H3C SecPath M9000產(chǎn)品培訓(xùn)

1、H3C SecPath M9000產(chǎn)品培訓(xùn)產(chǎn)品培訓(xùn)ISSUE 1.0作者：翟運(yùn)波杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播日期：2014-03-10n 了解了解SecPath M9000產(chǎn)品的硬件架構(gòu)產(chǎn)品的硬件架構(gòu)n 掌握掌握SecPath M9000產(chǎn)品的軟件特性產(chǎn)品的軟件特性n 熟悉熟悉SecPath M9000產(chǎn)品產(chǎn)品的典型應(yīng)用的典型應(yīng)用課程目標(biāo)課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：學(xué)習(xí)完本課程，您應(yīng)該能夠：n SecPath M9000產(chǎn)品硬件架構(gòu)產(chǎn)品硬件架構(gòu)n SecPath M9000產(chǎn)品軟件特性產(chǎn)品軟件特性n SecPath M9000典型應(yīng)用典型應(yīng)用目錄目錄3Sec

2、Path M9000系列多業(yè)務(wù)安全網(wǎng)關(guān)系列多業(yè)務(wù)安全網(wǎng)關(guān)n產(chǎn)品定位：產(chǎn)品定位：大型數(shù)據(jù)中心 、大型企業(yè)及園區(qū)網(wǎng)出口、云服務(wù)提供商多租戶、運(yùn)營(yíng)商CGN等場(chǎng)景n產(chǎn)品形態(tài)：產(chǎn)品形態(tài)：全分布式硬件架構(gòu)、多業(yè)務(wù)安全網(wǎng)關(guān)M9006M9010M4全分布式硬件全分布式硬件架構(gòu)架構(gòu)交換引擎交換引擎交換引擎業(yè)務(wù)引擎處理器主控引擎處理器主控引擎處理器業(yè)務(wù)引擎處理器接口單元處理器交換引擎控制控制、交換、業(yè)務(wù)、交換、業(yè)務(wù)、接口接口完全物理完全物理分離分離！業(yè)務(wù)引擎就是各種安全板卡，可以對(duì)數(shù)據(jù)進(jìn)行安全檢測(cè)、過(guò)濾和審計(jì)等。接口單元提供各種豐富、靈活的接口，方便業(yè)務(wù)接入。主控引擎是設(shè)備的控制中心，負(fù)責(zé)設(shè)備的硬件監(jiān)控、配置管理

3、等工作。123交換引擎負(fù)責(zé)接口板和業(yè)務(wù)板之間數(shù)據(jù)的高速轉(zhuǎn)發(fā)。4主主控引擎控引擎、業(yè)務(wù)引擎業(yè)務(wù)引擎、交換引擎交換引擎、接口、接口單元單元完全物理完全物理分離分離5多業(yè)務(wù)安全網(wǎng)關(guān)多業(yè)務(wù)安全網(wǎng)關(guān)大規(guī)模策略訪問(wèn)控制多樣化VPN接入多鏈路智能調(diào)度全面流量分析高性能DDoS防護(hù)高性能入侵防御服務(wù)器負(fù)載均衡精細(xì)化應(yīng)用管控大容量NAT專業(yè)病毒防護(hù)虛機(jī)擴(kuò)容動(dòng)態(tài)云計(jì)算虛擬化安全防火墻FW負(fù)載均衡LBSSLVPN網(wǎng)流分析NSM入侵防御IPS應(yīng)用控制ACG6SecPath M9000產(chǎn)品硬件特性產(chǎn)品硬件特性M9006M9010M9014主控板槽位數(shù)量主控板槽位數(shù)量222業(yè)務(wù)板業(yè)務(wù)板+接口板槽位數(shù)量接口板槽位數(shù)量481

