虚拟防火墙

特性简介

通过虚拟化技术将一台物理设备划分成多台虚拟设备，每台虚拟设备就称为一个Context。每个Context拥有自己专属的软硬件资源，独立运行。

对于用户来说，每个Context就是一台独立的设备，方便管理和维护；对于管理者来说，可以将一台物理设备虚拟成多台逻辑设备供不同的分支机构使用，可以保护现有投资，提高组网灵活性。

缺省Context和非缺省Context

·     整台物理设备就是一个Context，称为缺省Context。当用户登录物理设备时，实际登录的就是缺省Context。用户在物理设备上的配置实质就是对缺省Context的配置。缺省Context的名称为Admin，编号为1。缺省Context不需要创建，不能删除。

·     与缺省Context相对应的是非缺省Context。非缺省Context是管理员在设备上创建的，可分配给不同的接入网络使用。

·     缺省Context拥有对整台物理设备的所有权限，它可以使用和管理设备所有的资源。缺省Context下可以创建/删除非缺省Context，给非缺省Context分配VLAN、接口、CPU、内存/磁盘资源，没有分配的VLAN、接口、CPU、内存/磁盘资源由缺省Context使用和管理。

·     非缺省Context下不可再创建/删除非缺省Context，它只能使用缺省Context分配给自己的资源，并在缺省Context指定的资源限制范围内工作，不能抢占其他Context或者系统剩余的资源。

因为缺省Context不需要创建和配置，所以，如无特殊说明，Web页面中的Context均指非缺省Context。

资源分配

管理员可以为每个Context分配VLAN资源、接口资源、CPU资源和内存/磁盘资源。

VLAN资源

用户在创建Context时，可选择是否和其它Context共享VLAN：

·     共享：该模式下的VLAN由管理员在缺省Context中创建，统一配置和管理。非缺省Context只能使用指定的共享VLAN，不能自行创建和配置。一个VLAN可以被多个Context共享，物理设备收到报文后，根据报文的入接口以及报文的VLAN tag交给相应的Context处理。此方式适用于同一个VLAN由多个Context共同使用的场景。

·     独占：该模式下的VLAN由各Context的管理员登录各自的Context后，自行创建、配置和管理。该模式要求各Context的管理员来规划和配置VLAN。此方式适用于Context需要各自管理和使用一个独立VLAN的场景。

接口资源

缺省情况下，设备上的所有接口都属于缺省Context，不属于任何非缺省Context。只有给非缺省Context分配接口后，它才能和网络中的其它设备通信。

在给Context分配接口时，可以选择：

·     独占分配：使用该方式分配的接口仅归该Context使用。用户登录该Context后，能查看到该接口，并执行接口支持的所有操作。

·     共享分配：表示将一个接口分配给多个Context使用，这些Context共享这个物理接口。设备从共享的物理接口接收报文后交给对应的虚拟接口处理；出方向，虚拟接口处理完报文后，会交给共享的物理接口发送。使用该方式，可以提高设备接口的利用率。通过共享方式分配的接口在非缺省Context内，会新建一个同名的虚接口，用户登录这些Context后，能查看到该接口，但只能执行禁用、修改描述信息以及网络/安全相关操作。

CPU资源

当CPU无法满足所有Context的处理需求时，系统将按照CPU权重值为每个Context分配处理时间。通过调整Context的权重，可以使指定的Context获得更多的CPU资源，保证关键业务的运行。例如：在三个Context中，将处理关键业务的Context的CPU权重设置为2，其余两个Context的CPU权重设置为1，则当CPU忙时，将为关键业务Context提供2倍于其它Context的处理时间。

内存/磁盘资源

为了防止一个Context过多的占用内存/磁盘，而导致其它Context无法运行，需要限制Context对内存/磁盘资源的使用。用户可配置每个Context最大可占用的内存/磁盘百分比。

会话并发数

设备能够同时维持的会话连接总数是有限制的，为防止一个Context创建过多的会话，而导致其它Context无法创建新的会话，需要限制Context的会话并发数。用户可以为每个Context配置最大的会话并发数。

会话新建速率

会话新建速率是指设备在单位时间内所能够完全处理的新会话请求数量。由于设备的处理能力有限，为防止一个Context的会话新建速率过高，而导致其它Context创建会话失败，需要限制Context的会话新建速率。用户可以为每个Context配置最大的会话新建速率。

SSL VPN登录用户数

SSL VPN的用户数目由设备License控制，设备全部用户总数不能超过License控制，如果一个Context的用户总数到达了License限制，则会出现其他Context用户无法上线的问题，因此需要限制Context的上线用户数，同时设备全部用户总数仍受License控制。

吞吐量

为了防止一个Context的报文过多而导致其它Context的报文被丢弃，需要限制Context的吞吐量。当启用吞吐量限制时，系统优先处理协议报文，对于超过限制值的业务报文会被丢弃。

信息收集

缺省Context中提供了一键收集多个或所有Context相关信息的功能。目前在缺省Context中可收集的信息包括日志信息、诊断信息和配置信息。

报文限速

此功能仅对使用共享接口且处于Active状态的Context生效。

如果一个Context接收和处理的广播报文和组播报文过多，将会导致其他Context处理业务能力的下降。因此需要限制Context接收广播报文和组播报文的数量。

Context对入方向广播报文和组播报文进行限速是通过整机接收报文限速和单个Context接收报文限速共同实现。当广播报文或组播报文总速率和单个Context入方向广播报文或组播报文速率均达到各自的阈值后，发往此Context的广播报文或组播报文会被设备丢弃，否则不会被丢弃。

当整机或单个Context广播/组播限速阈值为零时表示对接收报文不做速率限制。

当运行广播或组播限速阈值低于1000时为系统缺省值，系统缺省值为广播/组播报文总速率阈值除以使用共享接口Context的数量。当运行广播或组播限速阈值大于等于1000时，有可能是系统缺省值，也有可能是系统管理员配置的阈值。

配置指南

1.     查看接口分配情况，了解各接口的参数。

2.     创建并配置Context。

3.     为Context分配VLAN、接口、CPU、SSL VPN登录用户数、会话并发数和会话新建速率等资源。

4.     监控Context的资源使用情况。

使用限制和注意事项

分配VLAN时的注意事项

·     共享VLAN必须是设备上存在的VLAN。请先创建VLAN，再指定共享VLAN。

·     VLAN 1不能被共享。

·     端口的缺省VLAN不能被共享。

·     已经创建了VLAN接口的VLAN不能被共享。

分配接口时的注意事项

·     逻辑接口（如子接口、聚合接口等）仅支持共享方式分配，物理接口支持独占和共享两种方式分配。

·     如果子接口已经被分配，则不能再分配其父接口；如果父接口已经被分配，则不能再分配其子接口。

·     如果接口已经被共享分配，则不能再独占分配。需将共享分配配置取消后，才能独占分配。

·     当设备运行在集群模式时，禁止将集群物理端口分配给Context。

·     聚合接口的成员接口不能分配给Context。

·     冗余口的成员接口不能分配给Context，当冗余口的成员接口为子接口时，其子接口的主接口也不能分配给Context。

信息收集

·     在缺省Context中，无法对从未启动过的自定义Context进行日志信息收集。

·     在缺省Context中，无法对处于未启动状态的自定义Context进行配置信息收集。