H3CSecPathM9000产品培训

H3CSecPathM9000产品培训ISSUE1.0作者：翟运波杭州华三通信技术有限公司版权所有，未经授权不得使用与传播日期：2014-03-10了解SecPathM9000产品的硬件架构掌握SecPathM9000产品的软件特性熟悉SecPathM9000产品的典型应用课程目标学习完本课程，您应该能够：SecPathM9000产品硬件架构SecPathM9000产品软件特性SecPathM9000典型应用目录系列多业务安全网关产品定位：大型数据中心、大型企业及园区网出口、云服务提供商多租户、运营商CGN等场景产品形态：全分布式硬件架构、多业务安全网关M9006M9010M9014全分布式硬件架构交换引擎交换引擎交换引擎业务引擎处理器主控引擎处理器主控引擎处理器业务引擎处理器接口单元处理器……交换引擎控制、交换、业务、接口完全物理分离！业务引擎就是各种安全板卡，可以对数据进行安全检测、过滤和审计等。接口单元提供各种丰富、灵活的接口，方便业务接入。主控引擎是设备的控制中心，负责设备的硬件监控、配置管理等工作。123交换引擎负责接口板和业务板之间数据的高速转发。4主控引擎、业务引擎、交换引擎、接口单元完全物理分离业务板+接口板槽位数量4812交换网板槽位数量444整机交换容量1.92Tbps8.96Tbps13.44Tbps每槽位带宽480Gbps1120Gbps1120Gbps电源槽位数量466风扇槽位数量112产品外观①②主控引擎安全/接口业务板电源①①②②②③③③③①M9006M9010M9014产品外观①②①①②③②③①②风扇交换网板出风口③③M9006M9010M9014①③产品主控引擎SecPathM9000全系列产品共用一款主控引擎，每个框支持2块，可以实现1+1备份。NSQM1SUPB0CPU多核（XLP316）内存8GFlash512MConsole1管理口1高密千兆NSQM1GP24TXEA0NSQM1GP48EB0NSQM1GT48EA0NSQM1TGS8EA0NSQM1TGX4EA0NSQM1TGS32SF0NSQM1QGS4SF0NSQM1CGC2SE0吞吐量（L4）吞吐量（L7）并发连接数每秒新建连接20G10G3000万60万IPS吞吐量并发连接数每秒新建连接15G3000万20万产品规格吞吐量防火墙吞吐量(大包)120G240G400G防火墙吞吐量(混合包)105G210G350G包转发率(64Bytes)36M72M120M并发连接数并发连接数9000万1.8亿3亿每秒新建连接数每秒新建连接数（HTTP）180万/秒360万/秒600万/秒M9006M9010M9014机框+V5安全板卡FWLBIPSV7机框+V7安全板卡FWLBIPS交换引擎高速的交换芯片先进的CLOS架构支持N+1冗余备份M9006：NSQM1FAB04B0M9010：NSQM1FAB08D0M9014：NSQM1FAB12D0网板型号适用机框每网板带宽(Highspeed)每网板带宽(Lowspeed)NSQ1FAB04B0M9006480Gbps/720Mpps80Gbps/120MppsNSQ1FAB08D0M9010960Gbps/1.44Gpps160Gbps/240MppsNSQ1FAB12D0M90141400Gbp/2.16Gpps240Gbps/360Mpps电源模块SecPathM9000两种电源所有机框通用，M9006最多支持4个电源，M9010/M9014最多可支持6个电源。M9000电源支持N+M配置模式，灵活根据系统功耗配置模块数量。LSUM1AC2500LSUM1DC2400电源型号电源类型输入电压和电流范围最大输出功率LSUM1AC2500交流电源模块100～240VAC；50/60Hz；16A2500WLSUM1DC2400直流电源模块-48V～-60VDC；60A2400风扇模块SecPathM9000风扇采用冗余设计，风扇支持智能自动调速，同时风扇也支持设置特定转速，可查询风扇上各个叶片实时转速。M9006风扇M9010风扇M9014风扇防尘网防尘网安装在机箱散热风道的进风口,用于防止大量灰尘被吸入机箱内部。