H3C Secpath M9000多业务安全网关之虚拟防火墙

IP技术专栏

- 分享
  - 新浪微博
  - 腾讯微博
  - 豆瓣空间
  - 搜狐微博
  - QQ空间
  - 腾讯朋友
  - 网易微博
  - 百度搜藏
  - 开心网
  - 告诉聊友
推荐
打印
收藏

文/沈博文

目前，跨地域的全国性超大企业集团和机构的网络业务规模和管理复杂度都在急剧的增加，传统的网络管理运营模式已经不能适应其业务的发展。网络信息化管理成为解决目前业务发展的关键，得到了各企业和机构的相当重视。另外，随着运营商网络业务规模的不断增大，例如IDC组网需求中，不同级别的用户也初步形成了的相应不同安全级别的安全区域，对价值客户和核心客户安全区域的防护要求越来越迫切。

因此，对网络管理人员来说，如何灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”――防火墙提出了更高的要求。

H3C SecPath M9000虚拟防火墙功能就是基于以上需求由H3C自主研发的“一虚多”技术。通过虚拟化技术将一台物理防火墙划分成多台逻辑防火墙，每台逻辑防火墙称为一个Context，每个Context拥有自己专属的软硬件资源，独立运行，独立转发。对于用户来说，每个Context就是一台独立的防火墙，方便管理和维护；对于管理者来说，可以将一台物理设备虚拟成多台逻辑设备供不同的分支机构使用，可以保护现有投资，提高组网灵活性。

图1 虚拟防火墙组网示意图

一、 Context介绍

H3C SecPath M9000整台物理设备默认就是一个Context，称为缺省Context，如图1中的Firewall。当管理员登录物理设备时，实际登录的就是缺省Context，管理员在物理设备上的配置实质就是对缺省Context的配置。缺省Context的名称为Admin，编号为1，缺省Context不需要创建，也不能删除。与缺省Context相对应的是非缺省Context，如图1中的Context 1、Context 2、Context 3。而非缺省Context是管理员在设备上通过命令行创建的，可分配给不同的接入网络使用。

缺省Context拥有对整台物理设备的所有权限，它可以使用和管理设备所有的资源。管理员可以在缺省Context下创建、删除非缺省Context，给非缺省Context分配CPU资源、磁盘、内存空间、接口、VLAN，没有分配的CPU资源、磁盘、内存空间、接口、VLAN由缺省Context使用和管理。

非缺省Context下不可再创建、删除非缺省Context，它只能使用缺省Context分配给自己的资源，并在缺省Context指定的资源限制范围内工作，不能抢占其它Context或者系统剩余的资源。

二、 Context部署

在H3C SecPath M9000上部署虚拟防火墙有着比较严格的要求，首先要创建Context，然后将Context进驻安全引擎组并为Context分配相应的资源，最后再手工启动Context。

这里有个新的概念——安全引擎组，所谓安全引擎组是用来组织和管理设备上配置的多个安全引擎。安全引擎是设备上的处理安全业务的物理硬件，Context创建后，必须进驻安全引擎，才有实际运行业务的环境，这里需要先配置安全引擎组绑定一个或多个安全引擎，再将Context进驻安全引擎组，这样，Context就能进驻安全引擎组中的所有安全引擎。

需要注意的是，一个安全引擎只能属于一个安全引擎组；一个安全引擎组下可添加多个安全引擎，系统会自动选举一个为主安全引擎，其它为备安全引擎。备安全引擎以备份身份运行，当主安全引擎不能正常工作时，会将一个备安全引擎升级为新的主安全引擎，替代原主安全引擎工作。

Context进驻安全引擎组后，才能使用安全引擎组中安全引擎上的资源，包括CPU、磁盘和内存。如果多个Context进驻同一个安全引擎，这些Context会共享该安全引擎的CPU、磁盘、内存资源，为了防止一个Context过多的占用CPU、磁盘、内存，而导致其它Context无法运行，需要根据业务需求限制Context对CPU、磁盘、内存资源的使用。

同时，使用非缺省Context之前必须为设备分配接口，才能和网络中的其它设备通信，默认设备上的所有接口都属于缺省Context，不属于任何非缺省Context。之后，管理员可以根据实际需求，选择性的为Context分配VLAN、吞吐量性能和对象策略规则总数。

下面我们通过一个配置案例具体看一下H3C SecPath M9000上配置使用虚拟防火墙的方法。

三、 Context典型配置举例

1. 组网需求

将设备Firewall虚拟成三台独立的防火墙：Context cnt1、Context cnt2、Context cnt3，并分给三个不同的用户网络用作接入防火墙。

LAN 1的用户多，业务需求复杂，因此需要给Context cnt1提供较大的磁盘、内存空间使用上限，以便保存配置文件、启动文件和系统信息等；Context cnt2使用系统缺省的磁盘空间；LAN 3人员规模小，上网流量比较少，对接入防火墙的配置及性能要求较低，因此对Context cnt3提供较低的CPU权重。GigabitEthernet1/0/1和GigabitEthernet1/0/11分配给Context cnt1、GigabitEthernet1/0/2和GigabitEthernet1/0/12分配给Context cnt2、GigabitEthernet1/0/3和GigabitEthernet1/0/13分配给Context cnt3。

2. 组网图