《H3CSecPath M9000产品培训》由会员分享,可在线阅读,更多相关《H3CSecPath M9000产品培训(47页珍藏版)》请在金锄头文库上搜索。
1、0H3C SecPath M9000产品培训产品培训ISSUE 1.0作者:翟运波杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播日期:2014-03-10n了解了解SecPath M9000产品的硬件架构产品的硬件架构n掌握掌握SecPath M9000产品的软件特性产品的软件特性n熟悉熟悉SecPath M9000产品产品的典型应用的典型应用课程目标课程目标学习完本课程,您应该能够:学习完本课程,您应该能够:nSecPath M9000产品硬件架构产品硬件架构nSecPath M9000产品软件特性产品软件特性nSecPath M9000典型应用典型应用目录目录3SecPath
2、M9000系列多业务安全网关系列多业务安全网关n产品定位:产品定位:大型数据大型数据中心中心 、大型企业及园区网大型企业及园区网出口、云出口、云服务服务提供商多提供商多租户、租户、运营商运营商CGN等等场景场景n产品形态:产品形态:全全分布式硬件架构、多业务安全网关分布式硬件架构、多业务安全网关M9006M9010M4全分布式硬件架构全分布式硬件架构交换引擎交换引擎交换引擎业务引擎处理器主控引擎处理器主控引擎处理器业务引擎处理器接口单元处理器交换引擎控制、交换、业务、接口控制、交换、业务、接口完全物理完全物理分离分离!业务引擎就是各种安全板卡,可以对数据进行安全检测、过滤和审计等。接口单元提供
3、各种丰富、灵活的接口,方便业务接入。主控引擎是设备的控制中心,负责设备的硬件监控、配置管理等工作。123交换引擎负责接口板和业务板之间数据的高速转发。4主控引擎主控引擎、业务引擎业务引擎、交换引擎交换引擎、接口、接口单元完全物理单元完全物理分离分离5多业务安全网关多业务安全网关大规模策略访问控制多样化VPN接入多链路智能调度全面流量分析高性能DDoS防护高性能入侵防御服务器负载均衡精细化应用管控大容量NAT专业病毒防护虚机扩容动态云计算虚拟化安全防火墙FW负载均衡LBSSLVPN网流分析NSM入侵防御IPS应用控制ACG6SecPath M9000产品硬件特性产品硬件特性M9006M9010M
4、9014主控板槽位数量主控板槽位数量222业务板业务板+接口板槽位数量接口板槽位数量4812交换网板槽位数量交换网板槽位数量444整机交换容量整机交换容量1.92Tbps8.96Tbps13.44Tbps每槽位带宽每槽位带宽480Gbps1120Gbps1120Gbps电源槽位数量电源槽位数量466风扇槽位数量风扇槽位数量7SecPath M9000产品外观产品外观主控引擎安全/接口业务板电源M9006M9010M8SecPath M9000产品外观产品外观风扇交换网板出风口M9006M9010M9SecPath M9000产品主控引擎产品主控引擎nSecPath M9000全系列产品共用一款
5、主控引全系列产品共用一款主控引擎,每个框支持擎,每个框支持2块,可以实现块,可以实现1+1备份。备份。NSQM1SUPB0CPU多核(XLP316)内存内存8GFlash512MConsole 1管理口管理口10SecPath M9000产品接口板产品接口板高密万兆高速40/100G高密千兆NSQM1GP24TXEA0NSQM1GP48EB0NSQM1GT48EA0NSQM1TGS8EA0NSQM1TGX4EA0NSQM1TGS32SF0NSQM1QGS4SF0More More NSQM1CGC2SE11SecPath M9000高性能安全业务处理板高性能安全业务处理板FW吞吐量并发连接数每
