虚拟云计算与虚拟化

H3CCMW7安全虚拟化特性技术介绍ISSUE1.
0日期:2015-1-21杭州华三通信技术有限公司版权所有,未经授权不得使用与传播熟悉安全虚拟化基本原理熟悉安全虚拟化典型组网与配置熟悉安全虚拟化常见问题和注意事项课程目标学习完本课程,您应该能够:安全虚拟化基础原理安全虚拟化典型组网与配置安全虚拟化常见问题和注意事项目录www.
h3c.
com3基础安全体系建设——分区域、分层次管理区业务服务器区办公服务器区测试区业务Internet外联区DMZ区Internet服务区外联区DMZ区Extranet服务区外联Extranet外联区DMZ区Internet服务区办公Internet一级骨干网络省分行备份中心间同城网络外联网区广域网区ECC办公区办公接入区办公区FWFWFWFWFWFWFWIPSIPSIPSIPSwww.
h3c.
com4ClientWorkgroupVM一虚多应用高性能集群多虚一应用Public&PrivateCloud云计算高度虚拟化的数据中心多虚一和一虚多的组合云计算与虚拟化带来的变化网络边界模糊化网络安全模糊化IDC云计算与虚拟化趋势www.
h3c.
com5端到端的虚拟化安全架构HardwarePhysicalHypervisor(VMM)VM1VM2VM3HardwarePhysicalHypervisor(VMM)VM1VM2VM3VFW1VFW3VFWN安全管理平台InternetNetworks服务器层虚拟接入交换机层负载均衡业务分发安全防护层VLB1VLB3VLBN核心交换层用户身份认证网关VRF1VRF3VRFNTenantATenantBTenantNVLAN1-10VLAN11-30VLAN40-60www.
h3c.
com6安全虚拟化技术介绍-1基于虚拟路由的安全虚拟化方案在数据平面,使用VRF将表项隔离,实现报文转发隔离在管理平面,为不同的虚拟防火墙关联不同的管理员及权限在控制平面,针对不同业务逐一考虑虚拟化适配虚拟FW/虚拟LB用户C用户A用户B用户Dwww.
h3c.
com7安全虚拟化技术介绍-2基于容器的安全虚拟化方案基于容器的虚拟化方案是一种轻量级虚拟化技术,在一个安全引擎内,通过唯一的OS内核对系统硬件资源进行管理,每个虚拟防火墙作为一个容器实例运行在同一个内核之上SOPwww.
h3c.
com8安全虚拟化技术介绍-3基于虚拟机的安全虚拟化方案基于虚拟机的完全虚拟化CPU、内存和I/O资源由底层的Hypervisor或Emulator实现模拟,虚拟防火墙作为一个GuestOS运行在虚拟化的硬件环境中易于部署和迁移,也可避免虚拟化后功能丢失物理服务器虚拟交换机虚拟平台VMVMVMwww.
h3c.
com9H3CSOP架构SOP:SecurityOnePlatform,安全One平台可以把一台物理防火墙虚拟成多台虚拟防火墙,共享物理防火墙的接口、CPU、内存、存储、硬件引擎等资源多台虚拟防火墙相互独立,每个虚拟防火墙实例对外呈现为一个完整的防火墙系统,拥有独立的管理员、日志系统、安全策略、组网规划等等www.
h3c.
com10基于容器的安全虚拟化通过统一的OS内核,可以细粒度的控制每个虚拟防火墙容器对CPU、内存、存储等硬件资源的占用率,也可以管理每个VFW使用的物理接口、VLAN等资源,有完整的虚拟化资源管理能力www.
h3c.
com11资源调度机制10%20%30%40%50%最小可以使用的CPU时间片当前使用的时间片最大可使用的时间片金牌用户,保证10%,最大可使用40%银牌用户,保证5%,最大可使用15%铜牌用户,无保证,最大可使用10%10%20%30%40%50%所有租户流量都大时,保证金牌租户的最低值www.
h3c.
com12接口资源虚拟化设计指物理防火墙的一个硬件端口(GE、10GE接口)或者软件逻辑口(聚合口、子接口)允许被多个虚拟防火墙共享使用被共享的端口在每个虚拟防火墙中,分别形成一个独立的逻辑接口实例,可以由虚拟防火墙级别管理员各自独立地配置接口IP地址、路由协议、安全业务等www.
h3c.
