1 Context
设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
| 型号 | 特性 | 描述 |
| M9006/M9010/M9014 | Context | 支持 |
| F5000-S/F5000-C/F5010/F5020/F5040 | 支持 | |
| F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080 | · F1005/F1010不支持 · F1020/F1030/F1050/F1060/F1070/F1080支持 | |
| F1000-AK110/AK120/AK130/AK140/AK150/AK160/AK170/AK180 | · F1000-AK110/AK120不支持 · F1000-AK130/AK140/AK150/AK160/AK170/AK180支持 | |
| LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 | 支持 | |
| LSWM1FWD0/LSXM1FWDF1/LSPM6FWD/LSUM1FWDEC0/LSQM1FWDSC0/IM-NGFWX-IV | 支持 |
1.1 Context简介
通过虚拟化技术将一台物理防火墙划分成多台逻辑防火墙,每台逻辑防火墙就称为一个Context。每个Context拥有自己专属的软硬件资源,独立运行。
对于用户来说,每个Context就是一台独立的防火墙,方便管理和维护;对于管理者来说,可以将一台物理设备虚拟成多台逻辑设备供不同的分支机构使用,可以保护现有投资,提高组网灵活性。
1.1.1 Context的应用
如图1-1所示,LAN 1、LAN 2和LAN 3是三个不同的局域网,它们通过同一台防火墙Firewall连接到外网。通过虚拟化技术,能让一台防火墙当三台防火墙使用。具体做法是,在Firewall上创建三个Context(Context 1、Context 2、Context 3),分别负责LAN 1、LAN 2、LAN 3的安全接入。LAN 1、LAN 2、LAN 3的网络管理员可以(也只能)分别登录到自己的防火墙进行配置、保存、重启等操作,不会影响其它网络的使用,其效果等同于LAN 1、LAN 2和LAN 3分别通过各自的防火墙Firewall 1、Firewall 2、Firewall 3接入Internet。
图1-1 Context组网示意图
1.1.2 缺省Context和非缺省Context
· 设备支持Context功能后,整台物理设备就是一个Context,称为缺省Context,如图1-1中的Firewall。当用户登录物理设备时,实际登录的就是缺省Context。用户在物理设备上的配置实质就是对缺省Context的配置。缺省Context的名称为Admin,编号为1。缺省Context不需要创建,不能删除。
· 与缺省Context相对应的是非缺省Context,如图1-1中的Context 1、Context 2、Context 3。非缺省Context是管理员在设备上通过命令行创建的,可分配给不同的接入网络使用。
· 缺省Context拥有对整台物理设备的所有权限,它可以使用和管理设备所有的资源。缺省Context下可以创建/删除非缺省Context,给非缺省Context分配CPU资源/磁盘/内存空间、接口、VLAN,没有分配的CPU资源/磁盘/内存空间、接口、VLAN由缺省Context使用和管理。
· 非缺省Context下不可再创建/删除非缺省Context,它只能使用缺省Context分配给自己的资源,并在缺省Context指定的资源限制范围内工作,不能抢占其他Context或者系统剩余的资源。
1.2 Context配置限制和指导
1.2.1 引擎组相关注意事项
· 一个Context只能绑定一个安全引擎组;一个安全引擎组可以和多个Context绑定。
· 一个防火墙插卡只能加入一个安全引擎组;一个安全引擎组中可以加入多个防火墙插卡。
· 如果将非缺省安全引擎组中的最后一个防火墙插卡移出,系统会自动删除该非缺省安全引擎组。
· 如果将防火墙插卡从一个安全引擎组移入其它安全引擎组,系统会自动重启该防火墙插卡,导致该防火墙插卡上的业务中断。请先规划安全引擎组,再配置。
1.2.2 分配VLAN时的注意事项
· 共享VLAN必须是设备上存在的VLAN。请先创建VLAN,再指定共享VLAN。
· VLAN 1不能被共享。
· 端口的缺省VLAN不能被共享。
· 已经创建了VLAN接口的VLAN不能被共享。
1.2.3 分配接口时的注意事项
(1) 有些接口可以创建子接口,这样的接口我们称为父接口。分配父接口与子接口时:
· 不能将子接口独占分配给Context。
· 如果子接口已经被分配,则不能再分配其父接口。
· 如果父接口已经被分配,则不能再分配其子接口。
(2) 分配聚合接口与成员接口时:
· 聚合接口只能共享分配给Context。
· 不能将成员接口共享分配给Context。
(3) 如果接口已经被共享分配,则不能再独占分配。需将共享分配配置取消后,才能独占分配。
(4) 不允许独占分配逻辑接口。
(5) 当设备运行在IRF模式时,禁止将IRF物理端口分配给自定义Context。
(6) 当三层物理子接口与聚合子接口作为冗余口的成员端口时,禁止把其主接口共享给自定义Context。
1.3 Context配置任务简介
表1-1 Context配置任务简介