6、秒新建连接40G3000万60万LB吞吐量(L4)吞吐量(L7)并发连接数每秒新建连接20G10G3000万60万IPS吞吐量并发连接数每秒新建连接15G3000万20万12SecPath M9000兼容安全业务处理板兼容安全业务处理板ACG吞吐量并发连接数每秒新建连接2G200万5万SSLVPN吞吐量最大在线用户数每秒新建连接2G100005000NSM吞吐量IPv4流数量IPv6流数量4G250万56万13SecPath M9000全系列安全业务板全系列安全业务板现阶段现阶段NSQM1FWCEA0FirewallLBIPSNSMACGSSL VPN将来将来NSQM1FWCEA0LSQM1L
7、BSC0LSU1IPSBEA0LSQM1NSMSC0LSQM1ACGSC0LSQM1SSLSC0NSQM1LBCEA0NSQM1IPSCEA0NSQMNSMCEA0More More 14SecPath M9000产品规格产品规格吞吐量吞吐量防火墙吞吐量(大包)120G240G400G防火墙吞吐量(混合包)105G210G350G包转发率(64Bytes)36M72M120M并发连接数并发连接数并发连接数9000万1.8亿3亿每秒新建连接数每秒新建连接数每秒新建连接数(HTTP)180万/秒360万/秒600万/秒M9006M9010M9014Firewall Firewall 15SecPa
8、th M9000产品形态产品形态V7机框机框+V5安全板卡安全板卡FWLBIPSV7机框机框+V7安全板卡安全板卡FWLBIPS16SecPath M9000交换引擎交换引擎n高速的交换芯片高速的交换芯片n先进的先进的CLOS架构架构n支持支持N+1冗余备份冗余备份M9006:NSQM1FAB04B0M9010:NSQM1FAB08D0M9014:NSQM1FAB12D0网板型号适用机框每网板带宽(High speed) 每网板带宽(Low speed) NSQ1FAB04B0M9006480Gbps/720Mpps 80Gbps/120Mpps NSQ1FAB08D0M9010960Gbps
9、/1.44Gpps 160Gbps/240Mpps NSQ1FAB12D0M90141400Gbp/2.16Gpps 240Gbps/360Mpps 17SecPath M9000电源模块电源模块uSecPath M9000两种电源所有机框通用,两种电源所有机框通用,M9006最多最多支持支持4个个电源电源,M9010/M9014最多最多可可支持支持6个个电源。电源。uM9000电源电源支持支持N+M 配置模式,灵活根据配置模式,灵活根据系统功耗配置模块系统功耗配置模块数量。数量。LSUM1AC2500LSUM1DC2400电源型号电源型号电源类型电源类型输入电压和电流范围输入电压和电流范围最
10、大输出功率最大输出功率LSUM1AC2500 交流电源模块100240V AC;50/60Hz;16A 2500WLSUM1DC2400 直流电源模块-48V-60V DC;60A2400W18SecPath M9000风扇模块风扇模块nSecPath M9000 风扇风扇采用采用冗余设计,冗余设计,风扇支持智能自动调速风扇支持智能自动调速,同时,同时风扇也支风扇也支持设置特定持设置特定转速,可查询转速,可查询风扇上各个叶风扇上各个叶片实时片实时转速。转速。M9006风扇M9010风扇M9014风扇19SecPath M9000防尘网防尘网l防尘网安装在机箱散热风道的进风口防尘网安装在机箱散热
11、风道的进风口,用于防用于防止大量灰尘被吸入机箱内部。止大量灰尘被吸入机箱内部。M9006有两块有两块防尘网,防尘网,M9010有一块,有一块,M9014有三块。有三块。M9000的防尘网属于可选部件。的防尘网属于可选部件。nSecPath M9000产品硬件架构产品硬件架构nSecPath M9000产品软件特性产品软件特性nSecPath M9000典型应用典型应用目录目录21SecPath M9000系统软件架构系统软件架构主控引擎软件系统主控引擎软件系统接口板业务引擎软件系统业务引擎软件系统主控引擎FWLBIPSComwareComwareComwareiWareDrivers业务分流业
