防火墙 RBM+Context 组网
- 0关注
- 0收藏,38浏览
典型场景为企业多租户隔离+带宽管控:总部防火墙启用RBM做全局带宽调度,创建多个Context分别承载研发、市场、生产、访客业务,每个Context独立配置安全策略、NAT、路由;RBM为生产Context(承载ERP、MES)配置带宽保障(CIR 800Mbps,PIR 1000Mbps),研发Context CIR 500Mbps,市场Context CIR 300Mbps,访客Context CIR 200Mbps,限制非核心业务带宽上限,保障核心生产链路稳定。
二、Context资源合理划分方式及案例
1. 带宽资源:按业务优先级划分,核心业务占总带宽30%-40%,普通业务20%-30%,非核心10%-15%,预留10%-15%应急。案例:总带宽2G,生产Context分配CIR 800M,研发500M,市场300M,访客200M,预留200M。
2. 硬件/会话资源:CPU按负载分配,高负载(如带IDS/IPS的生产Context)分配40%CPU配额;内存、会话按并发需求,生产Context分配50%内存、40%会话配额,普通Context各分配20%,预留10%。
关键配置命令
RBM带宽策略配置
system-view
rbm
policy prod_policy
classifier prod_class
behavior prod_behavior
bandwidth-limit cir 800000 cbs 100000000
quit
绑定到生产Context
context ctx_prod
rbm apply policy prod_policy inbound
Context资源配额配置
system-view
context ctx_pro
暂无评论
- 场景:某企业总部网络,需要为“研发部”、“市场部”及“服务器区”提供隔离的访问控制,并要求防火墙设备本身高可用。
- 组网:
- 两台华三防火墙(如F1000系列)通过独立的心跳线和管理口组建RBM,一台为主,一台为备。
- 在RBM组形成的逻辑设备上,创建三个Context:CTX研发、CTX市场、CTX_服务器。
- 将不同的物理接口或子接口划分给对应的Context。
- 每个Context独立配置安全策略、路由等,实现业务隔离。当主设备故障时,RBM机制会触发备机接管所有Context的业务,实现无缝切换。
资源维度 | 合理划分原则 | 上述案例中的示例划分 |
|---|---|---|
CPU/内存 | 根据Context内承载的业务会话并发数、策略复杂度、流量大小预估。关键业务或流量大的Context分配更多资源。 | CTX服务器(承载对外服务)分配40%资源;CTX研发和CTX_市场各分配25%资源;剩余10%为公共预留。 |
接口资源 | 根据网络拓扑和隔离需求分配物理接口或逻辑子接口。确保每个Context有独立的入口和出口。 | 为每个Context分配一对独立的物理接口,分别连接核心交换机和对应的业务接入交换机。 |
会话数限制 | 为每个Context设置会话并发数上限,防止单个Context的会话风暴耗尽整机资源,影响其他Context。 | CTX服务器:上限设为200万;CTX研发:150万;CTX_市场:100万。 |
策略/路由表项 | 对于需要大量访问控制策略或复杂路由的Context,需确保其有足够的表项容量。 | CTX_研发(策略可能更精细)分配更大的策略表项空间。 |
- 业务分析先行:明确每个Context需要承载的业务类型、预期流量峰值、会话建立速率和安全等级要求。
- 非平均分配:避免将所有资源平均分配。核心生产业务、对外服务业务应获得优先级和更多资源。
- 设置资源限额:务必为每个Context配置会话、带宽等资源的硬性上限,这是实现资源隔离和保障的关键。
- 预留全局资源:需要为根系统/管理Context预留一部分资源,用于设备管理、RBM心跳、日志上报等系统级任务。
暂无评论
关于防火墙RBM与Context的组网及资源划分,H3C官方最新的设计理念是采用一种“先拆后叠”的高可靠架构。它既实现了业务的物理隔离,又保证了设备的高可用性。
架构解析:先“拆”(Context)后“叠”(RBM)
这个架构的核心思路分为两步:
第一步:横向“拆解”物理设备,实现业务隔离 (Context):将一台高性能物理防火墙通过Context技术“拆解”成多台逻辑独立的虚拟防火墙。每个Context拥有独立的管理员、接口、安全策略和路由表,彼此完全隔离。这个方案的特点是静态硬隔离,资源独占,故障域隔离效果好,适用于金融、政府、大型企业等对安全隔离性要求极高的场景。
第二步:纵向“堆叠”双机热备,实现设备高可用 (RBM):为每个业务(Context)再部署两台物理设备,并在这两台设备上创建对应的两个逻辑防火墙。然后,在两台物理设备的缺省Context(Admin) 上配置RBM。一旦配置完成,该RBM通道会自动管理其下所有对应的Context(如FW-A-context1与FW-B-context1)的主备状态,实现统一的监控和切换。这个方案的特点是实现N:1的备份,整合设备资源,提高可用性、扩展性和灵活性。
配置要点与最佳实践
一个典型的配置流程如下:
创建Context:在两台物理防火墙上分别创建对应的Context。
资源分配:为每个Context分配独立的接口、CPU权重、内存和磁盘空间。
配置RBM:在缺省Context(Admin) 下,配置两台设备间的RBM通道。
配置监控:为确保业务切换的及时性,需要在缺省Context的RBM配置中加入
track interface命令,监控各Context内的关键接口。当检测到某个Context的接口Down时,主备切换延迟通常为秒级(可通过delay-time参数微调)。
更经济的“软隔离”方案:vSystem
如果您的场景对“硬隔离”的要求没那么极致,H3C防火墙还提供了另一种虚拟化方案:vSystem。
Context vs. vSystem:如果说Context是“硬隔离”方案,那么vSystem就是更轻量级的“软隔离”方案。它采用动态共享式资源分配,系统开销小,因此可以创建更多数量的虚拟设备。管理方式上,两者都支持根系统/缺省Context管理员统一分配,以及租户独立配置的两级管理。但由于资源是共享的,vSystem的隔离程度比Context要弱一些。
选择建议:如果您需要为每个租户提供“专属”硬件资源的承诺,追求最高级别的故障隔离,应选择Context。如果您是云服务提供商或大型企业,需要在一台设备上创建成百上千个虚拟防火墙,更看重灵活性和设备容量,那么vSystem是更合适的选择。
暂无评论
下面分两部分:RBM+Context 组网典型案例、Context 资源划分原则与案例(以 H3C M9000/F1000 系列为主)。
一、RBM+Context 组网典型案例(可直接参考落地)
1. 云计算中心多租户出口(RBM 主备 + 多 Context)
组网场景
两台防火墙(Device A/B)做RBM 主备,作为云平台出口网关。
虚拟出多个 Context(cnt1/cnt2/cnt3…),分别对应不同租户 / 业务域,隔离策略与流量。
上下行接口共享模式分配给所有 Context,每个 Context 独立配置 VRRP、安全策略、NAT。
核心逻辑
RBM:两台设备会话表、配置、会话热备;主设备故障,所有 Context 业务秒切到备设备对应 Context。
Context 隔离:租户间默认不通,各自独立管理、独立安全策略。
共享接口 + VRRP:所有 Context 共用物理接口,各自虚拟 IP 作为租户网关。
简化配置(主设备 A)
plaintext
# 1. 开启RBM
remote-backup group
remote-ip 10.2.1.2
local-ip 10.2.1.1
data-channel interface GigabitEthernet1/0/3
device-role primary
hot-backup enable
# 2. 创建Context并分配共享接口
context cnt1
interface GigabitEthernet1/0/1 share
interface GigabitEthernet1/0/2 share
# 3. Context内配置(切换到cnt1)
context cnt1
interface GigabitEthernet1/0/1
ip address 192.168.1.1 24
vrrp vrid 1 virtual-ip 192.168.1.254
security-policy ...
nat ...
