問題描述:
1、Context與vSystem的區別
2、有沒有Context&RBM的最佳實踐
- 2025-05-07提問
- 舉報
-
(0)
最佳答案
通過虛擬化技術將一台物理設備劃分成多台邏輯設備,每台邏輯設備就稱為一個Context。每個Context擁有自己專屬的軟硬件資源,獨立運行。
對於用戶來說,每個Context就是一台獨立的設備,方便管理和維護;對於管理者來說,可以將一台物理設備虛擬成多台邏輯設備供不同的分支機構使用,可以保護現有投資,提高組網靈活性。
vSystem是一種輕量級的虛擬化技術,能將一台物理設備劃分為多台相互獨立的邏輯設備。每個vSystem相當於一台真實的設備對外服務,擁有獨立的接口、VLAN、路由表項、地址範圍、策略以及用戶/用戶組。相比Context而言,vSystem的係統開銷更小,因此設備能利用vSystem實現更多租戶的網絡隔離。
context場景RBM+OSPF:
context場景RBM+VRRP:
- 2025-05-07回答
- 評論(0)
- 舉報
-
(0)
官網有相應案例
//www.yolosolive.com/cn/pub/Document_Center/2023/08/WebHelp_H3C_SecPath_FHQCP_DXPZALJ(V7)/default_auto.htm?CHID=904200
//www.yolosolive.com/cn/pub/Document_Center/2023/08/WebHelp_H3C_SecPath_FHQCP_DXPZALJ(V7)/default_auto.htm?CHID=904200
Context與vSystem的區別如下:
- 資源隔離級別
- Context:基於硬件級虛擬化,每個Context擁有專屬的CPU、內存、接口及磁盤資源,實現完全資源隔離(如獨立轉發平麵)。
- vSystem:通常為邏輯分區,共享底層硬件資源(如CPU、內存),通過策略實現業務隔離,資源分配更靈活但隔離性較弱。
- 管理獨立性
- Context:每個Context作為獨立設備運行,擁有獨立配置界麵,支持分權管理(可為每個Context分配管理員)。
- vSystem:依賴根係統管理,部分配置需在根係統完成(如共享接口分配),管理權限集中度較高。
- 適用場景
- Context:適用於需嚴格租戶隔離的場景(如雲服務商為不同客戶提供獨立防火牆實例)。
- vSystem:適合企業內部多部門共享設備但需邏輯隔離的場景(如分支機構策略獨立管理)。
- 技術實現
- Context:通過虛擬化技術劃分獨立操作係統實例,支持共享/獨占資源分配(如接口可獨占或跨Context共享)。
- vSystem:基於策略和邏輯劃分,依賴根係統資源調度,部分命令在非缺省vSystem中受限(如不支持逐包負載分擔配置)。
- 擴展性
- Context:支持動態資源調整(如CPU權重分配),可隨業務增長靈活擴展。
- vSystem:擴展性受限於根係統資源,新增vSystem需評估整體資源餘量。
總結:Context提供硬件級隔離和獨立設備體驗,適合強隔離需求;vSystem側重邏輯分區和資源共享,適合輕量級多租戶場景。
- 2025-05-07回答
- 評論(0)
- 舉報
-
(0)
暫無評論
1、Context與vSystem的區別主要體現在以下幾個方麵:
1. **資源分配與利用**:Context技術將物理設備的資源(如CPU、內存、接口等)劃分為多個獨立的虛擬防火牆,每個Context擁有固定的資源分配,適用於對資源有明確需求和限製的場景。而vSystem則是一種更輕量級的虛擬化技術,它在資源分配上更加靈活,能夠實現更多租戶的網絡隔離,係統開銷更小。
2. **管理接口與配置**:Context和vSystem都提供獨立的管理接口,但Context的配置和管理更加獨立,每個Context可以有自己的管理用戶和權限,而vSystem則是在設備的全局配置模式下進行管理,共享部分設備資源和配置。
3. **業務隔離與靈活性**:Context提供更嚴格的業務隔離,每個Context可以獨立配置安全策略、路由表項等,適用於需要高度隔離的業務場景。而vSystem雖然也有業務隔離,但其隔離程度相對較低,更適合於需要快速部署和調整的場景。
關於Context&RBM的最佳實踐,由於具體實踐會根據網絡環境、業務需求、安全策略等因素有所不同,以下是一些通用的建議:
- **資源規劃**:在使用Context或vSystem前,應根據業務需求和網絡規模,合理規劃資源分配,確保每個虛擬防火牆或vSystem有足夠的資源來支持其業務。
- **安全策略配置**:無論是Context還是vSystem,都應根據業務需求配置適當的安全策略,包括訪問控製、防火牆規則、入侵檢測等,以確保網絡的安全性。
- **監控與維護**:定期監控Context或vSystem的運行狀態,包括資源使用情況、網絡流量、安全事件等,及時調整配置或升級設備,以保持網絡的穩定性和安全性。
- **備份與恢複**:為Context或vSystem配置定期的配置備份和數據備份策略,以便在設備故障或配置錯誤時能夠快速恢複。
- **性能優化**:根據網絡流量和業務需求,優化Context或vSystem的性能,包括調整資源分配、優化安全策略、使用負載均衡等。
請注意,以上建議是基於一般情況的指導,具體實施時應根據實際網絡環境和業務需求進行調整。
2、
CLI方式:虛擬化Context場景RBM+OSPF主備組網典型配置
使用版本
本舉例是在M9000-AI-E8的R9071版本上進行配置和驗證的。
組網需求
如下圖所示,某公司以Device設備作為bobty下载软件 中心的出口網關,對內部網絡的信息安全進行防護,為了滿足多租戶需求,可將Device設備虛擬成多台邏輯設備,每台虛擬設備相互獨立,擁有各自的安全策略。同時為了提高業務穩定性,使用兩台Device設備進行RBM的雙機熱備組網,具體組網需求如下:
在兩台Device設備上分別創建兩個非缺省Context,並以共享接口方式使用GigabitEthernet1/0/1和GigabitEthernet1/0/2。
正常情況下,Device A處理業務,Device B不處理,當其中主設備出現故障時,所有業務轉移到備設備上,備設備能正常處理業務。
主設備恢複正常後,流量重新切回原主,備設備不處理業務,原主設備正常處理業務。
圖-1 虛擬化Context環境中RBM+OSPF實現bobty下载软件 中心網關雙機熱備部署配置組網圖
圖-2 通過Context cnt1實現bobty下载软件 中心網關雙機熱備部署配置的邏輯組網圖
圖-3 通過Context cnt2實現bobty下载软件 中心網關雙機熱備部署配置的邏輯組網圖