com13分级多角色虚拟化管理针对缺省防火墙和虚拟防火墙实例的管理需要,弹性虚拟化安全架构设计了基于分级的多角色虚拟化管理方案,每个管理员都会被分配特定的级别和角色,从而确定该用户能够执行的操作权限所谓分级别是指权限管理分为系统级和虚拟防火墙级所谓多角色是指,通过基于角色的访问控制(Role-BasedAccessControl,RBAC)特性,可以定义管理员、操作员、审计员等不同角色,从而限定用户的管理权限与范围www.
h3c.
com14Scale-Out分布式架构指通过增加系统处理引擎的数量来提升系统性能在分布式产品(M9000)中,安全引擎数量可以按需配置,从而支持横向扩展,即通过增加物理安全板卡,实现虚拟防火墙数量的线性扩展虚拟化容量按需定制,不受单个处理引擎的限制www.
h3c.
com15安全虚拟化架构和SCF集成SecurityClusterFramework,基于安全业务的集群系统在支持分布式架构的基础上与SCF无缝集成,实现在N:1虚拟化集群中的1:N虚拟化.
在单台物理防火墙所支持的虚拟防火墙数量不能满足需求时,通过SCF可进一步扩展其所支持的虚拟防火墙实例数量www.
h3c.
com16M9000虚拟化概述M9000通过SOP技术将一台物理防火墙虚拟成多台逻辑防火墙,每台逻辑防火墙称为一个Context.
每个Context拥有专属的软硬件资源,独立运行、转发.
相当于一台独立防火墙不同的管理员可以分别登录各自所管理的设备,执行配置变更与管理等操作,并且不会相互影响安全虚拟化基础原理安全虚拟化典型组网与配置安全虚拟化常见问题和注意事项目录www.
h3c.
com18M9000虚拟化典型组网和配置组网需求将设备虚拟成三台独立的防火墙:Contextcnt1、Contextcnt2、Contextcnt3,并分配给三个不同的用户网络用作接入防火墙LAN1的用户多,业务需求复杂,因此需要给Contextcnt1提供较大的磁盘/内存空间使用上限,以便保存配置文件、启动文件和系统信息等;Contextcnt2使用系统缺省的磁盘空间;LAN3人员规模小,上网流量比较少,对接入防火墙的配置及性能要求较低,因此对Contextcnt3提供较低的CPU权重www.
h3c.
com19M9000虚拟化典型组网和配置(续)配置步骤:创建安全引擎组创建context将context进驻安全引擎组为context分配硬件资源为context分配CPU/磁盘/内存资源为context分配接口启动context进入context进行管理配置www.
h3c.
com20SOP资源分配CPU权重磁盘空间上限内存空间上限操作命令说明进入系统视图system-view-进入Context视图contextcontext-name-指定Context的CPU权重limit-resourcecpuweightweight-value缺省情况下,Context的CPU权重为10配置Context可使用的磁盘空间上限limit-resourcediskratiolimit-ratio缺省情况下,Context可以使用物理设备上的所有磁盘空间如果设备上有多块磁盘,该命令对所有磁盘生效配置Context可使用的内存空间上限limit-resourcememoryratiolimit-ratio缺省情况下,所有Context共享物理设备上的所有内存空间,每个Context可使用的内存空间上限为空闲内存空间值www.
h3c.
com21SOP资源分配(续)接口(独占/共享)VLAN(独占/共享)操作命令说明进入系统视图system-view-进入Context视图contextcontext-name-为Context分配接口allocateinterface{interface-typeinterface-number}&[share]二者选其一缺省情况下,设备上的所有接口都属于缺省Context,不属于任何非缺省Contextallocateinterfaceinterface-typeinterface-number1tointerface-typeinterface-number2[share]操作命令说明进入系统视图system-view-进入Context视图contextcontext-name-为Context分配VLANallocatevlanvlan-id&二者选其一缺省情况下,没有为Context分配VLANallocatevlanvlan-id1tovlan-id2www.
h3c.
com22SOP资源查看查看命令:操作命令进入系统视图system-view登录Contextswitchtocontextcontext-name显示Context的相关信息displaycontext[namecontext-name]显示Context的接口列表displaycontext[namecontext-name]interface显示Context对CPU/磁盘/内存资源的使用情况displaycontext[namecontext-name]resource[cpu|disk|memory]清除指定安全引擎组中不在位的安全引擎的数据信息resetblade-controller-teamteam-idmemberslotslot-numbercpucpu-numberwww.
h3c.
com23M9000虚拟化典型配置配置命令:system-view[H3C]blade-controller-team1[H3C-blade-controller-team-2-test]locationblade-controllerslot3cpu1Thisoperationwillalsorebootthebladecontroller.
