SecPath M9000虚拟多业务网关介绍

1、H3C SecPath M9000虚拟多业务网关介绍引入SecPath M9000系列产品是结合当前安全与网络深入融合的技术趋势，针对 大型企业、运营商和数据中心、云计算市场而推出的 新一代高性能多业务安全网关。目录SecPath M9000产品概述SecPath M9000产品硬件架构SecPath M9000产品软件特性SecPath M9000典型应用各行各业互联网化趋势加速运营商-互联网业务基地、OTT金融-网银业务互联网企业-网上购物、社交、搜索政府-G2B、G2C业务互联网4网络带宽飞速增长虚拟化、数据中心、高性能计算、 视频点播等技术需求推动以太网朝 着更高、更快的方向快速发展。

2、2013年，国内三大运营商都进行了100G数据集采，百G时代逐渐落地2010年6月，IEEE 802.3ba 40G/100G标准2002年6月，IEEE 802.3ae 10G以太网标准发布1998年，IEEE通过了802.3z千兆标准1995年，IEEE通过了802.3u标准，将以太网的带宽扩大为100Mbps。1983年IEEE 802.3工作组发布10BASE-5粗缆以太网标准，这是最早的以太网标准。1973年Metcalfe博士在施乐实验室发明了以太网5网络安全新挑战P2PIPhoneIPadAndriodIMLinuxMac OS有线WindowWIFI3GSNS微博网盘 高清视频

3、微信炒股 在线游戏6网络安全设备需求多业务安全防护高性能、可扩展 虚拟化高可靠、易管理7SecPath M9000系列安全网关产品定位：大型数据中心 、大型企业及园区网出口、云服务提供商多租户场景、运营商CGN等产品形态：全分布式硬件架构、多业务安全网关M9006M9010M90148全分布式硬件架构交换引擎交换引擎交换引擎处理器处理器主控引擎 主控引擎处理器业务引擎 业务引擎处理器接口单元处理器交换引擎业务引擎是各种安全板卡，可以对数据进行安全检测、过滤和审计等。接口单元提供各种丰富、灵活的接口， 方便业务接入。主控引擎是设备的控制中心，负责设备的硬件监控、配置管理等工作。123交换引擎负责

4、接口板和业务板之间数据 的高速转发。94控制、交换、业务、接口完全物理分离高性能安全业务模块FW吞吐量40G并发连接数3000万每秒新建连接60万LB吞吐量（L4）吞吐量（L7）并发连接数每秒新建连接20G10G3000万60万IPS吞吐量15G并发连接数3000万每秒新建连接20万10丰富的接口单元高密万兆高速40/100G高密千兆NSQM1GP24TXEA0NSQM1GP48EB0NSQM1GT48EA0NSQM1TGS8EA0NSQM1TGX4EA0NSQM1TGS32SF0NSQM1QGS4SF0NSQM1CGC2SE011高速的交换引擎高速的交换芯片先进的CLOS架构支持N+1冗余备

5、份M9006：NSQM1FAB04B0M9010：NSQM1FAB08D0M9014：NSQM1FAB12D012智能分流（IFF）防火墙模块防火墙模块防火墙模块登录Master配置策略策略自动下发 到所有业务模块业务流自接口单元进 入主控引擎1主控引擎2防火墙模块防火墙模块 防火墙模块防火墙模块IPS模块LB模块接口模块多业务智能调度智能分流，全业务负载分担智能业务分发业务引擎动态加入/退出， 流量自动分担交13换网全面的安全保障大规模策略访问控制多样化VPN接入多链路智能调度全面流量分析高性能DDoS防护高性能入侵防御服务器负载均衡精细化应用管控大容量NAT专业病毒防护虚机扩容动态云计算虚

6、拟化安全防火墙FW负载均衡LBVPN网流分析NSM入侵防御IPS应用控制ACG14安全集群框架（SCF）SecPath M9000首创多核全分布式安全设备框架集 群技术，全面突破机框的限制，在简化管理和部署的 基础上同时实现了安全业务和安全性能的弹性扩展。FWIPS LBFW IPS LBFWIPSLBFWIPSLBFWIPSLB最多支持4框集群支持异构机框集群15安全ONE平台（SOP），完全虚拟化，各SOP系统管理、转发全部隔离资源分配灵活，所有资源分配均可保障、限制或抢占高性能，基于多核CPU架构、大容量内存以及高效的软件系统 每个SOP可以获得足够的软硬件资源可靠性高，一个SOP故障，