注意事項
硬件環境一致
部署HA前,請先保證主/備設備硬件環境的一致性,具體要求如下:
主/備設備的型號必須一致。
主/備設備主控板的位置、數量和類型必須一致。
主/備設備業務板的位置、數量和類型必須一致。
主/備設備交換網板的位置、數量和類型必須一致。
主/備設備接口板的位置、數量和類型必須一致。
主/備設備上管理接口、業務接口、HA通道接口需要分別使用相互獨立的接口,且所使用的接口編號和類型必須一致。
主/備設備上硬盤的位置、數量和類型建議一致。未安裝硬盤的設備日誌存儲量將遠低於安裝了硬盤的設備,而且部分日誌和報表功能不可用。
軟件環境一致
部署HA前,請先保證主/備設備軟件環境的一致性,具體要求如下:
主/備設備的係統軟件環境及其版本必須一致,如:Boot包、System包、Feature包和補丁包等等。
主/備設備上被授權的特征庫和特性環境必須一致,如:特征庫的種類,每類特征庫的版本、授權時間範圍、授權的資源數等等。
主/備設備的接口編號必須一致。
主/備設備之間建立HA通道的接口類型、速率和編號等信息必須一致,推薦使用聚合接口。
主/備設備上聚合接口的編號、成員接口編號必須一致。
主/備設備相同位置的接口必須加入到相同的安全域。
主/備設備的HASH選擇CPU模式以及HASH因子都必須相同(即forwarding policy命令)。
配置步驟
配置Router A
配置接口IP地址
# 根據組網圖中規劃的信息,配置業務口的IPv4地址,具體配置步驟如下。
<RouterA> system-view
[RouterA] interface gigabitethernet 1/0/1.10
[RouterA-GigabitEthernet1/0/1.10] ip address 2.1.1.2 255.255.255.0
[RouterA-GigabitEthernet1/0/1.10] vlan-type dot1q vid 10
[RouterA-GigabitEthernet1/0/1.10] quit
[RouterA] interface gigabitethernet 1/0/2.10
[RouterA-GigabitEthernet1/0/2.10] ip address 2.1.10.2 255.255.255.0
[RouterA-GigabitEthernet1/0/2.10] vlan-type dot1q vid 10
[RouterA-GigabitEthernet1/0/2.10] quit
[RouterA] interface gigabitethernet 1/0/1.20
[RouterA-GigabitEthernet1/0/1.20] ip address 2.1.2.2 255.255.255.0
[RouterA-GigabitEthernet1/0/1.20] vlan-type dot1q vid 20
[RouterA-GigabitEthernet1/0/1.20] quit
[RouterA] interface gigabitethernet 1/0/2.20
[RouterA-GigabitEthernet1/0/2.20] ip address 2.1.12.2 255.255.255.0
[RouterA-GigabitEthernet1/0/2.20] vlan-type dot1q vid 20
[RouterA-GigabitEthernet1/0/2.20] quit
[RouterA] interface gigabitethernet 1/0/13
[RouterA-GigabitEthernet1/0/13] ip address 21.1.1.1 255.255.255.0
[RouterA-GigabitEthernet1/0/13] quit
[RouterA] interface gigabitethernet 1/0/14
[RouterA-GigabitEthernet1/0/14] ip address 21.1.2.1 255.255.255.0
[RouterA-GigabitEthernet1/0/14] quit
配置靜態路由
# 假設bobty下载软件 服務器Server 1到達外網的目的地址為30.1.1.1,下一跳IPv4地址為21.1.1.15,Server 2到達外網的目的地址為30.1.2.1,下一跳IPv4地址為21.1.2.15,實際環境中請以具體組網情況為準,配置步驟如下。
[RouterA] ip route-static 30.1.1.0 255.255.255.0 21.1.1.15
[RouterA] ip route-static 30.1.2.0 255.255.255.0 21.1.2.15
配置OSPF協議,並引入靜態路由
# 指定運行OSPF協議接口的IP地址位於網段2.1.1.0/24,2.1.2.0/24,2.1.10.0/24,2.1.12.0/24,21.1.1.0/24,21.1.2.0/24,接口所在的OSPF區域ID為0。
[RouterA] ospf 1 router-id 2.1.1.2
[RouterA-ospf-1] area 0.0.0.0
[RouterA-ospf-1-area-0.0.0.0] network 2.1.1.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] network 2.1.2.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] network 2.1.10.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] network 2.1.12.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] network 21.1.1.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] network 21.1.2.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] quit
[RouterA-ospf-1] import-route static
[RouterA-ospf-1] quit
配置Router B
配置接口IP地址
# 根據組網圖中規劃的信息,配置業務口的IPv4地址,具體配置步驟如下。
<RouterB> system-view
[RouterB] interface gigabitethernet 1/0/1.10
