H3CSecPathM9000产品培训.pptx
- 文档编号:18856174
- 上传时间:2024-01-31
- 格式:PPTX
- 页数:47
- 大小:7.27MB
H3CSecPathM9000产品培训.pptx
《H3CSecPathM9000产品培训.pptx》由会员分享,可在线阅读,更多相关《H3CSecPathM9000产品培训.pptx(47页珍藏版)》请在冰点文库上搜索。
1H3CSecPathM9000产品培训产品培训ISSUE1.0作者:
翟运波杭州华三通信技术有限公司版权所有,未经授权不得使用与传播日期:
2014-03-10n了解了解SecPathM9000产品的硬件架产品的硬件架构构n掌握掌握SecPathM9000产品的软件特产品的软件特性性n熟悉熟悉SecPathM9000产品的典型应产品的典型应用用课程目标课程目标学习完本课程,您应该能够:
学习完本课程,您应该能够:
nSecPathM9000产品硬件架构产品硬件架构nSecPathM9000产品软件特性产品软件特性nSecPathM9000典型应用典型应用目录目录4SecPathM9000系列多业务安全网关系列多业务安全网关n产品定位:
产品定位:
大型数据中心、大型企业及园区网出口、云服务提供商多租户、运营商CGN等场景n产品形态:
产品形态:
全分布式硬件架构、多业务安全网关M9006M9010M90145全分布式硬件架构全分布式硬件架构交换引擎交换引擎交换引擎业务引擎处理器主控引擎处理器主控引擎处理器业务引擎处理器接口单元处理器交换引擎控制、交换、业务、接口完全物理分离!
控制、交换、业务、接口完全物理分离!
业务引擎就是各种安全板卡,可以对数据进行安全检测、过滤和审计等。
接口单元提供各种丰富、灵活的接口,方便业务接入。
主控引擎是设备的控制中心,负责设备的硬件监控、配置管理等工作。
123交换引擎负责接口板和业务板之间数据的高速转发。
4主控引擎、业务引擎、交换引擎、接口单元完全物理分离主控引擎、业务引擎、交换引擎、接口单元完全物理分离6多业务安全网关多业务安全网关大规模策略访问控制多样化VPN接入多链路智能调度全面流量分析高性能DDoS防护高性能入侵防御服务器负载均衡精细化应用管控大容量NAT专业病毒防护虚机扩容动态云计算虚拟化安全防火墙FW负载均衡LBSSLVPN网流分析NSM入侵防御IPS应用控制ACG7SecPathM9000产品硬件特性产品硬件特性M9006M9010M9014主控板槽位数量主控板槽位数量222业务板业务板+接口板槽位数接口板槽位数量量4812交换网板槽位数量交换网板槽位数量444整机交换容量整机交换容量1.92Tbps8.96Tbps13.44Tbps每槽位带宽每槽位带宽480Gbps1120Gbps1120Gbps电源槽位数量电源槽位数量466风扇槽位数量风扇槽位数量1128SecPathM9000产品外观产品外观主控引擎安全/接口业务板电源M9006M9010M90149SecPathM9000产品外观产品外观风扇交换网板出风口M9006M9010M901410SecPathM9000产品主控引擎产品主控引擎nSecPathM9000全系列产品共用一款主控引全系列产品共用一款主控引擎,每个框支持擎,每个框支持2块,可以实现块,可以实现1+1备份。
备份。
NSQM1SUPB0CPU多核(XLP316)内存内存8GFlash512MConsole1管理口管理口111SecPathM9000产品接口板产品接口板高密万兆高速40/100G高密千兆NSQM1GP24TXEA0NSQM1GP48EB0NSQM1GT48EA0NSQM1TGS8EA0NSQM1TGX4EA0NSQM1TGS32SF0NSQM1QGS4SF0MoreNSQM1CGC2SE012SecPathM9000高性能安全业务处理高性能安全业务处理板板FW吞吐量并发连接数每秒新建连接40G3000万60万LB吞吐量(L4)吞吐量(L7)并发连接数每秒新建连接20G10G3000万60万IPS吞吐量并发连接数每秒新建连接15G3000万20万13SecPathM9000