| 配置任务 | 说明 | 详细配置 | |
| 创建Context | 必选 | ||
| 将Context进驻安全引擎 | 配置安全引擎组 | 必选 | |
| 将Context进驻安全引擎组 | 必选 | ||
| 为context分配资源 | 可选 | ||
| 启动Context | 必选 | ||
| 访问和管理Context | 必选 | ||
1.4 创建Context
创建Context相当于构造了一台新的防火墙。
创建Context时,通过vlan-unshared参数可选择是否和其它Context共享VLAN:
· 如果选择和其它Context共享VLAN,需要在缺省Context内创建并配置VLAN,再分配给非缺省Context。共享VLAN由多个Context共同所有。
· 如果选择不和其它Context共享VLAN,请登录该Context,并使用vlan命令创建VLAN 1~VLAN 4094。Context各自使用和管理VLAN,互不干扰。
表1-2 创建Context
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 创建Context,并进入Context视图 | context context-name [ id context-id ] [ vlan-unshared ] | 缺省情况下,设备上存在缺省Context,名称为Admin,编号为1 |
| 配置Context的描述信息 | description text | 缺省情况下,缺省Context描述信息为DefaultContext。非缺省Context没有配置描述信息 |
1.5 将Context进驻安全引擎
设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
| 型号 | 特性 | 描述 |
| M9006/M9010/M9014 | 将Context进驻安全引擎 | 支持 |
| F5000-S/F5000-C/F5010/F5020/F5040 | 不支持 | |
| F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080 | 不支持 | |
| F1000-AK110/AK120/AK130/AK140/AK150/AK160/AK170/AK180 | 不支持 | |
| LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 | 不支持 | |
| LSWM1FWD0/LSXM1FWDF1/LSPM6FWD/LSUM1FWDEC0/LSQM1FWDSC0/IM-NGFWX-IV | 不支持 |
安全引擎是设备上的硬件。Context创建后,必须进驻安全引擎,才有实际运行的环境,才能运行业务。
M9006/M9010/M9014上通常配备多个安全引擎,安全引擎组用来组织和管理这些安全引擎。请先配置安全引擎组,再将Context进驻安全引擎组,这样,Context就能进驻安全引擎组中的所有安全引擎。
1.5.1 配置安全引擎组
安全引擎组用于组织和管理安全引擎。新创建的安全引擎组内没有安全引擎,必须先将安全引擎加入安全引擎组,才能使Context进驻到安全引擎。
一个安全引擎只能属于一个安全引擎组;一个安全引擎组下可添加多个安全引擎,系统会自动选举一个为主安全引擎,其它为备安全引擎。备安全引擎以备份身份运行,当主安全引擎不能正常工作时,会将一个备安全引擎升级为新的主安全引擎,替代原主安全引擎工作。
表1-3 配置安全引擎组
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 创建安全引擎组并进入该安全引擎组视图 | blade-controller-team blade-controller-team-name [ id blade-controller-team-id ] | 缺省情况下,设备上有一个缺省安全引擎组,名称为Default,编号为1
缺省引擎组内必须有安全引擎加入,并且安全引擎能够正常工作,否则系统不能正常运行 |
| 将安全引擎加入安全引擎组(分布式设备-独立运行模式) | location blade-controller slot slot-number cpu cpu-number | 缺省情况下,安全引擎插入时会自动加入缺省安全引擎组 |
| 将安全引擎加入安全引擎组(分布式设备-IRF模式) | location blade-controller chassis chassis-number slot slot-number cpu cpu-number | 缺省情况下,安全引擎插入时会自动加入缺省安全引擎组 |
1.5.2 将Context进驻安全引擎组
为了在Context上启动业务,用户必须将Context进驻安全引擎组。Context进驻安全引擎组后,会进驻安全引擎组内的所有安全引擎。
Context和安全引擎组的关系如下:
· 一个Context只能进驻一个安全引擎组。如果该Context已经进驻一个安全引擎组,请先执行undo location blade-controller-team命令退出已进驻的安全引擎组,再配置location blade-controller-team命令,进驻其它安全引擎组。
· 安全引擎组中加入新的安全引擎后,安全引擎组上已进驻的Context会自动进驻到新加入的安全引擎上,不需要再次配置。
表1-4 将Context进驻安全引擎组