[RouterB-GigabitEthernet1/0/1.10] ip address 10.1.1.2 255.255.255.0
[RouterB-GigabitEthernet1/0/1.10] vlan-type dot1q vid 10
[RouterB-GigabitEthernet1/0/1.10] quit
[RouterB] interface gigabitethernet 1/0/2.10
[RouterB-GigabitEthernet1/0/2.10] ip address 10.1.10.2 255.255.255.0
[RouterB-GigabitEthernet1/0/2.10] vlan-type dot1q vid 10
[RouterB-GigabitEthernet1/0/2.10] quit
[RouterB] interface gigabitethernet 1/0/13
[RouterB-GigabitEthernet1/0/13] ip address 20.1.1.1 255.255.255.0
[RouterB-GigabitEthernet1/0/13] quit
[RouterB] interface gigabitethernet 1/0/1.20
[RouterB-GigabitEthernet1/0/1.20] ip address 10.1.2.2 255.255.255.0
[RouterB-GigabitEthernet1/0/1.20] vlan-type dot1q vid 20
[RouterB-GigabitEthernet1/0/1.20] quit
[RouterB] interface gigabitethernet 1/0/2.20
[RouterB-GigabitEthernet1/0/2.20] ip address 10.1.12.2 255.255.255.0
[RouterB-GigabitEthernet1/0/2.20] vlan-type dot1q vid 20
[RouterB-GigabitEthernet1/0/2.20] quit
[RouterB] interface gigabitethernet 1/0/14
[RouterB-GigabitEthernet1/0/14] ip address 20.1.2.1 255.255.255.0
[RouterB-GigabitEthernet1/0/14] quit
配置OSPF協議
# 指定運行OSPF協議接口的IP地址位於網段10.1.1.0/24,10.1.10.0/24,20.1.1.0/24,10.1.2.0/24,10.1.12.0/24,20.1.2.0/24接口所在的OSPF區域ID為0。
[RouterB] ospf 1 router-id 10.1.1.2
[RouterB-ospf-1] area 0.0.0.0
[RouterB-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] network 10.1.10.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] quit
[RouterB] ospf 2 router-id 10.1.2.2
[RouterB-ospf-2] area 0.0.0.0
[RouterB-ospf-2-area-0.0.0.0] network 10.1.2.0 0.0.0.255
[RouterB-ospf-2-area-0.0.0.0] network 10.1.12.0 0.0.0.255
[RouterB-ospf-2-area-0.0.0.0] network 20.1.2.0 0.0.0.255
[RouterB-ospf-2-area-0.0.0.0] quit
配置Device A
配置非缺省Context cnt1
配置非缺省Context cnt1
# Context創建後必須進駐安全引擎(通過將Context進駐安全引擎組來實現),才有實際運行的環境,才能運行業務。本舉例以進駐缺省安全引擎組為例。
<DeviceA> system-view
[DeviceA] context cnt1
[DeviceA-context-2-cnt1] location blade-controller-team 1
[DeviceA-context-2-cnt1] allocate interface gigabitethernet 1/0/1 share
[DeviceA-context-2-cnt1] allocate interface gigabitethernet 1/0/2 share
[DeviceA-context-2-cnt1] context start
[DeviceA-context-2-cnt1] quit
在非缺省Context cnt1下配置接口IP地址
# 根據組網圖中規劃的信息,配置業務口的IPv4地址,以太網子接口隻有在關聯了VLAN後才能正常收發報文,開啟子接口的Dot1q終結功能,實現VLAN間流量互通,具體配置步驟如下。
[DeviceA] switchto context cnt1
<DeviceA> system-view
[DeviceA] sysname DeviceA_cnt1
[DeviceA_cnt1] interface gigabitethernet1/0/1.10
[DeviceA_cnt1-GigabitEthernet1/0/1.10] ip address 2.1.1.1 255.255.255.0
[DeviceA_cnt1-GigabitEthernet1/0/1.10] vlan-type dot1q vid 10
[DeviceA_cnt1-GigabitEthernet1/0/1.10] quit
[DeviceA_cnt1] interface gigabitethernet1/0/2.10
[DeviceA_cnt1-GigabitEthernet1/0/2.10] ip address 10.1.1.1 255.255.255.0
[DeviceA_cnt1-GigabitEthernet1/0/2.10] vlan-type dot1q vid 10
[DeviceA_cnt1-GigabitEthernet1/0/2.10] quit
配置接口加入安全域
