- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
44-虛擬設備
本章節下載: 44-虛擬設備 (341.54 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ 資源分配
○ 信息收集
○ 報文限速
○ 信息收集
· 配置指南
通過虛擬化技術將一台物理設備劃分成多台虛擬設備,每台虛擬設備就稱為一個Context。每個Context擁有自己專屬的軟硬件資源,獨立運行。
對於用戶來說,每個Context就是一台獨立的設備,方便管理和維護;對於管理者來說,可以將一台物理設備虛擬成多台邏輯設備供不同的分支機構使用,可以保護現有投資,提高組網靈活性。
· 整台物理設備就是一個Context,稱為缺省Context。當用戶登錄物理設備時,實際登錄的就是缺省Context。用戶在物理設備上的配置實質就是對缺省Context的配置。缺省Context的名稱為Admin,編號為1。缺省Context不需要創建,不能刪除。
· 與缺省Context相對應的是非缺省Context。非缺省Context是管理員在設備上創建的,可分配給不同的接入網絡使用。
· 缺省Context擁有對整台物理設備的所有權限,它可以使用和管理設備所有的資源。缺省Context下可以創建/刪除非缺省Context,給非缺省Context分配VLAN、接口、CPU、內存/磁盤資源,沒有分配的VLAN、接口、CPU、內存/磁盤資源由缺省Context使用和管理。
· 非缺省Context下不可再創建/刪除非缺省Context,它隻能使用缺省Context分配給自己的資源,並在缺省Context指定的資源限製範圍內工作,不能搶占其他Context或者係統剩餘的資源。
因為缺省Context不需要創建和配置,所以,如無特殊說明,Web頁麵中的Context均指非缺省Context。
管理員可以為每個Context分配VLAN資源、接口資源、CPU資源和內存/磁盤資源。
用戶在創建Context時,可選擇是否和其它Context共享VLAN:
· 共享:該模式下的VLAN由管理員在缺省Context中創建,統一配置和管理。非缺省Context隻能使用指定的共享VLAN,不能自行創建和配置。一個VLAN可以被多個Context共享,物理設備收到報文後,根據報文的入接口以及報文的VLAN tag交給相應的Context處理。此方式適用於同一個VLAN由多個Context共同使用的場景。
· 獨占:該模式下的VLAN由各Context的管理員登錄各自的Context後,自行創建、配置和管理。該模式要求各Context的管理員來規劃和配置VLAN。此方式適用於Context需要各自管理和使用一個獨立VLAN的場景。
缺省情況下,設備上的所有接口都屬於缺省Context,不屬於任何非缺省Context。隻有給非缺省Context分配接口後,它才能和網絡中的其它設備通信。
在給Context分配接口時,可以選擇:
· 獨占分配:使用該方式分配的接口僅歸該Context使用。用戶登錄該Context後,能查看到該接口,並執行接口支持的所有操作。
· 共享分配:表示將一個接口分配給多個Context使用,這些Context共享這個物理接口。設備從共享的物理接口接收報文後交給對應的虛擬接口處理;出方向,虛擬接口處理完報文後,會交給共享的物理接口發送。使用該方式,可以提高設備接口的利用率。通過共享方式分配的接口在非缺省Context內,會新建一個同名的虛接口,用戶登錄這些Context後,能查看到該接口,但隻能執行禁用、修改描述信息以及網絡/安全相關操作。
當CPU無法滿足所有Context的處理需求時,係統將按照CPU權重值為每個Context分配處理時間。通過調整Context的權重,可以使指定的Context獲得更多的CPU資源,保證關鍵業務的運行。例如:在三個Context中,將處理關鍵業務的Context的CPU權重設置為2,其餘兩個Context的CPU權重設置為1,則當CPU忙時,將為關鍵業務Context提供2倍於其它Context的處理時間。
為了防止一個Context過多的占用內存/磁盤,而導致其它Context無法運行,需要限製Context對內存/磁盤資源的使用。用戶可配置每個Context最大可占用的內存/磁盤百分比。
|
|
· 建議在Context正常啟動後再為Context分配磁盤空間上限,如果Context僅創建但未啟動,那麼磁盤使用值為0,此時如果配置磁盤空間上限的值小於Context啟動後正常實際使用的值,可能導致Context不能正常啟動。 · 建議在Context正常啟動後再為Context分配內存空間上限,如果Context僅創建未啟動,可能會由於內存不足,造成Context無法正常啟動。在Context啟動後,配置的內存上限值還不應過小,以免Context內業務申請不到內存後引起功能不正常。 |