4、2交換網(wǎng)板槽位數(shù)量交換網(wǎng)板槽位數(shù)量444整機(jī)整機(jī)交換容量交換容量1.92Tbps8.96Tbps13.44Tbps每槽位每槽位帶寬帶寬480Gbps1120Gbps1120Gbps電源槽位數(shù)量電源槽位數(shù)量466風(fēng)扇槽位數(shù)量風(fēng)扇槽位數(shù)量7SecPath M9000產(chǎn)品產(chǎn)品外觀外觀主控引擎安全/接口業(yè)務(wù)板電源M9006M9010M8SecPath M9000產(chǎn)品外觀產(chǎn)品外觀風(fēng)扇交換網(wǎng)板出風(fēng)口M9006M9010M9SecPath M9000產(chǎn)品主控引擎產(chǎn)品主控引擎nSecPath M9000全系列產(chǎn)品共用一款主控引全系列產(chǎn)品共用一款主控引擎，每個(gè)框支持擎，每個(gè)框支持2塊，可以實(shí)現(xiàn)塊，可以實(shí)現(xiàn)1+1

5、備份。備份。NSQM1SUPB0CPU多核（多核（XLP316）內(nèi)存內(nèi)存8GFlash512MConsole 1管理口管理口10SecPath M9000產(chǎn)品接口板產(chǎn)品接口板高密萬(wàn)兆高速40/100G高密千兆NSQM1GP24TXEA0NSQM1GP48EB0NSQM1GT48EA0NSQM1TGS8EA0NSQM1TGX4EA0NSQM1TGS32SF0NSQM1QGS4SF0NSQM1CGC2SE11SecPath M9000高性能安全業(yè)務(wù)高性能安全業(yè)務(wù)處理板處理板FW吞吐量并發(fā)連接數(shù)每秒新建連接40G3000萬(wàn)60萬(wàn)LB吞吐量（L4）吞吐量（L7）并發(fā)連接數(shù)每秒新建連接20G10G300

6、0萬(wàn)60萬(wàn)IPS吞吐量并發(fā)連接數(shù)每秒新建連接15G3000萬(wàn)20萬(wàn)12SecPath M9000兼容安全業(yè)務(wù)兼容安全業(yè)務(wù)處理板處理板ACG吞吐量并發(fā)連接數(shù)每秒新建連接2G200萬(wàn)5萬(wàn)SSLVPN吞吐量最大在線用戶數(shù)每秒新建連接2G100005000NSM吞吐量IPv4流數(shù)量IPv6流數(shù)量4G250萬(wàn)56萬(wàn)13SecPath M9000全系列安全業(yè)務(wù)板全系列安全業(yè)務(wù)板現(xiàn)階段現(xiàn)階段NSQM1FWCEA0FirewallLBIPSNSMACGSSL VPN將來(lái)將來(lái)NSQM1FWCEA0LSQM1LBSC0LSU1IPSBEA0LSQM1NSMSC0LSQM1ACGSC0LSQM1SSLSC0NSQM

7、1LBCEA0NSQM1IPSCEA0NSQMNSMCEA14SecPath M9000產(chǎn)品規(guī)格產(chǎn)品規(guī)格吞吐量吞吐量防火墻吞吐量(大包)120G240G400G防火墻吞吐量(混合包)105G210G350G包轉(zhuǎn)發(fā)率(64Bytes)36M72M120M并發(fā)連接數(shù)并發(fā)連接數(shù)并發(fā)連接數(shù)9000萬(wàn)1.8億3億每秒新建連接數(shù)每秒新建連接數(shù)每秒新建連接數(shù)（HTTP）180萬(wàn)/秒360萬(wàn)/秒600萬(wàn)/秒M9006M9010M15SecPath M9000產(chǎn)品產(chǎn)品形態(tài)形態(tài)V7機(jī)框機(jī)框+V5安全板卡安全板卡FWLBIPSV7機(jī)框機(jī)框+V7安全板卡安全板卡FWLBIPS16SecPath M9000交換引擎交換

8、引擎n 高速的交換芯片高速的交換芯片n 先進(jìn)的先進(jìn)的CLOS架構(gòu)架構(gòu)n 支持支持N+1冗余備份冗余備份M9006：NSQM1FAB04B0M9010：NSQM1FAB08D0M9014：NSQM1FAB12D0網(wǎng)板型號(hào)網(wǎng)板型號(hào)適用機(jī)框適用機(jī)框每網(wǎng)板帶寬每網(wǎng)板帶寬(High speed) 每網(wǎng)板帶寬每網(wǎng)板帶寬(Low speed) NSQ1FAB04B0M9006480Gbps/720Mpps 80Gbps/120Mpps NSQ1FAB08D0M9010960Gbps/1.44Gpps 160Gbps/240Mpps NSQ1FAB12D0M90141400Gbp/2.16Gpps 240Gb