12、务分流QOS报文报文转发转发组播复制组播复制BFD会话管理会话管理域域间策略间策略NATVPN报文异常检测报文异常检测DoS/DDoS攻攻击防范击防范应用控制应用控制虚拟虚拟防火墙防火墙L4服务器负载服务器负载L7服务器负载服务器负载Outbound链链路负载路负载Inbound链路链路负载负载健康性检测健康性检测就近性探测就近性探测持续性持续性病毒防御病毒防御攻击检测攻击检测URL过滤过滤DDoS防范防范带宽管理带宽管理日志和报表日志和报表高可靠性高可靠性设备管理设备管理配置管理配置管理协议协议交互交互表表项下发项下发集群管理集群管理日志监控日志监控 22智能分流框架(智能分流框架(IFF)
13、防火墙模块防火墙模块防火墙模块防火墙模块登录Master,配置策略策略自动下发到所有业务模块业务流自接口单元进入智能分流,全业务负载分担主控引擎1主控引擎2防火墙模块防火墙模块防火墙模块IPS模块LB模块接口模块业务引擎动态加入/退出,流量自动分担多业务智能调度交交换换网网智能业务分发交交换换网网23单一类型业务引擎智能分流单一类型业务引擎智能分流IO引擎FW业务引擎FW业务引擎FW业务引擎主控根据业务引擎成员状况,业务配置需求,自动下发正反向引流规则独立交换引擎 3+1冗余主控引擎1+1冗余IO引擎IO引擎IO引擎IO引擎:引流策略到某一业务引擎业务引擎针对隧道类业务,ALG业务动态下发正反
14、向引流规则FW引擎:路由策略到IO引擎主控配置、路由通过管理通道自动下发到各业务引擎24多类型业务引擎智能分流多类型业务引擎智能分流IO引擎FW业务引擎IPS业务引擎LB业务引擎主控根据业务引擎成员状况,业务配置需求,自动下发引流规则独立交换引擎 3+1冗余主控引擎1+1冗余IO引擎IO引擎IO引擎IO引擎:引流规则到FW引擎针对隧道类、ALG业务动态下发引流策略FW:引流策略到IPS引擎IPS:引流策略到LB引擎LB:路由策略到IO引擎主控配置、路由自动下发到多业务引擎25NAT特性特性IMailWeb多功能多功能高性能高性能可视化 PAT/NO-PAT Easy-IP NAT Server
15、 NAT Static NAT444 ALG(FTP/DNS/SIP) NAT 吞吐:400G NAT 新建:600万/秒 NAT 并发:3亿 NAT连接数限制 NAT二进制日志 NAT444用户/会话日志26VPN特性特性总部InternetIPSec加密加密l2tp + IPSecGRE + IPSecInternetInternet合作伙伴企业分支出差员工l丰富的丰富的VPN功功能:能:L2TP VPNGRE VPNIPSec VPNSSL VPNMPLS VPNl高效的加密高效的加密/认认证算法:证算法:DES/3DESAESMD5/SHA-1l多样的认证方多样的认证方式:式:本地认证
16、RADIUSLDAPPKI/CA27攻击防范攻击防范黑名单黑名单扫描攻扫描攻击防范击防范DDoS防范防范 动态黑名单动态黑名单 静态黑名单静态黑名单 地址扫描地址扫描 端口扫描端口扫描畸形报文畸形报文攻击防范攻击防范 ICMP Flood UDP Flood SYN Flood DNS Flood Fraggle攻击检测攻击检测 Land攻击检测攻击检测 WinNuke攻击检测攻击检测 TCP Flag攻击检测攻击检测 ICMP不可达报文攻不可达报文攻击检测击检测 Smurf攻击检测攻击检测 超大超大ICMP报文攻击报文攻击检测检测S28服务器负载均衡服务器负载均衡负荷负荷60负荷负荷60负荷
17、负荷60负荷负荷60负荷负荷60LBSW全面的负载特性全面的负载特性丰富的调度算法丰富的调度算法灵活的健康性检测灵活的健康性检测 L4服务器负载 L7服务器负载 IPv6服务器负载 (加权)轮询 (加权)最小连接 (加权)随机 源地址(端口)散列 ACL策略 ICMP TCP/UDP SNMP SSL Radius DNS/FTP/HTTPSMTP/POP3多样化的持续性多样化的持续性 源IP地址(端口) 目的IP地址(端口) Cookie插入/重写/截取 SIP的Call-ID HTTP报文头29链路负载均衡链路负载均衡n同时支持同时支持Outbound和和Inbound链路负链路负载载n支