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入Context视图 | context context-name | - |
| 将Context进驻安全引擎组 | location blade-controller-team team-id | 缺省情况下,缺省Context进驻了所有安全引擎组,非缺省Context没有进驻任何安全引擎组 |
1.6 为Context分配资源
1.6.1 为Context分配接口
设备上的所有接口都属于缺省Context,不属于任何非缺省Context。请给非缺省Context分配接口,它才能和网络中的其它设备通信。
为了提高防火墙接口的利用率,在给Context分配接口时,可以选择:
· 独占方式分配(不带share参数)。使用该方式分配的接口仅归该Context所有、使用。用户登录该Context后,能查看到该接口,并执行接口支持的所有命令。
· 共享方式分配(带share参数):表示将一个接口分配给多个Context使用,这些Context共享这个物理接口,但是在各个Context内会创建一个同名的虚接口,这些虚接口具有不同的MAC地址和IP地址。设备从共享的物理接口接收报文后交给对应的虚拟接口处理;出方向,虚拟接口处理完报文后,会交给共享的物理接口发送。使用该方式,可以提高防火墙接口的利用率。通过共享方式分配的接口:
¡ 在缺省Context内仍然存在该接口,该接口可执行接口支持的所有命令;
¡ 在非缺省Context内,会新建一个同名接口,用户登录这些Context后,能查看到该接口,但只能执行shutdown、description以及网络/安全相关的命令。
表1-5 为Context分配接口
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入Context视图 | context context-name | - |
| 为Context分配接口 | allocate interface { interface-type interface-number }&<1-24> [ share ] | 二者选其一 缺省情况下,设备上的所有接口都属于缺省Context,不属于任何非缺省Context |
| allocate interface interface-type interface-number1 to interface-type interface-number2 [ share ] |
1.6.2 为Context分配VLAN
创建Context时,如果不选择vlan-unshared参数,则表示和其它Context共享VLAN。对于共享VLAN,请先在缺省Context内创建VLAN,再通过allocate vlan命令将指定VLAN分配给指定的Context使用。
表1-6 为Context分配VLAN
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入Context视图 | context context-name | - |
| 为Context分配VLAN | allocate vlan vlan-id&<1-24> | 二者选其一 缺省情况下,没有为Context分配VLAN |
| allocate vlan vlan-id1 to vlan-id2 |
1.6.3 限制Context的吞吐量
该配置对NSQM1FWDFG0/NSQM1FWDFGA1/NSQM1FWDFGB1/NSQM1FWDFGC1/NSQM1FWDFGD1/NSQM1FWDFGB0/NSQM1FWDFGC0插卡不生效。
如果多个Context进驻同一个安全引擎,则所有Context共同竞争安全引擎上的资源。安全引擎会按实际转发能力处理所有Context的报文。为了防止一个Context的报文过多而导致其它Context的报文被丢弃,需要限制Context的吞吐量。在计算Context的吞吐量时,协议报文不计算在内,即协议报文直接放行,不受吞吐量限制的约束。
需要注意的是,一个Context的吞吐量,是在其进驻的每个安全引擎内独立计算的,即Context在每个进驻的安全引擎上享有相同的吞吐量,多个报文分散在不同引擎处理时,实际吞吐量会大于限制的值。
表1-7 限制Context的吞吐量
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入Context视图 | context context-name | - |
| 设置Context的吞吐量限制 | capability throughput { kbps | pps } value | 缺省情况下,各Context不做吞吐量限制,按实际能力转发 |
1.6.4 限制Context对象策略规则总数
一个Context内可以配置多个对象策略,一个对象策略内包含多个规则。如果不加限制,会出现大量规则占用过多的内存的情况,影响Context的其它功能正常运行,或者影响到进驻同一个安全引擎的其它Context。所以,请根据需要为Context设置对象策略规则总数限制。当规则总数达到限制值时,后续不能新增规则。关于对象策略的详细描述请参见“安全配置指导”中的“对象策略”。
表1-8 限制Context对象策略规则总数
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入Context视图 | context context-name | - |