9、ps/360Mpps 17SecPath M9000電源模塊電源模塊u SecPath M9000兩種電源所有機(jī)框通用，兩種電源所有機(jī)框通用，M9006最多最多支持支持4個(gè)個(gè)電源電源，M9010/M9014最多最多可可支持支持6個(gè)個(gè)電源。電源。u M9000電源電源支持支持N+M 配置模式，靈活根據(jù)系統(tǒng)功耗配置模塊配置模式，靈活根據(jù)系統(tǒng)功耗配置模塊數(shù)量。數(shù)量。LSUM1AC2500LSUM1DC2400電源型號(hào)電源型號(hào)電源類型電源類型輸入電壓和電流范圍輸入電壓和電流范圍最大輸出功率最大輸出功率LSUM1AC2500 交流電源模塊100240V AC；50/60Hz；16A 2500WLSUM1

10、DC2400 直流電源模塊-48V-60V DC；60A2400W18SecPath M9000風(fēng)扇模塊風(fēng)扇模塊n SecPath M9000 風(fēng)扇風(fēng)扇采用采用冗余設(shè)計(jì)，冗余設(shè)計(jì)，風(fēng)扇支持智能自動(dòng)調(diào)速風(fēng)扇支持智能自動(dòng)調(diào)速，同時(shí)同時(shí)風(fēng)扇也支持設(shè)置特定風(fēng)扇也支持設(shè)置特定轉(zhuǎn)速，可查詢轉(zhuǎn)速，可查詢風(fēng)扇上各個(gè)葉片實(shí)時(shí)風(fēng)扇上各個(gè)葉片實(shí)時(shí)轉(zhuǎn)轉(zhuǎn)速。速。M9006風(fēng)扇M9010風(fēng)扇M9014風(fēng)扇19SecPath M9000防塵網(wǎng)防塵網(wǎng)l 防塵網(wǎng)安裝防塵網(wǎng)安裝在機(jī)箱散熱風(fēng)道的進(jìn)在機(jī)箱散熱風(fēng)道的進(jìn)風(fēng)口風(fēng)口,用于防止大用于防止大量灰塵被吸入機(jī)箱內(nèi)部。量灰塵被吸入機(jī)箱內(nèi)部。M9006有有兩兩塊防塵網(wǎng)，塊防塵網(wǎng)，M90

11、10有有一一塊，塊，M9014有有三三塊。塊。M9000的的防塵網(wǎng)防塵網(wǎng)屬于可選屬于可選部件。部件。n SecPath M9000產(chǎn)品硬件架構(gòu)產(chǎn)品硬件架構(gòu)n SecPath M9000產(chǎn)品軟件特性產(chǎn)品軟件特性n SecPath M9000典型應(yīng)用典型應(yīng)用目錄目錄21SecPath M9000系統(tǒng)軟件架構(gòu)系統(tǒng)軟件架構(gòu)主控引擎軟件系統(tǒng)主控引擎軟件系統(tǒng)接口板業(yè)務(wù)引擎軟件系統(tǒng)業(yè)務(wù)引擎軟件系統(tǒng)主控引擎FWLBIPSComwareComwareComwareiWareDrivers業(yè)務(wù)分流業(yè)務(wù)分流QOS報(bào)文報(bào)文轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)組播復(fù)制組播復(fù)制BFD會(huì)話管理會(huì)話管理域域間策略間策略NATVPN報(bào)文異常檢測(cè)報(bào)文異常檢

12、測(cè)DoS/DDoS攻攻擊防范擊防范應(yīng)用控制應(yīng)用控制虛擬虛擬防火墻防火墻L4服務(wù)器負(fù)載服務(wù)器負(fù)載L7服務(wù)器負(fù)載服務(wù)器負(fù)載Outbound鏈鏈路負(fù)載路負(fù)載Inbound鏈路鏈路負(fù)載負(fù)載健康性檢測(cè)健康性檢測(cè)就近性探測(cè)就近性探測(cè)持續(xù)性持續(xù)性病毒防御病毒防御攻擊檢測(cè)攻擊檢測(cè)URL過(guò)濾過(guò)濾DDoS防范防范帶寬管理帶寬管理日志和報(bào)表日志和報(bào)表高可靠性高可靠性設(shè)備管理設(shè)備管理配置管理配置管理協(xié)議協(xié)議交互交互表表項(xiàng)下發(fā)項(xiàng)下發(fā)集群管理集群管理日志監(jiān)控日志監(jiān)控 22智能分流框架（智能分流框架（IFF）防火墻模塊防火墻模塊防火墻模塊防火墻模塊登錄Master，配置策略策略自動(dòng)下發(fā)到所有業(yè)務(wù)模塊業(yè)務(wù)流自接口單元進(jìn)入智能