設備能夠同時維持的會話連接總數是有限製的,為防止一個Context創建過多的會話,而導致其它Context無法創建新的會話,需要限製Context的會話並發數。用戶可以為每個Context配置最大的會話並發數。
Context會話並發數限製對本機流量不生效,例如:FTP、Telnet等業務。
如果設置的最大值比當前存在的會話總數小,配置仍會成功,但不允許新建會話,且已經創建的會話不會被刪除,依然生效。直到已建立的會話通過老化機製使得會話總數低於配置的最大值後,係統才允許新建會話。
會話新建速率是指設備在單位時間內所能夠完全處理的新會話請求數量。由於設備的處理能力有限,為防止一個Context的會話新建速率過高,而導致其它Context創建會話失敗,需要限製Context的會話新建速率。用戶可以為每個Context配置最大的會話新建速率。
Context會話新建速率限製對本機流量不生效,例如:FTP、Telnet等業務。
一個Context內可以配置多個安全策略。如果不加限製,會出現大量策略占用過多的內存的情況,影響Context的其它功能正常運行。所以,請根據需要為Context設置安全策略總數限製。當策略總數達到限製值時,後續不能新增策略。
如果設置的最大值比當前存在的安全策略總數小,配置仍會成功,多出的策略不會刪除,依然生效,但不能新增策略。
對Context的最大SSL VPN登錄用戶數進行限製後,當該Context的SSL VPN登錄用戶數達到最大數目時,該Context將不允許新的用戶登錄。
如果設置的數值小於當前Context的SSL VPN登錄用戶總數,則配置可以成功,但不再允許新的用戶登錄,且已經登錄的用戶不會被刪除,依然生效。直到已登錄的用戶通過老化機製下線或用戶主動下線,使得用戶總數低於配置的最大值後,係統才允許新的用戶登錄。
為了防止一個Context的報文過多而導致其它Context的報文被丟棄,需要限製Context的吞吐量。當啟用吞吐量限製時,係統優先處理協議報文,對於超過限製值的業務報文會被丟棄。
缺省Context中提供了一鍵收集多個或所有Context相關信息的功能。目前在缺省Context中可收集的信息包括日誌信息、診斷信息和配置信息。
此功能僅對使用共享接口且處於Active狀態的Context生效。
如果一個Context接收和處理的廣播報文和組播報文過多,將會導致其他Context處理業務能力的下降。因此需要限製Context接收廣播報文和組播報文的數量。
Context對入方向廣播報文和組播報文進行限速是通過整機接收報文限速和單個Context接收報文限速共同實現。當廣播報文或組播報文總速率和單個Context入方向廣播報文或組播報文速率均達到各自的閾值後,發往此Context的廣播報文或組播報文會被設備丟棄,否則不會被丟棄。
當整機或單個Context廣播/組播限速閾值為零時表示對接收報文不做速率限製。
當運行廣播或組播限速閾值低於1000時為係統缺省值,係統缺省值為廣播/組播報文總速率閾值除以使用共享接口且處於Active狀態的Context的數量。當運行廣播或組播限速閾值大於等於1000時,有可能是係統缺省值,也有可能是係統管理員配置的閾值。
停止Context會導致該Context的業務中斷,以及登錄該Context的用戶自動退出,請謹慎使用。
· 共享VLAN必須是設備上存在的VLAN。請先創建VLAN,再指定共享VLAN。
· VLAN 1不能被共享。
· 端口的缺省VLAN不能被共享。
· 已經創建了VLAN接口的VLAN不能被共享。
· 邏輯接口(如子接口、聚合接口等)僅支持共享方式分配,物理接口支持獨占和共享兩種方式分配。
· 如果子接口已經被分配,則不能再分配其父接口;如果父接口已經被分配,則不能再分配其子接口。
· 如果接口已經被共享分配,則不能再獨占分配。需將共享分配配置取消後,才能獨占分配。
· 當設備運行在集群模式時,禁止將集群物理端口分配給Context。
· 聚合接口的成員接口不能分配給Context。
· 冗餘口的成員接口不能分配給Context,當冗餘口的成員接口為子接口時,其子接口的主接口也不能分配給Context。
· 在缺省Context中,無法對從未啟動過的自定義Context進行日誌信息收集。
· 在缺省Context中,無法對處於未啟動狀態的自定義Context進行配置信息收集。
1. 查看接口分配情況,了解各接口的參數。
2. 創建並配置Context。
3. 為Context分配VLAN、接口、CPU、內存/磁盤、會話並發數、會話新建速率、安全策略數、SSL VPN登錄用戶數和吞吐量等資源。
4. 監控Context的資源使用情況。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