兼容安全业务处理板兼容安全业务处理板ACG吞吐量并发连接数每秒新建连接2G200万5万SSLVPN吞吐量最大在线用户数每秒新建连接2G100005000NSM吞吐量IPv4流数量IPv6流数量4G250万56万14SecPathM9000全系列安全业务板全系列安全业务板现阶段现阶段NSQM1FWCEA0FirewallLBIPSNSMACGSSLVPN将来将来NSQM1FWCEA0LSQM1LBSC0LSU1IPSBEA0LSQM1NSMSC0LSQM1ACGSC0LSQM1SSLSC0NSQM1LBCEA0NSQM1IPSCEA0NSQMNSMCEA0More15SecPathM9000产品规格产品规格吞吐量吞吐量防火墙吞吐量(大包)120G240G400G防火墙吞吐量(混合包)105G210G350G包转发率(64Bytes)36M72M120M并发连接数并发连接数并发连接数9000万1.8亿3亿每秒新建连接数每秒新建连接数每秒新建连接数(HTTP)180万/秒360万/秒600万/秒M9006M9010M9014Firewall16SecPathM9000产品形态产品形态V7机框机框+V5安全板安全板卡卡FWLBIPSV7机框机框+V7安全板安全板卡卡FWLBIPS17SecPathM9000交换引擎交换引擎n高速的交换芯片高速的交换芯片n先进的先进的CLOS架构架构n支持支持N+1冗余备份冗余备份M9006:
NSQM1FAB04B0M9010:
NSQM1FAB08D0M9014:
NSQM1FAB12D0网板型号适用机框每网板带宽(Highspeed)每网板带宽(Lowspeed)NSQ1FAB04B0M9006480Gbps/720Mpps80Gbps/120MppsNSQ1FAB08D0M9010960Gbps/1.44Gpps160Gbps/240MppsNSQ1FAB12D0M90141400Gbp/2.16Gpps240Gbps/360Mpps18SecPathM9000电源模块电源模块uSecPathM9000两种电源所有机框通用,两种电源所有机框通用,M9006最多支持最多支持4个电源,个电源,M9010/M9014最多可支持最多可支持6个电源。
个电源。
uM9000电源支持电源支持N+M配置模式,灵活根配置模式,灵活根据系统功耗配置模块数量。
据系统功耗配置模块数量。
LSUM1AC2500LSUM1DC2400电源型号电源型号电源类型电源类型输入电压和电流范围输入电压和电流范围最大输出功率最大输出功率LSUM1AC2500交流电源模块100240VAC;50/60Hz;16A2500WLSUM1DC2400直流电源模块-48V-60VDC;60A2400W19SecPathM9000风扇模块风扇模块nSecPathM9000风扇采用冗余设计,风扇采用冗余设计,风扇支持智能自动调速,同时风扇也支风扇支持智能自动调速,同时风扇也支持设置特定转速,可查询风扇上各个叶持设置特定转速,可查询风扇上各个叶片实时转速。
片实时转速。
M9006风扇M9010风扇M9014风扇20SecPathM9000防尘网防尘网l防尘网安装在机箱散热风道的进风口防尘网安装在机箱散热风道的进风口,用于防用于防止大量灰尘被吸入机箱内部。
止大量灰尘被吸入机箱内部。
M9006有两块有两块防尘网,防尘网,M9010有一块,有一块,M9014有三块。
有三块。
M9000的防尘网属于可选部件。
的防尘网属于可选部件。
nSecPathM9000产品硬件架构产品硬件架构nSecPathM9000产品软件特性产品软件特性nSecPathM9000典型应用典型应用目录目录22SecPathM9000系统软件架构系统软件架构主控引擎软件系统主控引擎软件系统接口板业务引擎软件系统业务引擎软件系统主控引擎FWLBIPSComwareComwareComwareiWareDrivers业务分流业务分流QOS报文转发报文转发组播复制组播复制BFD会话管理会话管理域间策略域间策略NATVPN报文异常检报文异常检测测DoS/DDoS攻击防范攻击防范应用控制应用控制虚拟防火墙虚拟防火墙