| 设置Context的对象策略规则总数限制 | capability object-policy-rule maximum max-value | 缺省情况下,不限制Context的规则总数 |
1.6.5 限制Context会话并发数
如果一个Context建立了太多会话表会导致其他Context的会话由于内存不够而无法建立,为了防止这种情况,需要限制Context建立会话表的数量。
需要注意的是:
· Context会话并发数限制对本机流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP类型的七层负载均衡等业务。
· 一个Context的最大会话数,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的最大会话数,多个报文分散在不同引擎处理时,实际建立的会话数会大于限制的值。
表1-9 为Context限制会话并发数
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入Context视图 | context context-name | - |
| 设置Context的单播会话并发数限制 | capability session maximum max-number | 缺省情况下,不限制该Context允许的单播会话并发数 |
1.6.6 限制Context会话新建速率
如果一个Context的会话新建速率过快会导致其他Context由于CPU处理能力不够而无法建立会话,为了防止这种情况,需要限制Context的会话新建速率。
需要注意的是:
· Context会话新建速率限制对本机流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP类型的七层负载均衡等业务。
· 一个Context的会话新建速率,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的会话新建速率,多个报文分散在不同引擎处理时,实际的会话新建速率会大于限制的值。
表1-10 为Context限制会话新建速率
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入Context视图 | context context-name | - |
| 设置Context的会话新建速率限制 | capability session rate max-value | 缺省情况下,不限制该Context允许的会话新建速率 |
1.7 启动Context
Context创建后需要执行context start命令,才能完成新Context的初始化,相当于上电启动。启动后,用户可以登录到该Context执行配置。
正常程序启动Context时,设备会先做一些检查(比如Context的主、备进程能否正常启动),满足条件后,才启动Context,该命令会保证主备的Context状态一致,如果某成员设备或安全引擎上的Context启动失败,则会导致所有该Context进程启动失败。正常程序启动的Context能更好的保证Context的业务正常运行,所以,通常情况下,使用context start命令启动Context即可。force参数用于以下场景:在IRF环境,如果主备倒换或者配置恢复过程中出现内存不足,会导致部分Context虽然可以处理业务,但因为它们的主、备进程状态不一致,这些Context一直停留在updating或者inactive状态。当内存资源恢复后,执行context start force命令,设备会在不中断业务的情况下,尽可能修复不正常的Context进程,让这些Context恢复到正常状态。
表1-11 启动Context
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入Context视图 | context context-name | - |
| 启动Context | context start [ force ] | - |
在使用context start force前,用户可以通过display context、display system internal context configuration-status、display system internal context running-status命令查看Context的运行情况。
1.8 为Context分配CPU/磁盘/内存资源
Context进驻安全引擎组后,才能使用安全引擎组中安全引擎上的资源,包括CPU、磁盘和内存。如果多个Context进驻同一个安全引擎,这些Context会共享该安全引擎的CPU/磁盘/内存资源,为了防止一个Context过多的占用CPU/磁盘/内存,而导致其它Context无法运行,需要限制Context对CPU/磁盘/内存资源的使用。
(1) CPU权重
当CPU无法满足所有Context的处理需求时,系统将按照CPU权重值为每个Context分配处理时间。通过调整Context的权重,可以使指定的Context获得更多的CPU资源,保证关键业务的运行。例如:在三个Context中,将处理关键业务的Context的CPU权重设置为2,其余两个Context的CPU权重设置为1,则当CPU处理能力不足时,将为关键业务Context提供2倍于其它Context的处理时间。
(2) 磁盘空间上限