# 根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA_cnt1] security-zone name untrust
[DeviceA_cnt1-security-zone-Untrust] import interface gigabitethernet 1/0/1.10
[DeviceA_cnt1-security-zone-Untrust] quit
[DeviceA_cnt1] security-zone name trust
[DeviceA_cnt1-security-zone-Trust] import interface gigabitethernet 1/0/2.10
[DeviceA_cnt1-security-zone-Trust] quit
配置OSPF,保證路由可達
[DeviceA_cnt1] ospf 1 router-id 2.1.1.1
[DeviceA_cnt1-ospf-1] area 0.0.0.0
[DeviceA_cnt1-ospf-1-area-0.0.0.0] network 2.1.1.0 0.0.0.255
[DeviceA_cnt1-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA_cnt1-ospf-1-area-0.0.0.0] quit
[DeviceA_cnt1-ospf-1] quit
配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,雙機熱備組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA_cnt1] security-policy ip
[DeviceA_cnt1-security-policy-ip] rule 0 name trust-untrust
[DeviceA_cnt1-security-policy-ip-0-trust-untrust] source-zone trust
[DeviceA_cnt1-security-policy-ip-0-trust-untrust] destination-zone untrust
[DeviceA_cnt1-security-policy-ip-0-trust-untrust] source-ip-subnet 20.1.1.0 24
[DeviceA_cnt1-security-policy-ip-0-trust-untrust] action pass
[DeviceA_cnt1-security-policy-ip-0-trust-untrust] quit
# 配置安全策略規則,允許OSPF協議報文通過,保證OSPF鄰居的建立和路由的學習。
[DeviceA_cnt1-security-policy-ip] rule 1 name ospf1
[DeviceA_cnt1-security-policy-ip-1-ospf1] source-zone trust
[DeviceA_cnt1-security-policy-ip-1-ospf1] destination-zone local
[DeviceA_cnt1-security-policy-ip-1-ospf1] action pass
[DeviceA_cnt1-security-policy-ip-1-ospf1] service ospf
[DeviceA_cnt1-security-policy-ip-1-ospf1] quit
[DeviceA_cnt1-security-policy-ip] rule 2 name ospf2
[DeviceA_cnt1-security-policy-ip-2-ospf2] source-zone local
[DeviceA_cnt1-security-policy-ip-2-ospf2] destination-zone trust
[DeviceA_cnt1-security-policy-ip-2-ospf2] action pass
[DeviceA_cnt1-security-policy-ip-2-ospf2] service ospf
[DeviceA_cnt1-security-policy-ip-2-ospf2] quit
[DeviceA_cnt1-security-policy-ip] rule 3 name ospf3
[DeviceA_cnt1-security-policy-ip-3-ospf3] source-zone untrust
[DeviceA_cnt1-security-policy-ip-3-ospf3] destination-zone local
[DeviceA_cnt1-security-policy-ip-3-ospf3] action pass
[DeviceA_cnt1-security-policy-ip-3-ospf3] service ospf
[DeviceA_cnt1-security-policy-ip-3-ospf3] quit
[DeviceA_cnt1-security-policy-ip] rule 4 name ospf4
[DeviceA_cnt1-security-policy-ip-4-ospf4] source-zone local
[DeviceA_cnt1-security-policy-ip-4-ospf4] destination-zone untrust
[DeviceA_cnt1-security-policy-ip-4-ospf4] action pass
[DeviceA_cnt1-security-policy-ip-4-ospf4] service ospf
[DeviceA_cnt1-security-policy-ip-4-ospf4] quit
[DeviceA_cnt1-security-policy-ip] quit
[DeviceA_cnt1] quit
<DeviceA_cnt1> quit
配置非缺省Context cnt2
配置非缺省Context cnt2
# 將Context進駐缺省安全引擎組。
<DeviceA> system-view
[DeviceA] context cnt2
[DeviceA-context-3-cnt2] location blade-controller-team 1
[DeviceA-context-3-cnt2] allocate interface gigabitethernet 1/0/1 share
[DeviceA-context-3-cnt2] allocate interface gigabitethernet 1/0/2 share
