H3C SecPath M9000产品培训

1、H3C SecPath M9000产品培训产品培训ISSUE 1.0作者：翟运波杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播日期：2014-03-10n 了解了解SecPath M9000产品的硬件架构产品的硬件架构n 掌握掌握SecPath M9000产品的软件特性产品的软件特性n 熟悉熟悉SecPath M9000产品产品的典型应用的典型应用课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：n SecPath M9000产品硬件架构产品硬件架构n SecPath M9000产品软件特性产品软件特性n SecPath M9000典型应用典型应用目录目录3Sec

2、Path M9000系列多业务安全网关系列多业务安全网关n产品定位：产品定位：大型数据中心 、大型企业及园区网出口、云服务提供商多租户、运营商CGN等场景n产品形态：产品形态：全分布式硬件架构、多业务安全网关M9006M9010M4全分布式硬件全分布式硬件架构架构交换引擎交换引擎交换引擎业务引擎处理器主控引擎处理器主控引擎处理器业务引擎处理器接口单元处理器交换引擎控制控制、交换、业务、交换、业务、接口接口完全物理完全物理分离分离！业务引擎就是各种安全板卡，可以对数据进行安全检测、过滤和审计等。接口单元提供各种丰富、灵活的接口，方便业务接入。主控引擎是设备的控制中心，负责设备的硬件监控、配置管理

3、等工作。123交换引擎负责接口板和业务板之间数据的高速转发。4主主控引擎控引擎、业务引擎业务引擎、交换引擎交换引擎、接口、接口单元单元完全物理完全物理分离分离5多业务安全网关多业务安全网关大规模策略访问控制多样化VPN接入多链路智能调度全面流量分析高性能DDoS防护高性能入侵防御服务器负载均衡精细化应用管控大容量NAT专业病毒防护虚机扩容动态云计算虚拟化安全防火墙FW负载均衡LBSSLVPN网流分析NSM入侵防御IPS应用控制ACG6SecPath M9000产品硬件特性产品硬件特性M9006M9010M9014主控板槽位数量主控板槽位数量222业务板业务板+接口板槽位数量接口板槽位数量481

4、2交换网板槽位数量交换网板槽位数量444整机整机交换容量交换容量1.92Tbps8.96Tbps13.44Tbps每槽位每槽位带宽带宽480Gbps1120Gbps1120Gbps电源槽位数量电源槽位数量466风扇槽位数量风扇槽位数量7SecPath M9000产品产品外观外观主控引擎安全/接口业务板电源M9006M9010M8SecPath M9000产品外观产品外观风扇交换网板出风口M9006M9010M9SecPath M9000产品主控引擎产品主控引擎nSecPath M9000全系列产品共用一款主控引全系列产品共用一款主控引擎，每个框支持擎，每个框支持2块，可以实现块，可以实现1+1

5、备份。备份。NSQM1SUPB0CPU多核（多核（XLP316）内存内存8GFlash512MConsole 1管理口管理口10SecPath M9000产品接口板产品接口板高密万兆高速40/100G高密千兆NSQM1GP24TXEA0NSQM1GP48EB0NSQM1GT48EA0NSQM1TGS8EA0NSQM1TGX4EA0NSQM1TGS32SF0NSQM1QGS4SF0NSQM1CGC2SE11SecPath M9000高性能安全业务高性能安全业务处理板处理板FW吞吐量并发连接数每秒新建连接40G3000万60万LB吞吐量（L4）吞吐量（L7）并发连接数每秒新建连接20G10G300

6、0万60万IPS吞吐量并发连接数每秒新建连接15G3000万20万12SecPath M9000兼容安全业务兼容安全业务处理板处理板ACG吞吐量并发连接数每秒新建连接2G200万5万SSLVPN吞吐量最大在线用户数每秒新建连接2G100005000NSM吞吐量IPv4流数量IPv6流数量4G250万56万13SecPath M9000全系列安全业务板全系列安全业务板现阶段现阶段NSQM1FWCEA0FirewallLBIPSNSMACGSSL VPN将来将来NSQM1FWCEA0LSQM1LBSC0LSU1IPSBEA0LSQM1NSMSC0LSQM1ACGSC0LSQM1SSLSC0NSQM

7、1LBCEA0NSQM1IPSCEA0NSQMNSMCEA14SecPath M9000产品规格产品规格吞吐量吞吐量防火墙吞吐量(大包)120G240G400G防火墙吞吐量(混合包)105G210G350G包转发率(64Bytes)36M72M120M并发连接数并发连接数并发连接数9000万1.8亿3亿每秒新建连接数每秒新建连接数每秒新建连接数（HTTP）180万/秒360万/秒600万/秒M9006M9010M15SecPath M9000产品产品形态形态V7机框机框+V5安全板卡安全板卡FWLBIPSV7机框机框+V7安全板卡安全板卡FWLBIPS16SecPath M9000交换引擎交换