执行limit-resource disk命令前,请使用display context resource命令查看Context当前实际已经使用的磁盘空间大小。配置值应大于Context当前实际已经使用的磁盘空间大小,否则,会导致Context申请新的磁盘空间失败,从而无法进行文件夹创建、文件拷贝和保存等操作。
请在Context启动后,配置磁盘上限。因为,Context创建后,如果没有启动,磁盘使用值为0,此时如果配置磁盘上限,请尽量不要配置过小的上限,否则,可能导致Context启动不了。
(3) 内存空间上限
执行limit-resource memory命令前,请使用display context resource命令查看Context当前实际已经使用的内存空间大小。配置值应大于Context当前实际已经使用的内存空间大小,否则,会导致Context申请内存失败引起功能异常。
请在Context启动后,再配置内存上限,并且配置的上限值不应过小,以免Context内业务申请不到内存后引起功能不正常。
表1-12 为Context分配CPU/磁盘/内存资源
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入Context视图 | context context-name | - |
| 指定Context的CPU权重 | limit-resource cpu weight weight-value | 缺省情况下,Context的CPU权重为10 |
| 配置Context可使用的磁盘空间上限(分布式设备-独立运行模式/集中式IRF设备) | limit-resource disk slot slot-number cpu cpu-number ratio limit-ratio | 缺省情况下,进驻到同一安全引擎的所有Context共享该安全引擎的所有磁盘空间,每个Context可使用的磁盘空间上限为该安全引擎的空闲磁盘空间值 如果设备上有多块磁盘,该命令对所有磁盘生效 |
| 配置Context可使用的磁盘空间上限(分布式设备-IRF模式) | limit-resource disk chassis chassis-number slot slot-number cpu cpu-number ratio limit-ratio | 缺省情况下,进驻到同一安全引擎的所有Context共享该安全引擎的所有磁盘空间,每个Context可使用的磁盘空间上限为该安全引擎的空闲磁盘空间值 |
| 配置Context可使用的内存空间上限(分布式设备-独立运行模式/集中式IRF设备) | limit-resource memory slot slot-number cpu cpu-number ratio limit-ratio | 缺省情况下,进驻到同一安全引擎的所有Context共享该安全引擎的所有内存空间,每个Context可使用的内存空间上限为该安全引擎的空闲内存空间值 |
| 配置Context可使用的内存空间上限(分布式设备-IRF模式) | limit-resource memory chassis chassis-number slot slot-number cpu cpu-number ratio limit-ratio | 缺省情况下,进驻到同一安全引擎的所有Context共享该安全引擎的所有内存空间,每个Context可使用的内存空间上限为该安全引擎的空闲内存空间值 |
1.9 访问和管理Context
只要用户和防火墙之间路由可达,就能使用switchto context命令,通过防火墙和Context的内部连接,登录Context。
表1-13 登录Context
| 操作 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 登录Context | switchto context context-name | 必选 |
用户登录Context后,可以在Context的用户视图执行quit命令来退出登录。此时,命令视图将从当前Context的用户视图返回到缺省Context的系统视图。
除了上述方式,用户还可以通过Context上的接口,使用该Context的IP地址进行Telnet/SSH登录。
1.10 Context显示和维护
在完成Context相关配置后,在任意视图下执行display命令,可以显示配置后Context的运行情况,通过查看显示信息,来验证配置的效果。
在用户视图下,用户可以执行reset命令清除不在位的安全引擎的数据信息。
表1-14 Context显示和维护
| 操作 | 命令 |
| 显示安全引擎组的信息(关于设备支持情况差异,请参见命令手册) | display blade-controller-team [ blade-controller-team-name | id blade-controller-team-id ] |
| 显示Context的相关信息 | display context [ name context-name ] |
| 显示Context的接口列表 | display context [ name context-name ] interface |
| 显示Context对CPU/磁盘/内存资源的使用情况(分布式设备-独立运行模式/集中式IRF设备) | display context [ name context-name ] resource [ cpu | disk | memory ] [ slot slot-number cpu cpu-number ] |