13、分流，全業(yè)務(wù)負(fù)載分擔(dān)主控引擎1主控引擎2防火墻模塊防火墻模塊防火墻模塊IPS模塊LB模塊接口模塊業(yè)務(wù)引擎動(dòng)態(tài)加入/退出，流量自動(dòng)分擔(dān)多業(yè)務(wù)智能調(diào)度交交換換網(wǎng)網(wǎng)智能業(yè)務(wù)分發(fā)交交換換網(wǎng)網(wǎng)23單一類型業(yè)務(wù)引擎智能單一類型業(yè)務(wù)引擎智能分流分流IO引擎FW業(yè)務(wù)引擎FW業(yè)務(wù)引擎FW業(yè)務(wù)引擎主控根據(jù)業(yè)務(wù)引擎成員狀況，業(yè)務(wù)配置需求，自動(dòng)下發(fā)正反向引流規(guī)則獨(dú)立交換引擎 3+1冗余主控引擎1+1冗余IO引擎IO引擎IO引擎IO引擎：引流策略到某一業(yè)務(wù)引擎業(yè)務(wù)引擎針對(duì)隧道類業(yè)務(wù)，ALG業(yè)務(wù)動(dòng)態(tài)下發(fā)正反向引流規(guī)則FW引擎：路由策略到IO引擎主控配置、路由通過(guò)管理通道自動(dòng)下發(fā)到各業(yè)務(wù)引擎24多類型業(yè)務(wù)引擎智能多類型業(yè)務(wù)

14、引擎智能分流分流IO引擎FW業(yè)務(wù)引擎IPS業(yè)務(wù)引擎LB業(yè)務(wù)引擎主控根據(jù)業(yè)務(wù)引擎成員狀況，業(yè)務(wù)配置需求，自動(dòng)下發(fā)引流規(guī)則獨(dú)立交換引擎 3+1冗余主控引擎1+1冗余IO引擎IO引擎IO引擎IO引擎：引流規(guī)則到FW引擎針對(duì)隧道類、ALG業(yè)務(wù)動(dòng)態(tài)下發(fā)引流策略FW：引流策略到IPS引擎IPS:引流策略到LB引擎LB:路由策略到IO引擎主控配置、路由自動(dòng)下發(fā)到多業(yè)務(wù)引擎25NAT特性特性IMailWeb多功能多功能高性能高性能可視化 PAT/NO-PAT Easy-IP NAT Server NAT Static NAT444 ALG(FTP/DNS/SIP） NAT 吞吐：400G NAT 新建：600

15、萬(wàn)/秒 NAT 并發(fā)：3億 NAT連接數(shù)限制 NAT二進(jìn)制日志 NAT444用戶/會(huì)話日志26VPN特性特性總部InternetIPSec加密加密l2tp + IPSecGRE + IPSecInternetInternet合作伙伴企業(yè)分支出差員工l豐富的豐富的VPN功能：功能：L2TP VPNGRE VPNIPSec VPNSSL VPNMPLS VPNl高效的加密高效的加密/認(rèn)證算法：認(rèn)證算法：DES/3DESAESMD5/SHA-1l多樣的認(rèn)證方式：多樣的認(rèn)證方式：本地認(rèn)證RADIUSLDAPPKI/CA27攻擊防范攻擊防范黑名單黑名單掃描攻掃描攻擊防范擊防范DDoS防范防范 動(dòng)態(tài)黑名單

