V7防火墙context资源配置注意事项

V7防火墙context资源配置注意事项

引擎组的划分     //针对M9K

（1）如果没有进驻安全引擎，即使Context已经启动，Context也没有实际运行的环境，无法运行业务。  //在进行资源划分的时候要注意至少保留一个安全引擎给根墙，否则会导致根墙和虚墙都无法转发

（2）Context进驻安全引擎组后，才能使用安全引擎组中安全引擎上的资源，包括CPU、磁盘和内存。

（3）一个Context只能进驻一个安全引擎组。在不同的Context下进驻同一个安全引擎组。

（4）自定义引擎组内划分单个blade或者一个failover组，分配给不同的context还可以规避引流的相关问题。

接口的划分

（1）物理接口可以独占或共享方式分配给某个Context。

（2）逻辑接口支持以共享方式分配给某个Context，不支持独占分配。   //不需要单独再把逻辑口所包含的物理口添加上去，如聚合口下成员端口

（3）三层聚合子接口也支持共享给某个Context，规划好vlan后，在根墙下分配好不同vlan tag的子接口，这样也有利于在根墙下维护各虚墙的配置。  //推荐如下配置方法，防止组播、广播风暴

（4）二层聚合共享口与vlan划分配合，不同context下的vlan不同，虚墙下通过vlan虚接口进行转发    

虚墙

Context三层共享聚合口

根墙

虚墙