| 显示Context对CPU/磁盘/内存资源的使用情况(分布式设备-IRF模式) | display context [ name context-name ] resource [ cpu | disk | memory ] [ chassis chassis-number slot slot-number cpu cpu-number ] |
| 显示Context的VLAN列表 | display context [ name context-name ] vlan |
| 清除指定安全引擎组中不在位的安全引擎的数据信息(关于设备支持情况差异,请参见命令手册) | reset blade-controller-team team-id member slot slot-number cpu cpu-number |
1.11 Context典型配置举例(集中式IRF设备)
1. 组网需求
将设备Firewall虚拟成三台独立的防火墙:Context cnt1、Context cnt2、Context cnt3,并分给三个不同的用户网络用作接入防火墙。
· LAN 1的用户多,业务需求复杂,因此需要给Context cnt1提供较大的磁盘/内存空间使用上限,以便保存配置文件、启动文件和系统信息等;Context cnt2使用系统缺省的磁盘空间;LAN 3人员规模小,上网流量比较少,对接入防火墙的配置及性能要求较低,因此对Context cnt3提供较低的CPU权重。
· GigabitEthernet1/0/1和GigabitEthernet1/0/11分配给Context cnt1、GigabitEthernet1/0/2和GigabitEthernet1/0/12分配给Context cnt2、GigabitEthernet1/0/3和GigabitEthernet1/0/13分配给Context cnt3。
2. 组网图
图1-2 Context典型配置组网图
3. 配置步骤
(1) 配置Context cnt1
# 创建Context cnt1,设置描述信息。
<Sysname> system-view
[Sysname] context cnt1
[Sysname-context-2-cnt1] description context-1
# 配置Context cnt1磁盘使用上限为60%。
[Sysname-context-2-cnt1] limit-resource disk slot 1 cpu 0 ratio 60
# 配置Context cnt1内存使用上限为60%。
[Sysname-context-2-cnt1] limit-resource memory slot 1 cpu 0 ratio 60
# 配置Context cnt1的CPU权重为8。
[Sysname-context-2-cnt1] limit-resource cpu weight 8
# 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/11分配给Context cnt1。
[Sysname-context-2-cnt1] allocate interface gigabitethernet 1/0/1 gigabitethernet 1/0/11
# 启动Context cnt1
[Sysname-context-2-cnt1] context start
It will take some time to start the context...
Context started successfully.
[Sysname-context-2-cnt1] quit
(2) 配置Context cnt2
# 创建Context cnt2,设置描述信息。
[Sysname] context cnt2
[Sysname-context-3-cnt2] description context-2
# 启动Context cnt2
[Sysname-context-3-cnt2] context start
It will take some time to start the context...
Context started successfully.
# 将接口GigabitEthernet1/0/2和GigabitEthernet1/0/12分配给Context cnt2。
[Sysname-context-3-cnt2] allocate interface gigabitethernet 1/0/2 gigabitethernet 1/0/12
[Sysname-context-3-cnt2] quit
(3) 配置Context cnt3
# 创建Context cnt3,设置描述信息。
[Sysname] context cnt3
[Sysname-context-4-cnt3] description context-3
# 配置Context cnt3的CPU权重为2。
[Sysname-context-4-cnt3] limit-resource cpu weight 2
[Sysname-context-4-cnt3] quit
# 启动Context cnt3。
[Sysname-context-4-cnt3] context start
It will take some time to start the context...
Context started successfully.
