2024年Context技术白皮书-新华三

本文中的内容为通用性技术信息，某些信息可能不适用i 11.1产生背景 1.2技术优点 22.1Context的创建 22.2Context资源分配 22.2.1将Context进驻安全引擎 22.2.2为Context分配软硬件资源 2.3限制Context使用的资源 42.4Context的启动 2.4.1Context-OS 2.4.2Context的数据同步 2.4.3Context的进程隔离 2.5Context访问和管理 2.5.1登录通道 2.5.2配置方式 2.5.3配置文件 2.5.4日志输出 2.5.5用户管理 2.6Context入方向报文限速 2.7停止Context 2.8删除Context 9 104.1大中型企业网隔离典型组网应用 4.2云计算数据中心网关典型组网应用 4.3跨VPC互通典型组网应用 4.4RBM+Context综合组网应用 1Context是一种虚拟化技术，可以使单个物理网络设备承载多个独立的逻辑备，方便管理和维护；对于管理者来说，可以将一InternetInternetInternetInternetDevice2Device3Device2Device3Context1ContextContext23ContextContext23LAN1LANLAN1LAN3LANLAN1LAN3LANLAN2LAN2•资源优化：同一物理设备上创建的所有Context共用物2•可扩展性：随着组织的发展•租户隔离：每个Context拥有自•节约成本：通过最小化硬件要求和优化资源分配，Context显著降低了硬件设备和运营支出。配给自己的资源，并在指定的资源限制内处安全引擎是设备中专门用于处理安全业务的硬件单元，每一个安全引擎对应安全业务板上的一个3用户Context创建后，不具有安全业务板的使用权。为了让业务有实际的运行环境，必须将用户Context进驻安全引擎，需要通过安全引擎组来实现。安全引擎组是一个用于组织和管理在数据层面，安全引擎组内的所有安全引擎将同时负责安全业务处理和报文转发；而在管理层面，可以给用户Context分配的资源包括接口、VLAN、VXLAN、CPU资源、磁盘空间和内存空间。接口，它才能和网络中的其它设备通信。建议如果接口已经被共享分配，则不能再独占分配为使用户Context之间可以互通，必须在缺省Context中将接口以共享方式分配给用户Context。4VLAN1为系统缺省VLAN，用户不能手工创建和删除。由缺省Context独有，不能分配给用户通过调整Context的CPU权重，可以使指定的Context获得更多的CPU资源，保证关键业务的运导致其他Context无法正常运行业务，可以限制Context置文件、系统日志等，可以限制Context对磁盘空间的使用。磁盘使用值为0，此时如果配置磁盘空间上限的值小5•出方向吞吐量限速丢包日志吞吐量降低到出方向吞吐量限制值以下，设备会生成恢复日上面生成的日志信息将会被输出到信息中心模块处对于配备安全业务板的设备，一个Contex对于配备安全业务板的设备，一个Contex警；当会话并发数上限使用率下降至指定阈值时，创建的会话不会被删除，依然生效。直到已建立的6需要限制Context的SSLVPN上线用户数，本节以分布式设备为例进行介绍。典型的分布式设备包括多块主控板、安全业务板和多块接口板。创建并启动Context后，分配给该Context的单板上都创建并启动Context。如图2-1所程和数据的总和。所有单板的Context-OS组成一台分布式的Context。7Context21/1_2/1ContextContext21/1_2/1Context3Context1Context1Context将网络设备操作系统的数据平面、控制平面、管理平面进行了完全的虚拟化，各8Comware基于用户角色对用户进行权限管理。为用户赋予用户角色后，该用户登录设备后可执行•物理设备级•Context级9因此需要限制Context接收广播/组播报文的数量。制。当多个报文分散在不同安全引擎处理时，文生成日志信息。此日志信息将会被输出到3RBM+Context实现多虚“多”RBM（RemoteBackupManagement，远端备份管理）是一够在通信线路或设备产生故障时提供备用方案。当其中一可以接替故障节点继续工作。RBM是一种N:1虚拟化技术，使用它可以将多台物理设备虚拟成一台果。即将多个设备通过RBM技术形成一个高可靠性进一步虚拟成多个Context使用，如图3-1所示。RBMContextContext1Context2Context3Context1Context2Context3资源可以分给同一Context，进行报文转发时报文能通过RBM通道到达另一台物理设备上该Context的应用十分广泛，比如在大中型企业连接到外网。通过虚拟化技术，能让一台设备当三台设DeviceContextcnt1Contextcnt2Contextcnt3LAN3LAN2InternetLAN1DeviceContextcnt1Contextcnt2Contextcnt3LAN3LAN2InternetLAN1等效于InternetInternetGateway1Gateway2Gateway3Gateway1LANLAN1LAN3LANLAN2对内部网络的信息安全进行防护。将设备虚拟成如图4-2所示，将设备虚拟成两台独立的设备Contextcnt1和Contextcnt2，分别作为企业ServerACloudGE1/0/2Contextcnt1GE1/0/1TenantANetworkAUntrustServerACloudGE1/0/2Contextcnt1GE1/0/1TenantANetworkAUntrustTrustGE1/0/3DeviceTrustGE1/0/3DeviceContextocnt2ServerBServerBNetworkBUntrustContext独占接口oContext共享接口UntrustTenantB在VPC（VirtualPrivate•在设备上创建不同的VPN实例用于区分和Contextcnt1TrustTenantAVPC1CloudTrustTenantAVPC1CloudLoop1Loop2VPNvpc1VPNvpc2GE1/0/1.1GE1/0/1.2DeviceVPCVPC1UntrustTenantB如图4-4所示，云计算中心以Device作为出口网关，对内部网络的信息安全进行防护。为了满足备设备的Context不处理业务，原主设备的Context正常处理业务。TenantATenantBContextcnt1瓣ContextcntContextcnt1瓣RBMchannelContextcnt1ContextcntContextcnt1MasterDeviceABackupDeviceBMasterDeviceARBMchannelBackuptraffic企业A企业BContextcnt1业务流量Contextcnt2业务流量企业A企业B云计算数据中心TenantBackup缺省ContextMa