M9006有两块防尘网，M9010有一块，M9014有三块。M9000的防尘网属于可选部件。SecPathM9000产品硬件架构SecPathM9000产品软件特性SecPathM9000典型应用目录•业务分流•QOS•报文转发•组播复制•BFD•会话管理•域间策略•NAT•VPN•报文异常检测•DoS/DDoS攻击防范•应用控制•虚拟防火墙•L4服务器负载•L7服务器负载•Outbound链路负载•Inbound链路负载•健康性检测•就近性探测•持续性•病毒防御•攻击检测•URL过滤•DDoS防范•带宽管理•日志和报表•高可靠性•设备管理•配置管理•协议交互•表项下发•集群管理•日志监控……智能分流框架（IFF）防火墙模块防火墙模块防火墙模块防火墙模块①登录Master，配置策略②策略自动下发到所有业务模块③业务流自接口单元进入④智能分流，全业务负载分担主控引擎1主控引擎2防火墙模块防火墙模块防火墙模块IPS模块LB模块接口模块⑤业务引擎动态加入/退出，流量自动分担⑥多业务智能调度交换网智能业务分发交换网业务引擎主控根据业务引擎成员状况，业务配置需求，自动下发正反向引流规则独立交换引擎3+1冗余主控引擎1+1冗余IO引擎IO引擎IO引擎IO引擎：引流策略到某一业务引擎业务引擎针对隧道类业务，ALG业务动态下发正反向引流规则FW引擎：路由策略到IO引擎主控配置、路由通过管理通道自动下发到各业务引擎业务引擎主控根据业务引擎成员状况，业务配置需求，自动下发引流规则独立交换引擎3+1冗余主控引擎1+1冗余IO引擎IO引擎IO引擎IO引擎：引流规则到FW引擎针对隧道类、ALG业务动态下发引流策略FW：引流策略到IPS引擎IPS:引流策略到LB引擎LB:路由策略到IO引擎主控配置、路由自动下发到多业务引擎多功能高性能可视化PAT/NO-PATEasy-IPNATServerNATStaticNAT444ALG(FTP/DNS/SIP……）NAT吞吐：400GNAT新建：600万/秒NAT并发：3亿NAT连接数限制NAT二进制日志NAT444用户/会话日志合作伙伴企业分支出差员工丰富的VPN功能：L2TPVPNGREVPNIPSecVPNSSLVPNMPLSVPN高效的加密/认证算法：DES/3DESAESMD5/SHA-1多样的认证方式：本地认证RADIUSLDAPPKI/CA防范•动态黑名单•静态黑名单•地址扫描•端口扫描畸形报文攻击防范•ICMPFlood•UDPFlood•SYNFlood•DNSFlood•Fraggle攻击检测•Land攻击检测•WinNuke攻击检测•TCPFlag攻击检测•ICMP不可达报文攻击检测•Smurf攻击检测•超大ICMP报文攻击检测％负荷60％负荷60％负荷60％负荷60％LBSW123.125.114.144全面的负载特性丰富的调度算法灵活的健康性检测L4服务器负载L7服务器负载IPv6服务器负载（加权）轮询（加权）最小连接（加权）随机源地址（端口）散列ACL策略ICMPTCP/UDPSNMPSSLRadiusDNS/FTP/HTTPSMTP/POP3多样化的持续性源IP地址（端口）目的IP地址（端口）Cookie插入/重写/截取SIP的Call-IDHTTP报文头链路负载均衡同时支持Outbound和Inbound链路负载支持持续性、ACL策略、ISP选路、就近性、调度算法等多种灵活的选路机制支持（加权）轮询、随机、最小连接，源/目的地址散列，加权带宽、最大带宽等多种丰富的调度算法。ISP1ISP31234561265ISP234LB内部网络漏洞库协议库病毒库攻击防范病毒检测URL过滤DDoS防护带宽管理统计报表三库合一实现全面攻击防御安全集群框架（SCF）SecPathM9000首创多核全分布式安全设备框架集群技术，全面突破机框的限制，在简化管理和部署的基础上同时实现了安全业务和安全性能的弹性扩展。FWIPSLBFWIPSLBFWIPSLBFWIPSLBFWIPSLB安全集群框架(SCF)业务引擎集群-两框集群-4框集群-异构集群FW1FW2LB1LB2IPSFW组LB组IPS组冗余口冗余口冗余组通过将主备设备接口加入冗余口，根据SCF主备状态阻断备机链路通过将上下行冗余口加入冗余组，实现