L4服务器服务器负载负载L7服务器服务器负载负载Outbound链路负载链路负载Inbound链链路负载路负载健康性检测健康性检测就近性探测就近性探测持续性持续性病毒防御病毒防御攻击检测攻击检测URL过滤过滤DDoS防范防范带宽管理带宽管理日志和报表日志和报表高可靠性高可靠性设备管理设备管理配置管理配置管理协议交互协议交互表项下发表项下发集群管理集群管理日志监控日志监控23智能分流框架(智能分流框架(IFF)防火墙模块防火墙模块防火墙模块防火墙模块登录Master,配置策略策略自动下发到所有业务模块业务流自接口单元进入智能分流,全业务负载分担主控引擎1主控引擎2防火墙模块防火墙模块防火墙模块IPS模块LB模块接口模块业务引擎动态加入/退出,流量自动分担多业务智能调度交交换换网网智能业务分发交交换换网网24单一类型业务引擎智能分流单一类型业务引擎智能分流IO引擎FW业务引擎FW业务引擎FW业务引擎主控根据业务引擎成员状况,业务配置需求,自动下发正反向引流规则独立交换引擎3+1冗余主控引擎1+1冗余IO引擎IO引擎IO引擎IO引擎:
引流策略到某一业务引擎业务引擎针对隧道类业务,ALG业务动态下发正反向引流规则FW引擎:
路由策略到IO引擎主控配置、路由通过管理通道自动下发到各业务引擎25多类型业务引擎智能分流多类型业务引擎智能分流IO引擎FW业务引擎IPS业务引擎LB业务引擎主控根据业务引擎成员状况,业务配置需求,自动下发引流规则独立交换引擎3+1冗余主控引擎1+1冗余IO引擎IO引擎IO引擎IO引擎:
引流规则到FW引擎针对隧道类、ALG业务动态下发引流策略FW:
引流策略到IPS引擎IPS:
引流策略到LB引擎LB:
路由策略到IO引擎主控配置、路由自动下发到多业务引擎26NAT特性特性IMailWeb多功能多功能高性能高性能可视化PAT/NO-PATEasy-IPNATServerNATStaticNAT444ALG(FTP/DNS/SIP)NAT吞吐:
400GNAT新建:
600万/秒NAT并发:
3亿NAT连接数限制NAT二进制日志NAT444用户/会话日志27VPN特性特性总部InternetIPSec加密加密l2tp+IPSecGRE+IPSecInternetInternet合作伙伴企业分支出差员工l丰富的丰富的VPN功能:
功能:
L2TPVPNGREVPNIPSecVPNSSLVPNMPLSVPNl高效的加密高效的加密/认证算法:
认证算法:
DES/3DESAESMD5/SHA-1l多样的认证方多样的认证方式:
式:
本地认证RADIUSLDAPPKI/CA28攻击防范攻击防范黑名单黑名单扫描攻扫描攻击防范击防范DDoS防范防范动态黑名单动态黑名单静态黑名单静态黑名单地址扫描地址扫描端口扫描端口扫描畸形报文畸形报文攻击防范攻击防范ICMPFloodUDPFloodSYNFloodDNSFloodFraggle攻击检攻击检测测Land攻击检测攻击检测WinNuke攻击检攻击检测测TCPFlag攻击检攻击检测测ICMP不可达报文不可达报文攻击检测攻击检测Smurf攻击检测攻击检测超大超大ICMP报文报文攻击检测攻击检测Security29服务器负载均衡服务器负载均衡负荷60负荷60负荷60负荷60负荷60LBSW全面的负载特性全面的负载特性丰富的调度算法丰富的调度算法灵活的健康性检测灵活的健康性检测L4服务器负载L7服务器负载IPv6服务器负载(加权)轮询(加权)最小连接(加权)随机源地址(端口)散列ACL策略ICMPTCP/UDPSNMPSSLRadiusDNS/FTP/HTTPSMTP/POP3多样化的持续性多样化的持续性源IP地址(端口)目的IP地址(端口)Cookie插入/重写/截取SIP的Call-IDHTTP报文头30链路负载均衡链路负载均衡n同时支持同时支持Outbound和和Inbound链路链路负载负载n支持持续性、支持持续性、ACL策略、策略、ISP选路、选路、就近性、调度算法等多种灵活的选路机就近性、调度算法等多种灵活的选路机制制n支持(加权)轮询、随机、最小连接,支持(加权)轮询、随机、最小连接,源源/目的地址散列,加权带宽、最大带目的地址散列,加权带宽、最大带宽等多种丰富的调度算法。