16、動(dòng)態(tài)黑名單 靜態(tài)黑名單靜態(tài)黑名單 地址掃描地址掃描 端口掃描端口掃描畸形報(bào)文畸形報(bào)文攻擊防范攻擊防范 ICMP Flood UDP Flood SYN Flood DNS Flood Fraggle攻擊檢測(cè)攻擊檢測(cè) Land攻擊檢測(cè)攻擊檢測(cè) WinNuke攻擊檢測(cè)攻擊檢測(cè) TCP Flag攻擊檢測(cè)攻擊檢測(cè) ICMP不可達(dá)報(bào)文攻不可達(dá)報(bào)文攻擊檢測(cè)擊檢測(cè) Smurf攻擊檢測(cè)攻擊檢測(cè) 超大超大ICMP報(bào)文攻擊報(bào)文攻擊檢測(cè)檢測(cè)28服務(wù)器負(fù)載均衡服務(wù)器負(fù)載均衡負(fù)荷負(fù)荷60負(fù)荷負(fù)荷60負(fù)荷負(fù)荷60負(fù)荷負(fù)荷60負(fù)荷負(fù)荷60LBSW全面的負(fù)載特性全面的負(fù)載特性豐富的調(diào)度算法豐富的調(diào)度算法靈活的健康性檢測(cè)靈活的

17、健康性檢測(cè) L4服務(wù)器負(fù)載 L7服務(wù)器負(fù)載 IPv6服務(wù)器負(fù)載 （加權(quán)）輪詢 （加權(quán)）最小連接 （加權(quán)）隨機(jī) 源地址（端口）散列 ACL策略 ICMP TCP/UDP SNMP SSL Radius DNS/FTP/HTTPSMTP/POP3多樣化的持續(xù)性多樣化的持續(xù)性 源IP地址（端口） 目的IP地址（端口） Cookie插入/重寫(xiě)/截取 SIP的Call-ID HTTP報(bào)文頭29鏈路鏈路負(fù)載均衡負(fù)載均衡n 同時(shí)支持同時(shí)支持Outbound和和Inbound鏈路負(fù)載鏈路負(fù)載n 支持持續(xù)性、支持持續(xù)性、ACL策略、策略、ISP選路、就近性、調(diào)度算法等多種靈活的選選路、就近性、調(diào)度算法等多種靈活

18、的選路機(jī)制路機(jī)制n 支持（加權(quán)）輪詢、隨機(jī)、最小連接，源支持（加權(quán)）輪詢、隨機(jī)、最小連接，源/目的地址散列，加權(quán)帶寬、目的地址散列，加權(quán)帶寬、最大帶寬等多種豐富的調(diào)度算法。最大帶寬等多種豐富的調(diào)度算法。ISP1ISP31234561265ISP234LB30深度檢測(cè)深度檢測(cè)路由器交換機(jī)IPS內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)漏洞漏洞庫(kù)庫(kù)協(xié)議庫(kù)協(xié)議庫(kù)病毒庫(kù)病毒庫(kù)n 攻擊防范攻擊防范n 病毒檢測(cè)病毒檢測(cè)n URL過(guò)濾過(guò)濾n DDoS防護(hù)防護(hù)n 帶寬管理帶寬管理n 統(tǒng)計(jì)報(bào)表統(tǒng)計(jì)報(bào)表三庫(kù)合一實(shí)現(xiàn)全面攻擊三庫(kù)合一實(shí)現(xiàn)全面攻擊防御防御31安全集群框架（安全集群框架（SCF）n SecPath M9000首創(chuàng)多核全分布式安全

19、設(shè)備框架集首創(chuàng)多核全分布式安全設(shè)備框架集群技術(shù)，全面突破機(jī)框的限制，在簡(jiǎn)化管理和部署的群技術(shù)，全面突破機(jī)框的限制，在簡(jiǎn)化管理和部署的基礎(chǔ)上同時(shí)實(shí)現(xiàn)了安全業(yè)務(wù)和安全性能的彈性擴(kuò)展基礎(chǔ)上同時(shí)實(shí)現(xiàn)了安全業(yè)務(wù)和安全性能的彈性擴(kuò)展。FWIPSLBFWIPSLBFWIPSLBFWIPSLBFWIPSLB32安全集群框架安全集群框架(SCF(SCF) )業(yè)務(wù)引擎集群業(yè)務(wù)引擎集群-兩框集群兩框集群-4框集群框集群-異構(gòu)集群異構(gòu)集群FW1FW2LB1LB2IPSFW組LB組IPS組33安全集群主備安全集群主備模式模式SWSWSWSWIRFIRFIRF SWIRF SWASASASAAAS冗余口冗余口冗余組n通過(guò)