18、持持续性、支持持续性、ACL策略、策略、ISP选路、就选路、就近性、调度算法等多种灵活的选路机制近性、调度算法等多种灵活的选路机制n支持(加权)轮询、随机、最小连接,支持(加权)轮询、随机、最小连接,源源/目的地址散列,加权带宽、最大带宽目的地址散列,加权带宽、最大带宽等多种丰富的调度算法。等多种丰富的调度算法。ISP1ISP31234561265ISP234LB30深度检测深度检测路由器交换机IPS内部网络内部网络漏洞漏洞漏洞漏洞库库库库协议库协议库协议库协议库病毒库病毒库病毒库病毒库n 攻击防范攻击防范n 病毒检测病毒检测n URL过滤过滤n DDoS防护防护n 带宽管理带宽管理n 统计报
19、表统计报表三库合一实现全面攻击防御三库合一实现全面攻击防御31安全集群框架(安全集群框架(SCF)nSecPath M9000首创多核全分布式安全设备首创多核全分布式安全设备框架集群技术,全面突破机框的限制,在简化框架集群技术,全面突破机框的限制,在简化管理和部署的基础上同时实现了安全业务和安管理和部署的基础上同时实现了安全业务和安全性能的弹性扩展全性能的弹性扩展。FWIPSLBFWIPSLBFWIPSLBFWIPSLBFWIPSLB32安全集群框架安全集群框架(SCF)(SCF)业务引擎集群业务引擎集群-两框集群两框集群-4框集群框集群-异构集群异构集群FW1FW2LB1LB2IPSFW组L
20、B组IPS组33安全集群主备模式安全集群主备模式SWSWSWSWIRFIRFIRF SWIRF SWASASASAAAS冗余口冗余口冗余组n通过将主备设备接口加入冗余口,根据SCF主备状态阻断备机链路n通过将上下行冗余口加入冗余组,实现上下行联动n可以监控接口、链路、引擎状态,实现主备切换n上下行聚合组网、独立三层上行n链路双活n业务引擎通过备份组实现主备trunktrunk备份组1备份组2备份组3VRRPVRRP34安全安全N:N高可靠性高可靠性SCFIO引擎1IO引擎3IO引擎2IO引擎4IO引擎引擎192.168.1.1:1024202.101.1.1:80 TCP12New Owner
21、(主设备故障,新的转发设备)Director(备份)345202.101.1.1:80-192.168.1.1:1024 TCP1)IO引擎根据负载分担算法将正向流分配到业务引擎1,该业务引擎成为该数据流的所有者,成为主引擎2)数据流所有者根据数据流五元组信息计算出备份引擎,将会话同步给备份引擎3)主引擎故障4)对于原数据流,IO引擎通过负载分担算法分发到引擎45)引擎4向备份引擎获取主引擎信息,得知主引擎故障,从备份引擎得到备份会话信息,然后成为该数据流新的主引擎主转发引擎交换引擎主机1主机35安全集群优势安全集群优势普通双机集群管理双机独立管理、依靠配置同步无法保证主备配置完全一致,配置冲
22、突问题无法避免多台设备SCF后,一体化管理,统一配置下发,不存在配置冲突问题组网两台设备独立、对外互联IP至少2个,一般3个,公网地址浪费多台设备SCF后,对外逻辑上是一台设备,互联IP为1个VRRP方式下,依赖上下行设备的二层通道通过内部互联SCF链路协商,不依赖外部设备多组VRRP单独协商,需要复杂track保持上下行一致冗余组方式通过将上下行接口加入同一冗余组,监控接口、链路、引擎状态统一切换;引擎备份方式,接口、链路聚合切换,引擎故障,引擎组备份组切换,外部无感知双主热备模式下,任意接口、链路、,整机切换,导致收敛时间长,性能减半SCF内所有引擎N:N备份,接口故障、链路故障,所有引擎
23、处理,性能不损失;引擎故障,损失一个引擎性能扩展性业务扩容时,需要整机断电升级SCF内所有引擎N:N备份,任意引擎拔出插入,业务无影响最多两台,要求硬件型号一致最多4台设备、硬件型号可以不同36虚拟化虚拟化安全安全ONE平台(平台(SOP)n完全虚拟化,各完全虚拟化,各SOP系统管理、转发全部隔离系统管理、转发全部隔离n资源分配灵活,所有资源分配均可保障、限制或抢占资源分配灵活,所有资源分配均可保障、限制或抢占n高性能,基于多核高性能,基于多核CPU架构、大容量内存以及高效的软件系统,架构、大容量内存以及高效的软件系统,每个每个SOP可以获得足够的软硬件资源可以获得足够的软硬件资源n可靠性高,