# 将接口GigabitEthernet1/0/3和GigabitEthernet1/0/13分配给Context cnt3。
[Sysname-context-4-cnt3] allocate interface gigabitethernet 1/0/3 gigabitethernet 1/0/13
[Sysname-context-4-cnt3] quit
完成上述配置后,可使用switchto context命令登录到指定的Context,进行业务相关的配置。
1.12 Context典型配置举例(分布式设备)
1. 组网需求
将设备Firewall虚拟成三台独立的防火墙:Context cnt1、Context cnt2、Context cnt3,并分给三个不同的用户网络用作接入防火墙。
· LAN 1的用户多,业务需求复杂,因此需要给Context cnt1提供较大的磁盘/内存空间使用上限,以便保存配置文件、启动文件和系统信息等;Context cnt2使用系统缺省的磁盘空间;LAN 3人员规模小,上网流量比较少,对接入防火墙的配置及性能要求较低,因此对Context cnt3提供较低的CPU权重。
· GigabitEthernet1/0/1和GigabitEthernet1/0/11分配给Context cnt1、GigabitEthernet1/0/2和GigabitEthernet1/0/12分配给Context cnt2、GigabitEthernet1/0/3和GigabitEthernet1/0/13分配给Context cnt3。
2. 组网图
图1-3 Context典型配置组网图
3. 配置步骤
(1) 配置安全引擎组test
# 创建安全引擎组test。
<Sysname> system-view
[Sysname] blade-controller-team test
# 将3号槽位cpu号为1的安全引擎加入该安全引擎组。
[Sysname-blade-controller-team-2-test] location blade-controller slot 3 cpu 1
This operation will also reboot the blade controller. Continue? [Y/N]:y
[Sysname-blade-controller-team-2-test] quit
(2) 配置Context cnt1
# 创建Context cnt1,设置描述信息。
[Sysname] context cnt1
[Sysname-context-2-cnt1] description context-1
# 设置cnt1进驻安全引擎组test(编号为2)。
[Sysname-context-2-cnt1] location blade-controller-team 2
# 配置Context cnt1在3号槽位CPU号为1的安全引擎上的磁盘使用上限为60%。
[Sysname-context-2-cnt1] limit-resource disk slot 3 cpu 1 ratio 60
# 配置Context cnt1在3号槽位cpu号为1的安全引擎上的内存使用上限为60%。
[Sysname-context-2-cnt1] limit-resource memory slot 3 cpu 1 ratio 60
# 配置Context cnt1的CPU权重为8。
[Sysname-context-2-cnt1] limit-resource cpu weight 8
# 启动Context cnt1。
[Sysname-context-2-cnt1] context start
It will take some time to start the context...
Context started successfully.
# 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/11分配给Context cnt1。
[Sysname-context-2-cnt1] allocate interface gigabitethernet 1/0/1 gigabitethernet 1/0/11
[Sysname-context-2-cnt1] quit
(3) 配置Context cnt2
# 创建Context cnt2,设置描述信息
[Sysname] context cnt2
[Sysname-context-3-cnt2] description context-2
# 设置cnt2进驻安全引擎组test(编号为2)。
[Sysname-context-3-cnt2] location blade-controller-team 2
# 启动Context cnt2。
[Sysname-context-3-cnt2] context start
It will take some time to start the context...
Context started successfully.
# 将接口GigabitEthernet1/0/2和GigabitEthernet1/0/12分配给Context cnt2。
[Sysname-context-3-cnt2] allocate interface gigabitethernet 1/0/2 gigabitethernet 1/0/12
[Sysname-context-3-cnt2] quit
(4) 配置Context cnt3
# 创建Context cnt3,设置描述信息
[Sysname] context cnt3
[Sysname-context-4-cnt3] description context-3
# 设置cnt3进驻安全引擎组test(编号为2)。
[Sysname-context-4-cnt3] location blade-controller-team 2
#配置Context cnt3的CPU权重为2。
[Sysname-context-4-cnt3] limit-resource cpu weight 2
# 启动Context cnt3。
[Sysname-context-4-cnt3] context start
It will take some time to start the context...
Context started successfully.
# 将接口GigabitEthernet1/0/3和GigabitEthernet1/0/13分配给Context cnt3。
[Sysname-context-4-cnt3] allocate interface gigabitethernet 1/0/3 gigabitethernet 1/0/13
[Sysname-context-4-cnt3] quit
完成上述配置后,可使用switchto context命令登录到指定的Context,进行业务相关的配置。
扫一扫
1031
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