[DeviceA-context-3-cnt2] context start
[DeviceA-context-3-cnt2] quit
在非缺省Context cnt2下配置接口IP地址
# 根據組網圖中規劃的信息,配置業務口的IPv4地址,以太網子接口隻有在關聯了VLAN後才能正常收發報文,開啟子接口的Dot1q終結功能,實現VLAN間流量互通,具體配置步驟如下。
[DeviceA] switchto context cnt2
<DeviceA> system-view
[DeviceA] sysname DeviceA_cnt2
[DeviceA_cnt2] interface gigabitethernet1/0/1.20
[DeviceA_cnt2-GigabitEthernet1/0/1.20] ip address 2.1.2.1 255.255.255.0
[DeviceA_cnt2-GigabitEthernet1/0/1.20] vlan-type dot1q vid 20
[DeviceA_cnt2-GigabitEthernet1/0/1.20] quit
[DeviceA_cnt2] interface gigabitethernet1/0/2.20
[DeviceA_cnt2-GigabitEthernet1/0/2.20] ip address 10.1.2.1 255.255.255.0
[DeviceA_cnt2-GigabitEthernet1/0/2.20] vlan-type dot1q vid 20
[DeviceA_cnt2-GigabitEthernet1/0/2.20] quit
配置接口加入安全域
# 根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA_cnt2] security-zone name untrust
[DeviceA_cnt2-security-zone-Untrust] import interface gigabitethernet 1/0/1.20
[DeviceA_cnt2-security-zone-Untrust] quit
[DeviceA_cnt2] security-zone name trust
[DeviceA_cnt2-security-zone-Trust] import interface gigabitethernet 1/0/2.20
[DeviceA_cnt2-security-zone-Trust] quit
配置OSPF,保證路由可達
[DeviceA_cnt2] ospf 2 router-id 2.1.2.1
[DeviceA_cnt2-ospf-2] area 0.0.0.0
[DeviceA_cnt2-ospf-2-area-0.0.0.0] network 2.1.2.0 0.0.0.255
[DeviceA_cnt2-ospf-2-area-0.0.0.0] network 10.1.2.0 0.0.0.255
[DeviceA_cnt2-ospf-2-area-0.0.0.0] quit
[DeviceA_cnt2-ospf-2] quit
配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,雙機熱備組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA_cnt2] security-policy ip
[DeviceA_cnt2-security-policy-ip] rule 0 name trust-untrust
[DeviceA_cnt2-security-policy-ip-0-trust-untrust] source-zone trust
[DeviceA_cnt2-security-policy-ip-0-trust-untrust] destination-zone untrust
[DeviceA_cnt2-security-policy-ip-0-trust-untrust] source-ip-subnet 20.1.2.0 24
[DeviceA_cnt2-security-policy-ip-0-trust-untrust] action pass
[DeviceA_cnt2-security-policy-ip-0-trust-untrust] quit
# 配置安全策略規則,允許OSPF協議報文通過,保證OSPF鄰居的建立和路由的學習。
[DeviceA_cnt2-security-policy-ip] rule 1 name ospf1
[DeviceA_cnt2-security-policy-ip-1-ospf1] source-zone trust
[DeviceA_cnt2-security-policy-ip-1-ospf1] destination-zone local
[DeviceA_cnt2-security-policy-ip-1-ospf1] action pass
[DeviceA_cnt2-security-policy-ip-1-ospf1] service ospf
[DeviceA_cnt2-security-policy-ip-1-ospf1] quit
[DeviceA_cnt2-security-policy-ip] rule 2 name ospf2
[DeviceA_cnt2-security-policy-ip-2-ospf2] source-zone local
[DeviceA_cnt2-security-policy-ip-2-ospf2] destination-zone trust
[DeviceA_cnt2-security-policy-ip-2-ospf2] action pass
[DeviceA_cnt2-security-policy-ip-2-ospf2] service ospf
[DeviceA_cnt2-security-policy-ip-2-ospf2] quit
[DeviceA_cnt2-security-policy-ip] rule 3 name ospf3
[DeviceA_cnt2-security-policy-ip-3-ospf3] source-zone untrust
[DeviceA_cnt2-security-policy-ip-3-ospf3] destination-zone local
[DeviceA_cnt2-security-policy-ip-3-ospf3] action pass
[DeviceA_cnt2-security-policy-ip-3-ospf3] service ospf