20、將主備設(shè)備接口加入冗余口，根據(jù)SCF主備狀態(tài)阻斷備機(jī)鏈路n通過(guò)將上下行冗余口加入冗余組，實(shí)現(xiàn)上下行聯(lián)動(dòng)n可以監(jiān)控接口、鏈路、引擎狀態(tài)，實(shí)現(xiàn)主備切換n上下行聚合組網(wǎng)、獨(dú)立三層上行n鏈路雙活n業(yè)務(wù)引擎通過(guò)備份組實(shí)現(xiàn)主備trunktrunk備份組1備份組2備份組3VRRPVRRP34安全安全N:N高高可靠性可靠性業(yè)務(wù)引擎6業(yè)務(wù)引擎7業(yè)務(wù)引擎8業(yè)務(wù)引擎9業(yè)務(wù)引擎10業(yè)務(wù)引擎1業(yè)務(wù)引擎2業(yè)務(wù)引擎3業(yè)務(wù)引擎4業(yè)務(wù)引擎5SCFIO引擎1IO引擎3IO引擎2IO引擎4業(yè)務(wù)引擎1業(yè)務(wù)引擎2業(yè)務(wù)引擎3業(yè)務(wù)引擎4IO引擎引擎:1024:80 TCP12New Owner（

21、主設(shè)備故障，新的轉(zhuǎn)發(fā)設(shè)備）Director（備份）345:80-:1024 TCP1）IO引擎根據(jù)負(fù)載分擔(dān)算法將正向流分配到業(yè)務(wù)引擎1，該業(yè)務(wù)引擎成為該數(shù)據(jù)流的所有者，成為主引擎2）數(shù)據(jù)流所有者根據(jù)數(shù)據(jù)流五元組信息計(jì)算出備份引擎，將會(huì)話同步給備份引擎3）主引擎故障4）對(duì)于原數(shù)據(jù)流，IO引擎通過(guò)負(fù)載分擔(dān)算法分發(fā)到引擎45）引擎4向備份引擎獲取主引擎信息，得知主引擎故障，從備份引擎得到備份會(huì)話信息，然后成為該數(shù)據(jù)流新的主引擎主轉(zhuǎn)發(fā)引擎交換引擎主機(jī)1主機(jī)35安全集群安全集群優(yōu)勢(shì)優(yōu)勢(shì)普通雙機(jī)普通雙機(jī)集群集群管理雙機(jī)獨(dú)立管理、依靠配置同步無(wú)法保證主備配置完全一

22、致，配置沖突問(wèn)題無(wú)法避免多臺(tái)設(shè)備SCF后，一體化管理，統(tǒng)一配置下發(fā)，不存在配置沖突問(wèn)題組網(wǎng)兩臺(tái)設(shè)備獨(dú)立、對(duì)外互聯(lián)IP至少2個(gè)，一般3個(gè)，公網(wǎng)地址浪費(fèi)多臺(tái)設(shè)備SCF后，對(duì)外邏輯上是一臺(tái)設(shè)備，互聯(lián)IP為1個(gè)VRRP方式下，依賴上下行設(shè)備的二層通道通過(guò)內(nèi)部互聯(lián)SCF鏈路協(xié)商，不依賴外部設(shè)備多組VRRP單獨(dú)協(xié)商，需要復(fù)雜track保持上下行一致冗余組方式通過(guò)將上下行接口加入同一冗余組，監(jiān)控接口、鏈路、引擎狀態(tài)統(tǒng)一切換；引擎?zhèn)浞莘绞?，接口、鏈路聚合切換，引擎故障，引擎組備份組切換，外部無(wú)感知雙主熱備模式下，任意接口、鏈路、，整機(jī)切換，導(dǎo)致收斂時(shí)間長(zhǎng)，性能減半SCF內(nèi)所有引擎N:N備份，接口故障、鏈路故障