24、一个可靠性高,一个SOP故障,其它故障,其它SOP不受影响不受影响FWIPSLBFWIPSLBFWIPSLBFWIPSLB37安全安全SOP实现原理实现原理硬件平台操作系统基础功能(驱动、任务调度、内存管理、定时器等)SOP1-OSSOP2-OSInit进程CLI进程SNMP进程OSPF进程Init进程CLI进程SNMP进程OSPF进程数据转发内核线程NAT内核线程ASPF内核线程数据用户态空间内核态空间转发内核线程NAT内核线程ASPF内核线程38SOP CPU调度机制调度机制10%20%30%40%50%最小可以使用的CPU时间片当前使用的时间片最大可使用的时间片金牌用户,保证10%,最大
25、可使用40%银牌用户,保证5%,最大可使用15%铜牌用户,无保证,最大可使用10%10%20%30%40%50%所有租户流量都大时,保证金牌租户的最低值39SOP虚拟资源池虚拟资源池引擎引擎1VFW1VFW2VFW3VFW3VFW5VFW6VFW7VFW8VFW9VFW10VFW11VFW12VFW13VFW14VFW15VFW16VFW17VFW18引擎引擎2引擎引擎3引擎引擎4引擎引擎5引擎引擎6n虚墙的划分以业务集群组为单位虚墙的划分以业务集群组为单位n扩展业务板后,虚拟化扩展有如下两种形态:扩展业务板后,虚拟化扩展有如下两种形态:纵向:单虚墙的能力不变,可划分的虚墙数量增加横向:单虚墙
26、的能力增加,可划分地虚墙数量不变VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4引擎引擎1引擎引擎2引擎引擎3引擎引擎4引擎引擎5引擎引擎6VFW1VFW2VFW4VFW5引引擎擎集集群群40开放平台开放平台IMC APIsHardware PlatformIMC SSMComware APIs用户应用平台接口编译解析器脚本解释器3rd程序编程接口EAA自动化架构TCL脚本自定义程序预定事件及动作Comware V7操作系统操作系统安全nVPN接入n访
27、问控制n攻击防范n行为审计交付n负载均衡n应用QoSn链路优化资源池nSOP创建nSOP能力分配nSOP迁移nSecPath M9000产品硬件架构产品硬件架构nSecPath M9000产品软件特性产品软件特性nSecPath M9000典型应用典型应用目录目录42园区网场景园区网场景AC云管理平台、网络管理平台平电信联通汇聚1汇聚2汇聚3汇聚N教学楼NACAPACAP教学楼1ACAP宿舍楼u多业务网关同时提供4-7层安全防护及应用交付功能u防火墙提供高性能NAT及安全策略控制uLB提供多链路智能选路或者服务器负载功能uACG提供上网行为审计和带宽管理功能u配合IMC SSM平台实现海量日志
28、审计教育网图书馆APM43云计算数据中心场景云计算数据中心场景40G LacpacpInternetu接口万兆上行,通过高密万兆或40G捆绑保障业务带宽uSCF提供多业务弹性扩展能力uN:N备份,简化网络部署,提高可靠性,保证业务零中断10G LACP40G LACPM44公有云多租户场景公有云多租户场景CloudM9000VM1VM2VM2VFWTenant A(VLAN100)(VLAN1000)u租户A为金牌客户,提供防火墙、IPS和SLB功能,保证处理能力的10%u租户B为银牌客户,提供防火墙、LB功能,保证处理能力5%u其他租户为铜牌客户,提供防火墙功能,限制处理能力5%u软件防火墙VFW负载同租户内同VLAN内流量防火墙u安全控制防火墙负租户间的访问控制u安全控制防火墙负责Internet访问租户流量M9000vSwitchVFWTenant B(VLAN200)Tenant C(VLAN1000)u允许Web访问App 80端口u仅允许Web/App访问DPWebServerAppServerDBServernSecPath M9000产品硬件架构产品硬件架构nSecPath M9000产品软件特性产品软件特性nSecPath M9000产品典型组网产品典型组网本章总结本章总结杭州华三通信技术有限公司