8、引擎n 高速的交换芯片高速的交换芯片n 先进的先进的CLOS架构架构n 支持支持N+1冗余备份冗余备份M9006：NSQM1FAB04B0M9010：NSQM1FAB08D0M9014：NSQM1FAB12D0网板型号网板型号适用机框适用机框每网板带宽每网板带宽(High speed) 每网板带宽每网板带宽(Low speed) NSQ1FAB04B0M9006480Gbps/720Mpps 80Gbps/120Mpps NSQ1FAB08D0M9010960Gbps/1.44Gpps 160Gbps/240Mpps NSQ1FAB12D0M90141400Gbp/2.16Gpps 240Gb

9、ps/360Mpps 17SecPath M9000电源模块电源模块u SecPath M9000两种电源所有机框通用，两种电源所有机框通用，M9006最多最多支持支持4个个电源电源，M9010/M9014最多最多可可支持支持6个个电源。电源。u M9000电源电源支持支持N+M 配置模式，灵活根据系统功耗配置模块配置模式，灵活根据系统功耗配置模块数量。数量。LSUM1AC2500LSUM1DC2400电源型号电源型号电源类型电源类型输入电压和电流范围输入电压和电流范围最大输出功率最大输出功率LSUM1AC2500 交流电源模块100240V AC；50/60Hz；16A 2500WLSUM1

10、DC2400 直流电源模块-48V-60V DC；60A2400W18SecPath M9000风扇模块风扇模块n SecPath M9000 风扇风扇采用采用冗余设计，冗余设计，风扇支持智能自动调速风扇支持智能自动调速，同时同时风扇也支持设置特定风扇也支持设置特定转速，可查询转速，可查询风扇上各个叶片实时风扇上各个叶片实时转转速。速。M9006风扇M9010风扇M9014风扇19SecPath M9000防尘网防尘网l 防尘网安装防尘网安装在机箱散热风道的进在机箱散热风道的进风口风口,用于防止大用于防止大量灰尘被吸入机箱内部。量灰尘被吸入机箱内部。M9006有有两两块防尘网，块防尘网，M90

11、10有有一一块，块，M9014有有三三块。块。M9000的的防尘网防尘网属于可选属于可选部件。部件。n SecPath M9000产品硬件架构产品硬件架构n SecPath M9000产品软件特性产品软件特性n SecPath M9000典型应用典型应用目录目录21SecPath M9000系统软件架构系统软件架构主控引擎软件系统主控引擎软件系统接口板业务引擎软件系统业务引擎软件系统主控引擎FWLBIPSComwareComwareComwareiWareDrivers业务分流业务分流QOS报文报文转发转发组播复制组播复制BFD会话管理会话管理域域间策略间策略NATVPN报文异常检测报文异常检

12、测DoS/DDoS攻攻击防范击防范应用控制应用控制虚拟虚拟防火墙防火墙L4服务器负载服务器负载L7服务器负载服务器负载Outbound链链路负载路负载Inbound链路链路负载负载健康性检测健康性检测就近性探测就近性探测持续性持续性病毒防御病毒防御攻击检测攻击检测URL过滤过滤DDoS防范防范带宽管理带宽管理日志和报表日志和报表高可靠性高可靠性设备管理设备管理配置管理配置管理协议协议交互交互表表项下发项下发集群管理集群管理日志监控日志监控 22智能分流框架（智能分流框架（IFF）防火墙模块防火墙模块防火墙模块防火墙模块登录Master，配置策略策略自动下发到所有业务模块业务流自接口单元进入智能

13、分流，全业务负载分担主控引擎1主控引擎2防火墙模块防火墙模块防火墙模块IPS模块LB模块接口模块业务引擎动态加入/退出，流量自动分担多业务智能调度交交换换网网智能业务分发交交换换网网23单一类型业务引擎智能单一类型业务引擎智能分流分流IO引擎FW业务引擎FW业务引擎FW业务引擎主控根据业务引擎成员状况，业务配置需求，自动下发正反向引流规则独立交换引擎 3+1冗余主控引擎1+1冗余IO引擎IO引擎IO引擎IO引擎：引流策略到某一业务引擎业务引擎针对隧道类业务，ALG业务动态下发正反向引流规则FW引擎：路由策略到IO引擎主控配置、路由通过管理通道自动下发到各业务引擎24多类型业务引擎智能多类型业务