23、，所有引擎處理，性能不損失；引擎故障，損失一個(gè)引擎性能擴(kuò)展性業(yè)務(wù)擴(kuò)容時(shí)，需要整機(jī)斷電升級(jí)SCF內(nèi)所有引擎N:N備份，任意引擎拔出插入，業(yè)務(wù)無(wú)影響最多兩臺(tái)，要求硬件型號(hào)一致最多4臺(tái)設(shè)備、硬件型號(hào)可以不同36虛擬化虛擬化安全安全ONE平臺(tái)（平臺(tái)（SOP）n 完全虛擬化，各完全虛擬化，各SOP系統(tǒng)管理、轉(zhuǎn)發(fā)全部隔離系統(tǒng)管理、轉(zhuǎn)發(fā)全部隔離n 資源分配靈活，所有資源分配均可保障、限制或搶占資源分配靈活，所有資源分配均可保障、限制或搶占n 高性能，基于多核高性能，基于多核CPU架構(gòu)、大容量?jī)?nèi)存以及高效的軟件系統(tǒng)，架構(gòu)、大容量?jī)?nèi)存以及高效的軟件系統(tǒng)，每個(gè)每個(gè)SOP可以獲得足夠的軟硬件資源可以獲得足夠的軟硬件

24、資源n 可靠性高，一個(gè)可靠性高，一個(gè)SOP故障，其它故障，其它SOP不受影響不受影響FWIPSLBFWIPSLBFWIPSLBFWIPSLB37安全安全SOP實(shí)現(xiàn)原理實(shí)現(xiàn)原理硬件平臺(tái)操作系統(tǒng)基礎(chǔ)功能(驅(qū)動(dòng)、任務(wù)調(diào)度、內(nèi)存管理、定時(shí)器等)SOP1-OSSOP2-OSInit進(jìn)程CLI進(jìn)程SNMP進(jìn)程O(píng)SPF進(jìn)程Init進(jìn)程CLI進(jìn)程SNMP進(jìn)程O(píng)SPF進(jìn)程數(shù)據(jù)轉(zhuǎn)發(fā)內(nèi)核線程N(yùn)AT內(nèi)核線程ASPF內(nèi)核線程數(shù)據(jù)用戶態(tài)空間內(nèi)核態(tài)空間轉(zhuǎn)發(fā)內(nèi)核線程N(yùn)AT內(nèi)核線程ASPF內(nèi)核線程38SOP CPU調(diào)度調(diào)度機(jī)制機(jī)制10%20%30%40%50%最小可以使用的CPU時(shí)間片當(dāng)前使用的時(shí)間片最大可使用的時(shí)間片金牌用戶

25、，保證10%，最大可使用40%銀牌用戶，保證5%，最大可使用15%銅牌用戶，無(wú)保證，最大可使用10%10%20%30%40%50%所有租戶流量都大時(shí)，保證金牌租戶的最低值39SOP虛擬資源池虛擬資源池引擎引擎1VFW1VFW2VFW3VFW3VFW5VFW6VFW7VFW8VFW9VFW10VFW11VFW12VFW13VFW14VFW15VFW16VFW17VFW18引擎引擎2引擎引擎3引擎引擎4引擎引擎5引擎引擎6n虛墻的劃分以業(yè)務(wù)集群組為單位虛墻的劃分以業(yè)務(wù)集群組為單位n擴(kuò)展業(yè)務(wù)板后，虛擬化擴(kuò)展有如下兩種形態(tài)：擴(kuò)展業(yè)務(wù)板后，虛擬化擴(kuò)展有如下兩種形態(tài)：縱向：?jiǎn)翁搲Φ哪芰Σ蛔儯蓜澐值奶搲?shù)

26、量增加橫向：?jiǎn)翁搲Φ哪芰υ黾?，可劃分地虛墻?shù)量不變VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4引擎引擎1引擎引擎2引擎引擎3引擎引擎4引擎引擎5引擎引擎6VFW1VFW2VFW4VFW5引擎集群引擎集群40開(kāi)放平臺(tái)開(kāi)放平臺(tái)IMC APIsHardware PlatformIMC SSMComware APIs用戶應(yīng)用平臺(tái)接口編譯解析器腳本解釋器3rd程序編程接口EAA自動(dòng)化架構(gòu)TCL腳本自定義程序預(yù)定事件及動(dòng)作Comware V7操作系統(tǒng)操作系統(tǒng)安全nVPN接入n訪問(wèn)控制n攻擊防范n行為審