7、其它SOP不受影响FWIPS LBFWIPS LBFWIPS LBFWIPS LB16SecPath M9000系列产品硬件特性M900617M9014M9010主控板槽位222业务板+接口板槽位4812交换网板444电源466风扇槽位112SecPath M9000系列产品软件规格每槽位带宽(Gbps)每槽位带宽(Gbps)48011201120整机交换容量(Tbps)整机交换容量(Tbps)1.928.9613.44吞吐量防火墙吞吐量(大包)120G240G400G防火墙吞吐量(混合包105G210G350G包转发率(64Bytes)36M72M120M并发连接数并发连接数9000万1.8

8、亿3亿每秒新建连接数每秒新建连接数（HTTP）180万/秒360万/秒600万/秒M9006M9014M901018SecPath M9000产品形态IPSLB FWV7机框+V5安全板卡IPSLB FWV7机框+V7安全板卡19目录SecPath M9000产品概述SecPath M9000产品硬件架构SecPath M9000产品软件特性SecPath M9000典型应用SecPath M9000系列产品外观 主控引擎 安全/接口业务板 电源21M9006M9010M9014SecPath M9000系列产品外观 风扇 交换网板 出风口M9006M9010M901422SecPath M9

9、006产品23SecPath M9010产品24SecPath M9014产品25SecPath M9000主控引擎SecPath M9000全系列产品共用一款主控引 擎，每个框支持2块，可以实现1+1备份。NSQM1SUPB0CPU多核（XLP316）内存8GFlash512MConsole1管理口126SecPath M9000接口板分类型号描述千兆NSQM1GT48EA0SecPath M9000 48端口千兆以太网电接口模块NSQM1GP48EB0SecPath M9000 48端口增强型千兆以太网光接口模块(SFP,LC)NSQM1GP24TXEA0SecPath M9000 16端

10、口千兆以太网光口(SFP,LC)+8端口千兆以太网Combo口+2端口万兆以太网光接口模块(XFP,LC)万兆NSQM1TGX4EA0SecPath M9000 4端口万兆以太网光接口模块(XFP,LC)NSQM1TGS8EA0SecPath M9000 8端口万兆以太网光接口模块(SFP+,LC)NSQM1TGS32SF0SecPath M9000 32端口万兆以太网光接口模块(SFP+,LC)40GNSQM1QGS4SF0SecPath M9000 4端口40G以太网光接口板(QSFP+,MPO)100GNSQM1CGC2SE0SecPath M9000 2端口100G以太网光接口板(CF

11、P,LC)27SecPath M9000高性能业务处理板带外管理consoleCF扣卡单独网口，用于业务引擎独立 升级业务CPU12*8G内存DDR3分布式内存互联DDR3DDR3DDR3Shared CacheCpu0-cacheCpu1-cacheCpu2-cacheCpu3-Cpu4-Cpu5-cachecachecacheCpu6- cache。CpuN- cache网络加速网络接口高速消息交换网络安全加速CPU自带高性能加密引擎，保证高性能VPN业务处理新一代MIPS多核CPU，内置高速消息总线和共享内存，多核并行高速处理大容量TCAM保证大量策略及DDOS攻击下的系统性能大内存配合

12、64位操作系统，提供千万级并发管理CPU0TCAM28NSQM1FWCEA0SecPath M9000兼容业务处理板硬件规格1个Console接口1个CF卡接口，支持容量为256M、512M、1G的CF卡2个USB接口（预留）2个10/100/1000BASE-T电接口2个千兆Combo（光电复合）接口后插板10GE接口SecBlade IICF卡Console口2GE电口2GE Combo口CP U29内存SecPath M9000安全业务板现阶段NSQM1FWCEA0FirewallLBIPSNSMACGSSL VPN将来LSQM1LBSC0LSQM1IPSC0LSQM1NSMSC0LSQ

