0.2 with 32 bytes of data:
Reply from 10.20.0.2: bytes=32 time=19ms TTL=254
Reply from 10.20.0.2: bytes=32 time<1ms TTL=254
Reply from 10.20.0.2: bytes=32 time<1ms TTL=254
Reply from 10.20.0.2: bytes=32 time<1ms TTL=254
Ping statistics for 10.20.0.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 19ms, Average = 4ms
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