备设备 B 配置类似,RBM 角色为 secondary,Context 配置与 A 一致。
2. 企业多业务域(核心 / 办公 / 运维)隔离
两台防火墙 RBM 主备,划分 3 个 Context:
Context-core:核心业务(ERP、数据库),高资源优先级;
Context-office:办公网(员工 PC、邮件),中等资源;
Context-mgmt:运维管理(iMC、交换机管理),低资源,仅放通管理流量。
上下行接口独占 + 共享混合:核心业务独占接口,办公 / 运维共享接口。
二、Context 资源划分原则 + 可直接套用案例
1. 资源划分核心原则(H3C)
可分配资源:接口、CPU 权重、内存上限、磁盘配额、会话数、NAT 规则数、策略数。
1)按业务优先级分配
核心业务:高 CPU 权重(40%–50%)、高内存(50%+)、最大会话数;
重要业务:中等 CPU(20%–30%)、中等内存;
普通 / 管理业务:低 CPU(5%–10%)、低内存,限制会话数。
2)接口分配:独占优先,共享节约
独占接口:核心业务、高流量业务,避免抢占;
共享接口:办公、运维、低流量租户,1 个物理口分给多个 Context(不同 VRRP/IP)。
3)资源隔离上限
避免单一 Context 耗尽资源;
全局总资源≤100%,预留 10%–20% 给系统 / 缺省 Context。
2. 典型资源划分案例(3 个 Context,可直接复制)
场景:企业 3 业务域(核心 / 办公 / 运维)
物理设备:H3C M9000,总 CPU 权重 100,总内存 16G,最大会话 100 万。
表格
资源项 Context-core(核心) Context-office(办公) Context-mgmt(运维) 系统预留
CPU 权重 50 30 10 10
内存上限 8G(50%) 4G(25%) 2G(12.5%) 2G
最大会话数 50 万 30 万 10 万 10 万
接口分配 1/0/1(独占)、1/0/5(独占) 1/0/2(共享) 1/0/2(共享)、1/0/3(共享) -
VRRP 虚拟 IP 192.168.10.254 192.168.20.254 192.168.30.254 -
配置示例(系统视图)
plaintext
# 1. 创建Context
context core
description Core_Business
context office
description Office_Network
context mgmt
description Management
# 2. 分配CPU权重
context core
cpu-weight 50
context office
cpu-weight 30
context mgmt
cpu-weight 10
# 3. 分配内存上限(单位MB)
context core
memory-limit 8192
context office
memory-limit 4096
context mgmt
memory-limit 2048
# 4. 分配会话数上限
context core
session-limit 500000
context office
session-limit 300000
context mgmt
session-limit 100000
# 5. 分配接口(独占+共享)
context core
interface GigabitEthernet1/0/1
interface GigabitEthernet1/0/5
context office
interface GigabitEthernet1/0/2 share
context mgmt
interface GigabitEthernet1/0/2 share
interface GigabitEthernet1/0/3 share
3. 多租户共享出口(4 租户)划分案例
4 个租户,共享上下行接口,按带宽 / 用户数分配资源:
租户 A(大客户,1000 人):CPU40、内存 6G、会话 40 万;
租户 B(中客户,500 人):CPU25、内存 3G、会话 25 万;
租户 C(小客户,200 人):CPU15、内存 2G、会话 15 万;
租户 D(测试):CPU5、内存 1G、会话 5 万;
系统预留:CPU15、内存 4G、会话 10 万。
三、RBM+Context 关键注意点
RBM 必须全局开启,主备设备型号 / 版本 / Context 数量 / 配置完全一致。
共享接口注意:同一物理口可共享给多个 Context,各 Context 虚拟接口 MAC/IP 独立,通过 VRRP 作为网关。
资源上限不要超配:CPU 权重总和≤90,内存总和≤80% 物理内存,避免系统宕机。
跨 Context 互通:默认隔离,需在缺省 Context 或通过共享接口配置跨 Context 路由 / 策略。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论