14、引擎智能分流分流IO引擎FW业务引擎IPS业务引擎LB业务引擎主控根据业务引擎成员状况，业务配置需求，自动下发引流规则独立交换引擎 3+1冗余主控引擎1+1冗余IO引擎IO引擎IO引擎IO引擎：引流规则到FW引擎针对隧道类、ALG业务动态下发引流策略FW：引流策略到IPS引擎IPS:引流策略到LB引擎LB:路由策略到IO引擎主控配置、路由自动下发到多业务引擎25NAT特性特性IMailWeb多功能多功能高性能高性能可视化 PAT/NO-PAT Easy-IP NAT Server NAT Static NAT444 ALG(FTP/DNS/SIP） NAT 吞吐：400G NAT 新建：600

15、万/秒 NAT 并发：3亿 NAT连接数限制 NAT二进制日志 NAT444用户/会话日志26VPN特性特性总部InternetIPSec加密加密l2tp + IPSecGRE + IPSecInternetInternet合作伙伴企业分支出差员工l丰富的丰富的VPN功能：功能：L2TP VPNGRE VPNIPSec VPNSSL VPNMPLS VPNl高效的加密高效的加密/认证算法：认证算法：DES/3DESAESMD5/SHA-1l多样的认证方式：多样的认证方式：本地认证RADIUSLDAPPKI/CA27攻击防范攻击防范黑名单黑名单扫描攻扫描攻击防范击防范DDoS防范防范 动态黑名单

16、动态黑名单 静态黑名单静态黑名单 地址扫描地址扫描 端口扫描端口扫描畸形报文畸形报文攻击防范攻击防范 ICMP Flood UDP Flood SYN Flood DNS Flood Fraggle攻击检测攻击检测 Land攻击检测攻击检测 WinNuke攻击检测攻击检测 TCP Flag攻击检测攻击检测 ICMP不可达报文攻不可达报文攻击检测击检测 Smurf攻击检测攻击检测 超大超大ICMP报文攻击报文攻击检测检测28服务器负载均衡服务器负载均衡负荷负荷60负荷负荷60负荷负荷60负荷负荷60负荷负荷60LBSW全面的负载特性全面的负载特性丰富的调度算法丰富的调度算法灵活的健康性检测灵活的

17、健康性检测 L4服务器负载 L7服务器负载 IPv6服务器负载 （加权）轮询 （加权）最小连接 （加权）随机 源地址（端口）散列 ACL策略 ICMP TCP/UDP SNMP SSL Radius DNS/FTP/HTTPSMTP/POP3多样化的持续性多样化的持续性 源IP地址（端口） 目的IP地址（端口） Cookie插入/重写/截取 SIP的Call-ID HTTP报文头29链路链路负载均衡负载均衡n 同时支持同时支持Outbound和和Inbound链路负载链路负载n 支持持续性、支持持续性、ACL策略、策略、ISP选路、就近性、调度算法等多种灵活的选选路、就近性、调度算法等多种灵活

18、的选路机制路机制n 支持（加权）轮询、随机、最小连接，源支持（加权）轮询、随机、最小连接，源/目的地址散列，加权带宽、目的地址散列，加权带宽、最大带宽等多种丰富的调度算法。最大带宽等多种丰富的调度算法。ISP1ISP31234561265ISP234LB30深度检测深度检测路由器交换机IPS内部网络内部网络漏洞漏洞库库协议库协议库病毒库病毒库n 攻击防范攻击防范n 病毒检测病毒检测n URL过滤过滤n DDoS防护防护n 带宽管理带宽管理n 统计报表统计报表三库合一实现全面攻击三库合一实现全面攻击防御防御31安全集群框架（安全集群框架（SCF）n SecPath M9000首创多核全分布式安全

19、设备框架集首创多核全分布式安全设备框架集群技术，全面突破机框的限制，在简化管理和部署的群技术，全面突破机框的限制，在简化管理和部署的基础上同时实现了安全业务和安全性能的弹性扩展基础上同时实现了安全业务和安全性能的弹性扩展。FWIPSLBFWIPSLBFWIPSLBFWIPSLBFWIPSLB32安全集群框架安全集群框架(SCF(SCF) )业务引擎集群业务引擎集群-两框集群两框集群-4框集群框集群-异构集群异构集群FW1FW2LB1LB2IPSFW组LB组IPS组33安全集群主备安全集群主备模式模式SWSWSWSWIRFIRFIRF SWIRF SWASASASAAAS冗余口冗余口冗余组n通过

20、将主备设备接口加入冗余口，根据SCF主备状态阻断备机链路n通过将上下行冗余口加入冗余组，实现上下行联动n可以监控接口、链路、引擎状态，实现主备切换n上下行聚合组网、独立三层上行n链路双活n业务引擎通过备份组实现主备trunktrunk备份组1备份组2备份组3VRRPVRRP34安全安全N:N高高可靠性可靠性业务引擎6业务引擎7业务引擎8业务引擎9业务引擎10业务引擎1业务引擎2业务引擎3业务引擎4业务引擎5SCFIO引擎1IO引擎3IO引擎2IO引擎4业务引擎1业务引擎2业务引擎3业务引擎4IO引擎引擎:1024:80 TCP12New Owner（