[DeviceA_cnt2-security-policy-ip-3-ospf3] quit
[DeviceA_cnt2-security-policy-ip] rule 4 name ospf4
[DeviceA_cnt2-security-policy-ip-4-ospf4] source-zone local
[DeviceA_cnt2-security-policy-ip-4-ospf4] destination-zone untrust
[DeviceA_cnt2-security-policy-ip-4-ospf4] action pass
[DeviceA_cnt2-security-policy-ip-4-ospf4] service ospf
[DeviceA_cnt2-security-policy-ip-4-ospf4] quit
[DeviceA_cnt2-security-policy-ip] quit
[DeviceA_cnt2] quit
<DeviceA_cnt2> quit
配置雙機熱備
配置雙機熱備
# 配置RBM通道接口IP地址
[DeviceA] interface gigabitethernet 1/0/6
[DeviceA-GigabitEthernet1/0/6] ip address 10.2.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/6] quit
# 配置Track項監控接口狀態。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用兩台Device進行雙機熱備組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/6
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
# 開啟雙機熱備調整備設備上動態路由協議OSPF的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置雙機熱備與Track項聯動。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
配置安全業務
# 以上有關雙機熱備的配置部署完成後,可以配置各種安全業務。對於雙機熱備支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
配置Device B
配置非缺省Context cnt1
配置非缺省Context cnt1
# 將Context進駐缺省安全引擎組。
<DeviceB> system-view
[DeviceB] context cnt1
[DeviceB-context-2-cnt1] location blade-controller-team 1
[DeviceB-context-2-cnt1] allocate interface gigabitethernet 1/0/1 share
[DeviceB-context-2-cnt1] allocate interface gigabitethernet 1/0/2 share
[DeviceB-context-2-cnt1] context start
[DeviceB-context-2-cnt1] quit
在非缺省Context cnt1下配置接口IP地址
# 根據組網圖中規劃的信息,配置業務口的IPv4地址,以太網子接口隻有在關聯了VLAN後才能正常收發報文,開啟子接口的Dot1q終結功能,實現VLAN間流量互通,具體配置步驟如下。
[DeviceB] switchto context cnt1
<DeviceB> system-view
[DeviceB] sysname DeviceB_cnt1
[DeviceB_cnt1] interface gigabitethernet1/0/1.10
[DeviceB_cnt1-GigabitEthernet1/0/1.10] ip address 2.1.10.1 255.255.255.0
[DeviceB_cnt1-GigabitEthernet1/0/1.10] vlan-type dot1q vid 10
[DeviceB_cnt1-GigabitEthernet1/0/1.10] quit
[DeviceB_cnt1] interface gigabitethernet1/0/2.10
[DeviceB_cnt1-GigabitEthernet1/0/2.10] ip address 10.1.10.1 255.255.255.0
[DeviceB_cnt1-GigabitEthernet1/0/2.10] vlan-type dot1q vid 10
[DeviceB_cnt1-GigabitEthernet1/0/2.10] quit
配置接口加入安全域
# 根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB_cnt1] security-zone name untrust
[DeviceB_cnt1-security-zone-Untrust] import interface gigabitethernet 1/0/1.10
[DeviceB_cnt1-security-zone-Untrust] quit
[DeviceB_cnt1] security-zone name trust
[DeviceB_cnt1-security-zone-Trust] import interface gigabitethernet 1/0/2.10
[DeviceB_cnt1-security-zone-Trust] quit
配置OSPF,保證路由可達
[DeviceB_cnt1] ospf 1 router-id 2.1.10.1
[DeviceB_cnt1-ospf-1] area 0.0.0.0
[DeviceB_cnt1-ospf-1-area-0.0.0.0] network 2.1.10.0 0.0.0.255
[DeviceB_cnt1-ospf-1-area-0.0.0.0] network 10.1.10.0 0.0.0.255
[DeviceB_cnt1-ospf-1-area-0.0.0.0] quit
配置非缺省Context cnt2
配置非缺省Context cnt2
# 將Context進駐缺省安全引擎組。
<DeviceB> system-view
[DeviceB] context cnt2