宽等多种丰富的调度算法。
ISP1ISP31234561265ISP234LB31深度检测深度检测路由器交换机IPS内部网络内部网络漏洞库漏洞库协议库协议库病毒库病毒库n攻击防范攻击防范n病毒检测病毒检测nURL过滤过滤nDDoS防护防护n带宽管理带宽管理n统计报表统计报表三库合一实现全面攻击防御三库合一实现全面攻击防御32安全集群框架(安全集群框架(SCF)nSecPathM9000首创多核全分布式安全设备首创多核全分布式安全设备框架集群技术,全面突破机框的限制,在简框架集群技术,全面突破机框的限制,在简化管理和部署的基础上同时实现了安全业务化管理和部署的基础上同时实现了安全业务和安全性能的弹性扩展。
和安全性能的弹性扩展。
FWIPSLBFWIPSLBFWIPSLBFWIPSLBFWIPSLB33安全集群框架安全集群框架(SCF)(SCF)业务引擎集群业务引擎集群-两框集群两框集群-4框集群框集群-异构集群异构集群FW1FW2LB1LB2IPSFW组LB组IPS组34安全集群主备模式安全集群主备模式SWSWSWSWIRFIRFIRFSWIRFSWASASASAAAS冗余口冗余口冗余组n通过将主备设备接口加入冗余口,根据SCF主备状态阻断备机链路n通过将上下行冗余口加入冗余组,实现上下行联动n可以监控接口、链路、引擎状态,实现主备切换n上下行聚合组网、独立三层上行n链路双活n业务引擎通过备份组实现主备trunktrunk备份组1备份组2备份组3VRRPVRRP35安全安全N:
N高可靠性高可靠性业务引擎6业务引擎7业务引擎8业务引擎9业务引擎10业务引擎1业务引擎2业务引擎3业务引擎4业务引擎5SCFIO引擎1IO引擎3IO引擎2IO引擎4业务引擎1业务引擎2业务引擎3业务引擎4IO引擎引擎192.168.1.1:
1024202.101.1.1:
80TCP12NewOwner(主设备故障,新的转发设备)Director(备份)345202.101.1.1:
80-192.168.1.1:
1024TCP1)IO引擎根据负载分担算法将正向流分配到业务引擎1,该业务引擎成为该数据流的所有者,成为主引擎2)数据流所有者根据数据流五元组信息计算出备份引擎,将会话同步给备份引擎3)主引擎故障4)对于原数据流,IO引擎通过负载分担算法分发到引擎45)引擎4向备份引擎获取主引擎信息,得知主引擎故障,从备份引擎得到备份会话信息,然后成为该数据流新的主引擎主转发引擎交换引擎主机1主机236安全集群优势安全集群优势普通双机集群管理双机独立管理、依靠配置同步无法保证主备配置完全一致,配置冲突问题无法避免多台设备SCF后,一体化管理,统一配置下发,不存在配置冲突问题组网两台设备独立、对外互联IP至少2个,一般3个,公网地址浪费多台设备SCF后,对外逻辑上是一台设备,互联IP为1个VRRP方式下,依赖上下行设备的二层通道通过内部互联SCF链路协商,不依赖外部设备多组VRRP单独协商,需要复杂track保持上下行一致冗余组方式通过将上下行接口加入同一冗余组,监控接口、链路、引擎状态统一切换;引擎备份方式,接口、链路聚合切换,引擎故障,引擎组备份组切换,外部无感知双主热备模式下,任意接口、链路、,整机切换,导致收敛时间长,性能减半SCF内所有引擎N:
N备份,接口故障、链路故障,所有引擎处理,性能不损失;引擎故障,损失一个引擎性能扩展性业务扩容时,需要整机断电升级SCF内所有引擎N:
N备份,任意引擎拔出插入,业务无影响最多两台,要求硬件型号一致最多4台设备、硬件型号可以不同37虚拟化安全虚拟化安全ONE平台(平台(SOP)n完全虚拟化,各完全虚拟化,各SOP系统管理、转发全部隔离系统管理、转发全部隔离n资源分配灵活,所有资源分配均可保障、限制或抢占资源分配灵活,所有资源分配均可保障、限制或抢占n高性能,基于多核高性能,基于多核CPU架构、大容量内存以及高效的软件系架构、大容量内存以及高效的软件系统,每个统,每个SOP可以获得足够的软硬件资源可以获得足够的软硬件资源n可靠性高,一个可靠性高,一个SOP故障,其它故