13、M1ACGSC0LSQM1SSLSC0NSQM1LBCEA0NSQM1IPSCEA0NSQMNSMCEA030SecPath M9000交换网板网板型号适用机框每网板带宽(High speed)每网板带宽(Low speed)NSQ1FAB04B0M9006480Gbps/720Mpps80Gbps/120MppsNSQ1FAB08D0M9010960Gbps/1.44Gpps160Gbps/240MppsNSQ1FAB12D0M90141400Gbp/2.16Gpps240Gbps/360MppsM9006：NSQM1FAB04B031M9010：NSQM1FAB08D0M9014：NSQM

14、1FAB12D0SecPath M9000硬件架构主 控 引 擎 1+1冗 余独立交换引擎 3+1冗余管理CPU管理Switch业务switch管理CPU0业务引擎CPU1FW引擎管理Switch业务switch管理CPU0业务引擎CPU1IPS引擎管理Switch业务switch管理CPU0业务引擎CPU1LB引擎管理Switch业务switch管理CPU面板口管理Switch业务switch管理CPU面板口管理Switch业务switch管理CPU面板口32IO引擎IO引擎IO引擎独立管理总线，配置下发、状态监控 高速数据总线1、独立的管理CPU和独立管理总线，保证在大业务流量情况下，管理

15、可靠性2、高性能多核CPU和高速交换引擎保证数据的高速处理和转发SecPath M9000系统转发架构M9000数据转发主要涉及接口单元、交换单元和安全引擎。三部分Swtich FabricSwitchIO/线卡SwitchIO/线卡SwitchIO/线卡SwitchIO/线卡SPESwitchSPESPESPESPESwitchSPESPESPE内部链路以太链路33接口单元交换单元安全引擎SecPath M9000数据转发流程数据从线卡进来以后根据智能分流策略通过交换网板转发至各安全板卡进行处理，处理完成以后再经交换网板送回线卡。SecBlade前插板负责安全业务处理，后插板负责数据转发。匹

16、配转发规则根据转发表项找到出 口，并转发到特定线 卡/业务卡选出实际物理口,把流量送到前插板安全CPU进行业务处 理安全CPU根据转发表 项,把流量送到后插板根据转发表项送到交 换板根据转发表项找到出 口判断为本芯片的出端 口报文，在对应物理 口发送线卡1线卡2交换网SecBlade 后插卡 交换芯片安全业务CPU转发表/邻接表引流策略34SecPath M9000电源模块SecPath M9000两种电源所有机框通用，M9006最多支持4个电源， M9010/M9014最多可支持6个电源。M9000电源支持N+M配置模式，灵活根据系统功耗配置模块数量。LSUM1AC250035LSUM1DC

17、2400电源型号电源类型输入电压和电流范围最大输出功率LSUM1AC2500交流电源模块100240V AC；50/60Hz；16A2500WLSUM1DC2400直流电源模块-48V-60V DC；60A2400WSecPath M9000风扇模块SecPath M9000 风扇采用冗余设计，风扇支持智能自动调速，同时风扇也支持设置特定转速，可查询风扇上各个叶片实时转速。M9006风扇36M9010风扇M9014风扇SecPath M9000防尘网防尘网安装在机箱散热风道的进风口,用于防止大量灰尘被吸入机箱内部。M9006有两块防尘网，M9010有一块，M9014有三块。M9000的防尘网属

18、于可选部件。37目录SecPath M9000产品概述SecPath M9000产品硬件架构SecPath M9000产品软件特性SecPath M9000典型应用SecPath M9000系统软件架构主控引擎软件系统业务引擎软件系统ComwareComwareComwareiWareDrivers39接口板业务分流QOS报文转发组播复制BFDFW会话管理域间策略NATVPN报文异常检测DoS/DDoS攻 击防范应用控制虚拟防火墙LBL4服务器负载L7服务器负载Outbound链 路负载Inbound链路 负载健康性检测就近性探测持续性IPS病毒防御攻击检测URL过滤DDoS防范带宽管理日志和