Continue[Y/N]:y[H3C-blade-controller-team-2-test]quit[H3C]contextcnt1[H3C-context-2-cnt1]descriptioncontext-1[H3C-context-2-cnt1]locationblade-controller-teamtest[H3C-context-2-cnt1]limit-resourcediskslot3cpu1ratio60[H3C-context-2-cnt1]limit-resourcememoryslot3cpu1ratio60[H3C-context-2-cnt1]limit-resourcecpuweight8[H3C-context-2-cnt1]allocateinterfacegigabitethernet1/0/1gigabitethernet1/0/11[H3C-context-2-cnt1]contextstartItwilltakesometimetostartthecontext.
.
.
Contextstartedsuccessfully.
[H3C-context-2-cnt1]quitwww.
h3c.
com24M9000虚拟化典型配置(续)配置命令:[H3C]contextcnt2[H3C-context-3-cnt2]descriptioncontext-2[H3C-context-3-cnt2]locationblade-controller-teamtest[H3C-context-3-cnt2]allocateinterfacegigabitethernet1/0/2gigabitethernet1/0/12[H3C-context-3-cnt2]contextstartItwilltakesometimetostartthecontext.
.
.
Contextstartedsuccessfully.
[H3C-context-3-cnt2]quit[H3C]contextcnt3[H3C-context-4-cnt3]descriptioncontext-3[H3C-context-4-cnt3]locationblade-controller-teamtest[H3C-context-4-cnt3]limit-resourcecpuweight2[H3C-context-4-cnt3]allocateinterfacegigabitethernet1/0/3gigabitethernet1/0/13[H3C-context-4-cnt3]contextstartItwilltakesometimetostartthecontext.
.
.
Contextstartedsuccessfully.
[H3C-context-4-cnt3]quit安全虚拟化基础原理安全虚拟化典型组网与配置安全虚拟化常见问题和注意事项目录www.
h3c.
com26Q:如何一次操作保存所有Context的配置信息A:通过savecontext-all命令可以一次性保存所有context的配置.
FAQQ:创建Context时vlan-unshared参数的具体含义指什么A:1、如果选择和其它Context共享VLAN,则设备上所有Context共享VLAN1~VLAN4094.
这些VLAN通过allocatevlan命令分配,不允许通过vlan命令手工创建分配.
如果某VLAN已经分配给某Context,则不能再分配给其它Context.
2、如果选择不和其它Context共享VLAN,请登录该Context,并使用vlan命令创建VLAN1~VLAN4094.
Context各自使用和管理VLAN,互不干扰.
www.
h3c.
com27Q:在M9000产品中,Context、安全引擎、安全引擎组之间的关系是怎样的A:安全引擎是M9000的硬件板卡资源.
Context创建后,必须进驻安全引擎,才有实际运行的环境.
安全引擎组用于组织和管理安全引擎.
新创建的安全引擎组内没有安全引擎,必须先将安全引擎加入安全引擎组,才能使Context进驻到安全引擎.
一个安全引擎只能属于一个安全引擎组;一个安全引擎组下可添加多个安全引擎,系统会自动选举一个为主安全引擎,其它为备安全引擎.
为了在Context上启动业务,用户必须将Context进驻安全引擎组.
Context进驻安全引擎组后,会进驻安全引擎组内的所有安全引擎.
1个Context只能进驻一个安全引擎组.
最多可以有64个Context进驻同一个安全引擎组.
安全引擎组中加入新的安全引擎后,Context将自动进驻到新的安全引擎上.
FAQwww.
h3c.
com28Q:为Context分配接口时share参数的具体含义指什么A:为了提高防火墙接口的利用率,在给Context分配接口时,可以选择:独占方式分配(不带share参数):使用该方式分配的接口仅归该Context所有、使用.
用户登录该Context后,能查看到该接口,并执行接口支持的所有命令.
共享方式分配(带share参数):表示将一个接口分配给多个Context使用,这些Context共享这个物理接口,但是在各个Context内会创建一个同名的虚接口,这些虚接口具有不同的MAC地址和IP地址.
设备从共享的物理接口接收报文后交给对应的虚拟接口处理,同样方向的,虚拟接口处理完报文后,会交给共享的物理接口发送.
使用该方式,可以提高防火墙接口的利用率.
通过共享方式分配的接口:在缺省Context内仍然存在该接口,该接口可执行接口支持的所有命令;在非缺省Context内,会新建一个同名接口,用户登录这些Context后,能查看到该接口,但只能执行shutdown、description以及网络/安全相关的命令.
FAQ熟悉安全虚拟化基础原理熟悉安全虚拟化典型组网与配置熟悉安全虚拟化常见问题和注意事项本章总结杭州华三通信技术有限公司www.
h3c.
com.
cn