21、主设备故障，新的转发设备）Director（备份）345:80-:1024 TCP1）IO引擎根据负载分担算法将正向流分配到业务引擎1，该业务引擎成为该数据流的所有者，成为主引擎2）数据流所有者根据数据流五元组信息计算出备份引擎，将会话同步给备份引擎3）主引擎故障4）对于原数据流，IO引擎通过负载分担算法分发到引擎45）引擎4向备份引擎获取主引擎信息，得知主引擎故障，从备份引擎得到备份会话信息，然后成为该数据流新的主引擎主转发引擎交换引擎主机1主机35安全集群安全集群优势优势普通双机普通双机集群集群管理双机独立管理、依靠配置同步无法保证主备配置完全一

22、致，配置冲突问题无法避免多台设备SCF后，一体化管理，统一配置下发，不存在配置冲突问题组网两台设备独立、对外互联IP至少2个，一般3个，公网地址浪费多台设备SCF后，对外逻辑上是一台设备，互联IP为1个VRRP方式下，依赖上下行设备的二层通道通过内部互联SCF链路协商，不依赖外部设备多组VRRP单独协商，需要复杂track保持上下行一致冗余组方式通过将上下行接口加入同一冗余组，监控接口、链路、引擎状态统一切换；引擎备份方式，接口、链路聚合切换，引擎故障，引擎组备份组切换，外部无感知双主热备模式下，任意接口、链路、，整机切换，导致收敛时间长，性能减半SCF内所有引擎N:N备份，接口故障、链路故障

23、，所有引擎处理，性能不损失；引擎故障，损失一个引擎性能扩展性业务扩容时，需要整机断电升级SCF内所有引擎N:N备份，任意引擎拔出插入，业务无影响最多两台，要求硬件型号一致最多4台设备、硬件型号可以不同36虚拟化虚拟化安全安全ONE平台（平台（SOP）n 完全虚拟化，各完全虚拟化，各SOP系统管理、转发全部隔离系统管理、转发全部隔离n 资源分配灵活，所有资源分配均可保障、限制或抢占资源分配灵活，所有资源分配均可保障、限制或抢占n 高性能，基于多核高性能，基于多核CPU架构、大容量内存以及高效的软件系统，架构、大容量内存以及高效的软件系统，每个每个SOP可以获得足够的软硬件资源可以获得足够的软硬件

24、资源n 可靠性高，一个可靠性高，一个SOP故障，其它故障，其它SOP不受影响不受影响FWIPSLBFWIPSLBFWIPSLBFWIPSLB37安全安全SOP实现原理实现原理硬件平台操作系统基础功能(驱动、任务调度、内存管理、定时器等)SOP1-OSSOP2-OSInit进程CLI进程SNMP进程OSPF进程Init进程CLI进程SNMP进程OSPF进程数据转发内核线程NAT内核线程ASPF内核线程数据用户态空间内核态空间转发内核线程NAT内核线程ASPF内核线程38SOP CPU调度调度机制机制10%20%30%40%50%最小可以使用的CPU时间片当前使用的时间片最大可使用的时间片金牌用户

25、，保证10%，最大可使用40%银牌用户，保证5%，最大可使用15%铜牌用户，无保证，最大可使用10%10%20%30%40%50%所有租户流量都大时，保证金牌租户的最低值39SOP虚拟资源池虚拟资源池引擎引擎1VFW1VFW2VFW3VFW3VFW5VFW6VFW7VFW8VFW9VFW10VFW11VFW12VFW13VFW14VFW15VFW16VFW17VFW18引擎引擎2引擎引擎3引擎引擎4引擎引擎5引擎引擎6n虚墙的划分以业务集群组为单位虚墙的划分以业务集群组为单位n扩展业务板后，虚拟化扩展有如下两种形态：扩展业务板后，虚拟化扩展有如下两种形态：纵向：单虚墙的能力不变，可划分的虚墙数

26、量增加横向：单虚墙的能力增加，可划分地虚墙数量不变VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4引擎引擎1引擎引擎2引擎引擎3引擎引擎4引擎引擎5引擎引擎6VFW1VFW2VFW4VFW5引擎集群引擎集群40开放平台开放平台IMC APIsHardware PlatformIMC SSMComware APIs用户应用平台接口编译解析器脚本解释器3rd程序编程接口EAA自动化架构TCL脚本自定义程序预定事件及动作Comware V7操作系统操作系统安全nVPN接入n访问控制n攻击防范n行为审