障,其它SOP不受影响不受影响FWIPSLBFWIPSLBFWIPSLBFWIPSLB38安全安全SOP实现原理实现原理硬件平台操作系统基础功能(驱动、任务调度、内存管理、定时器等)SOP1-OSSOP2-OSInit进程CLI进程SNMP进程OSPF进程Init进程CLI进程SNMP进程OSPF进程数据转发内核线程NAT内核线程ASPF内核线程数据用户态空间内核态空间转发内核线程NAT内核线程ASPF内核线程39SOPCPU调度机制调度机制10%20%30%40%50%最小可以使用的CPU时间片当前使用的时间片最大可使用的时间片金牌用户,保证10%,最大可使用40%银牌用户,保证5%,最大可使用15%铜牌用户,无保证,最大可使用10%10%20%30%40%50%所有租户流量都大时,保证金牌租户的最低值40SOP虚拟资源池虚拟资源池引擎引擎1VFW1VFW2VFW3VFW3VFW5VFW6VFW7VFW8VFW9VFW10VFW11VFW12VFW13VFW14VFW15VFW16VFW17VFW18引擎引擎2引擎引擎3引擎引擎4引擎引擎5引擎引擎6n虚墙的划分以业务集群组为单位虚墙的划分以业务集群组为单位n扩展业务板后,虚拟化扩展有如下两种形态:
扩展业务板后,虚拟化扩展有如下两种形态:
纵向:
单虚墙的能力不变,可划分的虚墙数量增加横向:
单虚墙的能力增加,可划分地虚墙数量不变VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4引擎引擎1引擎引擎2引擎引擎3引擎引擎4引擎引擎5引擎引擎6VFW1VFW2VFW4VFW5引擎集群引擎集群41开放平台开放平台IMCAPIsHardwarePlatformIMCSSMComwareAPIs用户应用平台接口编译解析器脚本解释器3rd程序编程接口EAA自动化架构TCL脚本自定义程序预定事件及动作ComwareV7操作系统操作系统安全nVPN接入n访问控制n攻击防范n行为审计交付n负载均衡n应用QoSn链路优化资源池nSOP创建nSOP能力分配nSOP迁移nSecPathM9000产品硬件架构产品硬件架构nSecPathM9000产品软件特性产品软件特性nSecPathM9000典型应用典型应用目录目录43园区网场景园区网场景AC云管理平台、网络管理平台平电信联通汇聚1汇聚2汇聚3汇聚N教学楼NACAPACAP教学楼1ACAP宿舍楼u多业务网关同时提供4-7层安全防护及应用交付功能u防火墙提供高性能NAT及安全策略控制uLB提供多链路智能选路或者服务器负载功能uACG提供上网行为审计和带宽管理功能u配合IMCSSM平台实现海量日志审计教育网图书馆APM900044云计算数据中心场景云计算数据中心场景40GLacpacpInternetu接口万兆上行,通过高密万兆或40G捆绑保障业务带宽uSCF提供多业务弹性扩展能力uN:
N备份,简化网络部署,提高可靠性,保证业务零中断10GLACP40GLACPM900045公有云多租户场景公有云多租户场景CloudM9000VM1VM2VM2VFWTenantA(VLAN100)(VLAN1000)u租户A为金牌客户,提供防火墙、IPS和SLB功能,保证处理能力的10%u租户B为银牌客户,提供防火墙、LB功能,保证处理能力5%u其他租户为铜牌客户,提供防火墙功能,限制处理能力5%u软件防火墙VFW负载同租户内同VLAN内流量防火墙u安全控制防火墙负租户间的访问控制u安全控制防火墙负责Internet访问租户流量M9000vSwitchVFWTenantB(VLAN200)TenantC(VLAN1000)u允许Web访问App80端口u仅允许Web/App访问DPWebServerAppServerDBServernSecPathM9000产品硬件架构产品硬件架构nSecPathM9000产品软件特性产品软件特性nSecPathM9000产品典型组网产品典型组网本章总结本章总结
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3CSecPathM9000 产品 培训