19、报表高可靠性主控引擎设备管理配置管理协议交互表项同步表项下发集群管理日志监控单一类型业务引擎智能分流IO引擎FW业务引擎FW业务引擎FW业务引擎独立交换引擎 3+1冗余 主 控 引 擎 1+1冗 余IO引擎IO引擎IO引擎FW引擎：路由策略到IO引擎IO引擎：引流策略到某一业务引擎主控配置、路由通过管理通道自动下发到各业务引擎主控根据业务引擎成员状况，业务配置需求，自动下发正反向引流规则业务引擎针对隧道类业务，ALG业务动态下发正反向引流规则40多类型业务引擎智能分流IO引擎FW业务引擎IPS业务引擎LB业务引擎独立交换引擎 3+1冗余 主 控 引 擎 1+1冗余IO引擎IO引擎IO引擎FW：

20、引流策略到IPS引擎IPS:引流策略到LB引擎LB:路由策略到IO引擎IO引擎：引流规则到FW引擎主控配置、路由自动下发到多业务引擎主控根据业务引擎成员状况，业务配置需求，自动下发引流规则针对隧道类、ALG业务动态下发引流策略41NAT特性IMailWeb多功能PAT/NO-PATEasy-IPNAT ServerNAT StaticNAT444ALG(FTP/DNS/SIP）42高性能NAT 吞吐：400GNAT 新建：600万/秒NAT 并发：3亿可视化NAT连接数限制NAT二进制日志NAT444用户/会话日志VPN特性总部InternetIPSec加密l2tp + IPSecGRE +

21、IPSecInternetInternet合作伙伴企业分支出差员工丰富的VPN功能：L2TP VPNGRE VPNIPSec VPNSSL VPNMPLS VPN高效的加密/认证算法：DES/3DESAESMD5/SHA-1多样的认证方式：本地认证RADIUSLDAPPKI/CA43攻击防范黑名单扫描攻 击防范DDoS防范动态黑名单静态黑名单地址扫描端口扫描畸形报文攻击防范ICMP FloodUDP FloodSYN FloodDNS FloodFraggle攻击检测Land攻击检测WinNuke攻击检测TCP Flag攻击检测ICMP不可达报文攻击检测Smurf攻击检测超大ICMP报文攻击

22、检测44服务器负载均衡负荷60负荷60负荷60负荷60负荷60LBSW45全面的负载特性L4服务器负载L7服务器负载IPv6服务器负载丰富的调度算法（加权）轮询（加权）最小连接（加权）随机源地址（端口）散列ACL策略灵活的健康性检测ICMPTCP/UDPSNMPSSLRadiusDNS/FTP/HTTPSMTP/POP3多样化的持续性源IP地址（端口）目的IP地址（端口）Cookie插入/重写/截取SIP的Call-IDHTTP报文头链路负载均衡同时支持Outbound和Inbound链路负载支持持续性、ACL策略、ISP选路、就近性、调度算法等多种灵活的选路机制支持（加权）轮询、随机、最小连

23、接，源/目的地址散列，加权带宽、 最大带宽等多种丰富的调度算法。ISP1ISP31234561265ISP234LB46深度检测路由器交换机IPS内部网络漏洞库协议库病毒库攻击防范病毒检测URL过滤DDoS防护带宽管理统计报表三库合一实现全面攻击防御47安全集群框架(SCF)业务引擎集群-两框集群-4框集群-异构集群FW1 FW2LB1 LB2IPS48FW组LB组IPS组安全集群主备模式SWSWSWSWIRF SWIRF SWA AS SASAAAS冗余口冗余口冗 余 组 IRF通过将主备设备接口加入冗余口，根据SCF主备状 态阻断备机链路通过将上下行冗余口加入冗余组，实现上下行联动可以监控

24、接口、链路、引擎状态，实现主备切换49上下行聚合组网、独立三层上行链路双活业务引擎通过备份组实现主备trunk备份组1IRF备份组2备份组3VRRPtrunk安全N:N高可靠性业务引擎6业务引擎7业务引擎8业务引擎9业务引擎10业务引擎1业务引擎2业务引擎3业务引擎4业务引擎5IO引擎1IO引擎3IO引擎2IO引擎4业务引擎1业务引擎2 业务引擎3 业务引擎4IO引擎:1024:80 TCPNew Owner（主设备故障，新的转发设备）12Director（备份）345:80-:1024 TCP1）IO引擎根据负载分担算法将正向流分配到业务引擎1，该业务引擎 成为该数据流的所有者，成为主引擎2