[DeviceB-context-3-cnt2] location blade-controller-team 1
[DeviceB-context-3-cnt2] allocate interface gigabitethernet 1/0/1 share
[DeviceB-context-3-cnt2] allocate interface gigabitethernet 1/0/2 share
[DeviceB-context-3-cnt2] context start
[DeviceB-context-3-cnt2] quit
在非缺省Context cnt2下配置接口IP地址
# 根據組網圖中規劃的信息,配置業務口的IPv4地址,以太網子接口隻有在關聯了VLAN後才能正常收發報文,開啟子接口的Dot1q終結功能,實現VLAN間流量互通,具體配置步驟如下。
[DeviceB] switchto context cnt2
<DeviceB> system-view
[DeviceB] sysname DeviceB_cnt2
[DeviceB_cnt2] interface gigabitethernet1/0/1.20
[DeviceB_cnt2-GigabitEthernet1/0/1.20] ip address 2.1.12.1 255.255.255.0
[DeviceB_cnt2-GigabitEthernet1/0/1.20] vlan-type dot1q vid 20
[DeviceB_cnt2-GigabitEthernet1/0/1.20] quit
[DeviceB_cnt2] interface gigabitethernet1/0/2.20
[DeviceB_cnt2-GigabitEthernet1/0/2.20] ip address 10.1.12.1 255.255.255.0
[DeviceB_cnt2-GigabitEthernet1/0/2.20] vlan-type dot1q vid 20
[DeviceB_cnt2-GigabitEthernet1/0/2.20] quit
配置接口加入安全域
# 根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB_cnt2] security-zone name untrust
[DeviceB_cnt2-security-zone-Untrust] import interface gigabitethernet 1/0/1.20
[DeviceB_cnt2-security-zone-Untrust] quit
[DeviceB_cnt2] security-zone name trust
[DeviceB_cnt2-security-zone-Trust] import interface gigabitethernet 1/0/2.20
[DeviceB_cnt2-security-zone-Trust] quit
配置OSPF,保證路由可達
[DeviceB_cnt2] ospf 2 router-id 2.1.12.1
[DeviceB_cnt2-ospf-2] area 0.0.0.0
[DeviceB_cnt2-ospf-2-area-0.0.0.0] network 2.1.12.0 0.0.0.255
[DeviceB_cnt2-ospf-2-area-0.0.0.0] network 10.1.12.0 0.0.0.255
[DeviceB_cnt2-ospf-2-area-0.0.0.0] quit
配置雙機熱備
# 配置RBM通道接口IP地址
[DeviceB] interface gigabitethernet 1/0/6
[DeviceB-GigabitEthernet1/0/6] ip address 10.2.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/6] quit
# 配置Track項監控接口狀態。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用兩台Device進行雙機熱備組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/6
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
# 開啟雙機熱備調整備設備上動態路由協議OSPF的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置雙機熱備與序號為1和2的Track項聯動。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
驗證配置
Device A
# 以上配置完成後,通過執行以下顯示命令可查看雙機熱備配置已生效,RBM通道已建立。
RBM_P<DeviceA> display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigE1/0/6
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 0 hours, 58 minutes
Switchover records:
Time Status change Cause
2022-11-06 15:12:01 Initial to Active Interface status changed
Device A Context cnt1
# 以上配置完成後,通過查看Device A Context cnt1的OSPF路由信息,可看到Device A Context cnt1的Cost值小於Device B Context cnt1,上下行流量經過Device A的Context cnt1轉發。
RBM_P<DeviceA_cnt1> display ospf interface
OSPF Process 1 with Router ID 2.1.1.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.1.1 Broadcast BDR 1 1 2.1.1.2 2.1.1.1
10.1.1.1 Broadcast BDR 1 1 10.1.1.2 10.1.1.1
Device A Context cnt2
