2024年Context技術(shù)白皮書-新華三

本文中的內(nèi)容為通用性技術(shù)信息，某些信息可能不適用i 11.1產(chǎn)生背景 1.2技術(shù)優(yōu)點 22.1Context的創(chuàng)建 22.2Context資源分配 22.2.1將Context進駐安全引擎 22.2.2為Context分配軟硬件資源 2.3限制Context使用的資源 42.4Context的啟動 2.4.1Context-OS 2.4.2Context的數(shù)據(jù)同步 2.4.3Context的進程隔離 2.5Context訪問和管理 2.5.1登錄通道 2.5.2配置方式 2.5.3配置文件 2.5.4日志輸出 2.5.5用戶管理 2.6Context入方向報文限速 2.7停止Context 2.8刪除Context 9 104.1大中型企業(yè)網(wǎng)隔離典型組網(wǎng)應用 4.2云計算數(shù)據(jù)中心網(wǎng)關(guān)典型組網(wǎng)應用 4.3跨VPC互通典型組網(wǎng)應用 4.4RBM+Context綜合組網(wǎng)應用 1Context是一種虛擬化技術(shù)，可以使單個物理網(wǎng)絡設備承載多個獨立的邏輯備，方便管理和維護；對于管理者來說，可以將一InternetInternetInternetInternetDevice2Device3Device2Device3Context1ContextContext23ContextContext23LAN1LANLAN1LAN3LANLAN1LAN3LANLAN2LAN2?資源優(yōu)化：同一物理設備上創(chuàng)建的所有Context共用物2?可擴展性：隨著組織的發(fā)展?租戶隔離：每個Context擁有自?節(jié)約成本：通過最小化硬件要求和優(yōu)化資源分配，Context顯著降低了硬件設備和運營支出。配給自己的資源，并在指定的資源限制內(nèi)處安全引擎是設備中專門用于處理安全業(yè)務的硬件單元，每一個安全引擎對應安全業(yè)務板上的一個3用戶Context創(chuàng)建后，不具有安全業(yè)務板的使用權(quán)。為了讓業(yè)務有實際的運行環(huán)境，必須將用戶Context進駐安全引擎，需要通過安全引擎組來實現(xiàn)。安全引擎組是一個用于組織和管理在數(shù)據(jù)層面，安全引擎組內(nèi)的所有安全引擎將同時負責安全業(yè)務處理和報文轉(zhuǎn)發(fā)；而在管理層面，可以給用戶Context分配的資源包括接口、VLAN、VXLAN、CPU資源、磁盤空間和內(nèi)存空間。接口，它才能和網(wǎng)絡中的其它設備通信。建議如果接口已經(jīng)被共享分配，則不能再獨占分配為使用戶Context之間可以互通，必須在缺省Context中將接口以共享方式分配給用戶Context。4VLAN1為系統(tǒng)缺省VLAN，用戶不能手工創(chuàng)建和刪除。由缺省Context獨有，不能分配給用戶通過調(diào)整Context的CPU權(quán)重，可以使指定的Context獲得更多的CPU資源，保證關(guān)鍵業(yè)務的運導致其他Context無法正常運行業(yè)務，可以限制Context置文件、系統(tǒng)日志等，可以限制Context對磁盤空間的使用。磁盤使用值為0，此時如果配置磁盤空間上限的值小5?出方向吞吐量限速丟包日志吞吐量降低到出方向吞吐量限制值以下，設備會生成恢復日上面生成的日志信息將會被輸出到信息中心模塊處對于配備安全業(yè)務板的設備，一個Contex對于配備安全業(yè)務板的設備，一個Contex警；當會話并發(fā)數(shù)上限使用率下降至指定閾值時，創(chuàng)建的會話不會被刪除，依然生效。直到已建立的6需要限制Context的SSLVPN上線用戶數(shù)，本節(jié)以分布式設備為例進行介紹。典型的分布式設備包括多塊主控板、安全業(yè)務板和多塊接口板。創(chuàng)建并啟動Context后，分配給該Context的單板上都創(chuàng)建并啟動Context。如圖2-1所程和數(shù)據(jù)的總和。所有單板的Context-OS組成一臺分布式的Context。7Context21/1_2/1ContextContext21/1_2/1Context3Context1Context1Context將網(wǎng)絡設備操作系統(tǒng)的數(shù)據(jù)平面、控制平面、管理平面進行了完全的虛擬化，各8Comware基于用戶角色對用戶進行權(quán)限管理。為用戶賦予用戶角色后，該用戶登錄設備后可執(zhí)行?物理設備級?Context級9因此需要限制Context接收廣播/組播報文的數(shù)量。制。當多個報文分散在不同安全引擎處理時，文生成日志信息。此日志信息將會被輸出到3RBM+Context實現(xiàn)多虛“多”RBM（RemoteBackupManagement，遠端備份管理）是一夠在通信線路或設備產(chǎn)生故障時提供備用方案。當其中一可以接替故障節(jié)點繼續(xù)工作。RBM是一種N:1虛擬化技術(shù)，使用它可以將多臺物理設備虛擬成一臺果。即將多個設備通過RBM技術(shù)形成一個高可靠性進一步虛擬成多個Context使用，如圖3-1所示。RBMContextContext1Context2Context3Context1Context2Context3資源可以分給同一Context，進行報文轉(zhuǎn)發(fā)時報文能通過RBM通道到達另一臺物理設備上該Context的應用十分廣泛，比如在大中型企業(yè)連接到外網(wǎng)。通過虛擬化技術(shù)，能讓一臺設備當三臺設DeviceContextcnt1Contextcnt2Contextcnt3LAN3LAN2InternetLAN1DeviceContextcnt1Contextcnt2Contextcnt3LAN3LAN2InternetLAN1等效于InternetInternetGateway1Gateway2Gateway3Gateway1LANLAN1LAN3LANLAN2對內(nèi)部網(wǎng)絡的信息安全進行防護。將設備虛擬成如圖4-2所示，將設備虛擬成兩臺獨立的設備Contextcnt1和Contextcnt2，分別作為企業(yè)ServerACloudGE1/0/2Contextcnt1GE1/0/1TenantANetworkAUntrustServerACloudGE1/0/2Contextcnt1GE1/0/1TenantANetworkAUntrustTrustGE1/0/3DeviceTrustGE1/0/3DeviceContextocnt2ServerBServerBNetworkBUntrustContext獨占接口oContext共享接口UntrustTenantB在VPC（VirtualPrivate?在設備上創(chuàng)建不同的VPN實例用于區(qū)分和Contextcnt1TrustTenantAVPC1CloudTrustTenantAVPC1CloudLoop1Loop2VPNvpc1VPNvpc2GE1/0/1.1GE1/0/1.2DeviceVPCVPC1UntrustTenantB如圖4-4所示，云計算中心以Device作為出口網(wǎng)關(guān)，對內(nèi)部網(wǎng)絡的信息安全進行防護。為了滿足備設備的Context不處理業(yè)務，原主設備的Context正常處理業(yè)務。TenantATenantBContextcnt1瓣ContextcntContextcnt1瓣RBMchannelContextcnt1ContextcntContextcnt1MasterDeviceABackupDeviceBMasterDeviceARBMchannelBackuptraffic企業(yè)A企業(yè)BContextcnt1業(yè)務流量Contextcnt2業(yè)務流量企業(yè)A企業(yè)B云計算數(shù)據(jù)中心TenantBackup缺省ContextMa