25、）数据流所有者根据数据流五元组信息计算出备份引擎，将会话同步 给备份引擎3）主引擎故障4）对于原数据流，IO引擎通过负载分担算法分发到引擎45）引擎4向备份引擎获取主引擎信息，得知主引擎故障，从备份引擎 得到备份会话信息，然后成为该数据流新的主引擎主转发引擎交 换 引 擎50安全集群优势51、普通双机集群管理双机独立管理、依靠配置同步无 法保证主备配置完全一致，配置 冲突问题无法避免多台设备SCF后，一体化管理，统一配置下发，不存在配 置冲突问题组网两台设备独立、对外互联IP至少2 个，一般3个，公网地址浪费多台设备SCF后，对外逻辑上是一台设备，互联IP为1个VRRP方式下，依赖上下行设备

26、的二层通道通过内部互联SCF链路协商，不依赖外部设备多组VRRP单独协商，需要复杂track保持上下行一致冗余组方式通过将上下行接口加入同一冗余组，监控接口链路、引擎状态统一切换；引擎备份方式，接口、链路聚合切换，引擎故障，引擎组 备份组切换，外部无感知双主热备模式下，任意接口、链 路、，整机切换，导致收敛时间 长，性能减半SCF内所有引擎N:N备份，接口故障、链路故障，所有引擎处理，性能不损失；引擎故障，损失一个引擎性能扩展性业务扩容时，需要整机断电升级SCF内所有引擎N:N备份，任意引擎拔出插入，业务无影 响最多两台，要求硬件型号一致最多4台设备、硬件型号可以不同安全SOP实现原理硬件平台

27、操作系统基础功能(驱动、任务调度、内存管理、定时器等)SOP1-OSSOP2-OSInit进程CLI进程SNMP进程OSPF进程Init进程CLI进程SNMP进程OSPF进程 用户态空间转发内核线程NAT内核线程ASPF内核线程数据转发内核线程NAT内核线程ASPF内核线程数据 内核态空间52SOP架构优势FWIPSLBFWIPS LB传统虚拟防火墙虚机方式SOP隔离VRF路由隔离操作系统隔离业务系统隔离业务虚拟化程度部分业务VPN实例化完全虚拟化完全虚拟化硬件资源分配不支持按CPU核数、内存大小按CPU、内存利用率分配虚拟防火墙规格多少多性能性能高性能低性能高可靠性一个实例故障，整机故障一个

28、系统故障，其它系统不受影响一个SOP故障，其它SOP不受影响FWIPS LBFWIPS LB53SOP CPU调度机制10%20%30%40%50%最小可以使用的CPU时间片 当前使用的时间片最大可使用的时间片金牌用户，保证10%，最 大可使用40%银牌用户，保证5%，最大可使用15%铜牌用户，无保证，最 大可使用10%10%20%30%40%50%所有租户流量都大时，保证 金牌租户的最低值54SOP虚拟资源池引擎1VFW1VFW2VFW3VFW3VFW5VFW6VFW7VFW8VFW9VFW10VFW11VFW12VFW13VFW14VFW15VFW16VFW17VFW18引擎2引擎3引擎4

29、引擎5引擎6虚墙的划分以业务集群组为单位扩展业务板后，虚拟化扩展有如下两种形态：纵向：单虚墙的能力不变，可划分的虚墙数量增加横向：单虚墙的能力增加，可划分地虚墙数量不变VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4VFW1VFW2VFW3VFW4引擎155引擎2引擎5引擎6VFW1VFW2VFW4VFW5引引擎3 擎集引擎4 群SOP接口虚拟化TrustRD User /16Market User /16Global VFWuntrustRD-VFWMarket-VFWTrustUntrust1、统一的NAT地址 池2、所有internet流 量审计untrust1、禁止HTTP、DNS服务、2、允许其他服务Trust1、允许http流 量2、其他禁止G0/0/1 共享接口DMZRD User /16Market User /16RD-VFWMarket-VFWTrustTrustNat outb