# 以上配置完成後,通過查看Device A Context cnt2的OSPF路由信息,可看到Device A Context cnt2的Cost值小於Device B Context cnt2,上下行流量經過Device A的Context cnt2轉發。
RBM_P<DeviceA_cnt2> display ospf interface
OSPF Process 1 with Router ID 2.1.2.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.2.1 Broadcast DR 1 1 2.1.2.1 2.1.2.2
10.1.2.1 Broadcast DR 1 1 10.1.2.1 10.1.2.2
Device B
# 以上配置完成後,通過執行以下顯示命令可查看雙機熱備配置已生效,RBM通道已建立。
RBM_S<DeviceB> display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigE1/0/6
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 1 hours, 2 minutes
Switchover records:
Time Status change Cause
2022-11-06 13:48:26 Initial to Standby Interface status changed
Device B Context cnt1
# 以上配置完成後,通過查看Device B Context cnt1的OSPF路由信息,可看到Device A Context cnt1的Cost值小於Device B Context cnt1,上下行流量不經過Device B Context cnt1轉發。
RBM_S<DeviceB_cnt1> display ospf interface
OSPF Process 1 with Router ID 2.1.10.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.10.1 Broadcast DR 6000 1 2.1.10.1 2.1.10.2
10.1.10.1 Broadcast BDR 6000 1 10.1.10.2 10.1.10.1
Device B Context cnt2
# 以上配置完成後,通過查看Device B Context cnt2的OSPF路由信息,可看到Device A Context cnt2的Cost值小於Device B Context cnt2,上下行流量不經過Device B Context cnt2轉發。
RBM_S<DeviceB_cnt2> display ospf interface
OSPF Process 1 with Router ID 2.1.12.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.12.1 Broadcast DR 6000 1 2.1.12.1 2.1.12.2
10.1.12.1 Broadcast BDR 6000 1 10.1.12.2 10.1.12.1
模擬主設備故障
模擬Device A Context cnt1故障
# 設備正常運行情況下,將主管理設備接口關閉,主設備通過RBM通道將業務切換到對端處理,保證業務不中斷,Device B Context cnt1上的會話信息:
RBM_S<DeviceB_cnt1> display session table ipv4 source-ip 20.1.1.100 verbose
Slot 1:
Initiator:
Source IP/port: 20.1.1.100/5154
Destination IP/port: 21.1.1.100/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigE1/0/2.10
Source security zone: Trust
Responder:
Source IP/port: 21.1.1.100/2048
Destination IP/port: 20.1.1.100/5154
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigE1/0/1.10
Source security zone: Untrust
State: ICMP_REPLY
Application: ICMP
Rule ID: 0
Rule name: trust-untrust
Start time: 2022-11-06 16:41:48 TTL: 29s
Initiator->Responder: 59 packets 4956 bytes
Responder->Initiator: 59 packets 4956 bytes
模擬Device A Context cnt2故障
# 設備正常運行情況下,將主管理設備接口關閉,主設備通過RBM通道將業務切換到對端處理,保證業務不中斷,Device B Context cnt2上的會話信息:
RBM_S<DeviceB_cnt2> display session table ipv4 source-ip 20.1.2.100 verbose
Slot 1:
Initiator:
Source IP/port: 20.1.2.100/5154
Destination IP/port: 21.1.2.100/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigE1/0/2.20
Source security zone: Trust
Responder:
Source IP/port: 21.1.2.100/2048
Destination IP/port: 20.1.2.100/5154
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigE1/0/1.20
Source security zone: Untrust
State: ICMP_REPLY
Application: ICMP
Rule ID: 0
Rule name: trust-untrust
Start time: 2022-11-06 15:30:48 TTL: 30s
Initiator->Responder: 59 packets 5556 bytes
Responder->Initiator: 59 packets 5556 bytes
- 2025-05-07回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論