下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.95
{{sendMatomoQuery("下一代防火墙AF","资源分配")}}

资源分配

更新时间:2023-10-12

合理地分配资源可以对单个虚拟系统的资源进行约束,避免因某个虚拟系统占用过多的资源,导致其他虚拟系统无法获取资源、业务无法正常运行的情况。

区域、策略、会话等实现虚拟系统业务的基础资源支持定额分配或手工分配,其中:

定额分配:此类资源直接按照系统规格自动分配固定的资源数(如区域、对象、管理员等),不支持用户手动分配。

手工分配:此类资源支持用户通过命令行或Web界面中的资源类界面手动分配(如会话、策略等)。

此外,其他的资源项则是各个虚拟系统一起共享抢占整机资源,同样不支持用户手动分配。

定额分配和手工分配的资源如下表所示。

 资源分配表

资源名称

分配方式

具体说明

接口

手工分配

1、支持分配给虚拟系统的接口类型包括:三层以太网接口,三层以太网子接口,三层聚合口子接口,虚拟接口;

2、二层接口不支持直接分配给虚拟系统。使用assign vlan命令将VLAN分配给虚拟系统后,二层接口会随VLAN分配给相应的虚拟系统。Trunk类型的二层接口可以随VLAN分配给多个虚拟系统,各个虚拟系统下可配置该接口,例如接口加入安全区域;

3、当存在三层VLAN接口时,使用assign vlan命令将VLAN分配给虚拟系统时,对应的三层VLAN接口会同步分配给虚拟系统。三层VLAN接口也可直接分配给虚拟系统,此时对应的三层VLAN接口会同步分配给虚拟系统;

4、管理口eth0不能分配给虚拟系统。

VLAN

手工分配

对应的三层VLAN接口会同步分配给虚拟系统

IPv4会话

手工分配

 

IPv6会话

手工分配

 

应用控制策略

手工分配

 

NAT44策略

手工分配

 

NAT66策略

手工分配

 

NAT64策略

手工分配

 

本机访问控制

定额分配

默认存在2条,上限32

网络对象

定额分配

与设备型号相关,50-2048

服务

定额分配

预定义服务:73

自定义服务:512

时间计划

定额分配

64

区域

定额分配

30

静态路由

定额分配

与设备型号相关,512-2048

策略路由

定额分配

与设备型号相关,256-2048

管理员

定额分配

根系统容量:30

虚拟系统:5个,默认不存在管理员

管理员为虚拟系统手工分配资源时,首先需要配置资源类,并在资源类中指定各个资源项的保证值和最大值,然后将资源类与虚拟系统绑定。虚拟系统可以使用的资源数量就受资源类中配置的保证值和最大值控制。

保证值:虚拟系统可使用某项资源的最小数量。这部分资源一旦分配给虚拟系统,就被该虚拟系统独占。

1、AFipv4会话和ipv6会话资源是共享的,例如整机会话资源为N,那么ipv4会话资源为Nipv6会话资源为N/2

2、当会话剩余资源(使用量+已保证值)>会话的保证值,此时会话的保证值是有效的,否则会话的保证值无法做到真实保留,当会话释放出来,会优先进行保留;

3、策略数的保证值=最大值=至少最多可用数。

最大值:虚拟系统可使用某项资源的最大数量。虚拟系统可使用的资源能否达到最大值视其他虚拟系统对该项资源的使用情况而定。

例如,AF上配置了10个虚拟系统。假定AF会话数的整机规格为500000,虚拟系统A的会话数保证值为10000、最大值为50000。虚拟系统A可建立的会话数一定能达到10000,但能否达到最大值50000,则视其他虚拟系统的会话资源使用情况而定。如果其他9个虚拟系统和根系统当前的会话数总和小于450000,虚拟系统A可建立的会话数就能达到50000

如果虚拟系统不绑定资源类,则虚拟系统的资源不受限制,虚拟系统和根系统以及其他未绑定资源类的虚拟系统一起共同抢占整机的剩余资源。如果虚拟系统绑定的资源类对某些资源项未指定最大值和保证值,则虚拟系统的这些资源项不受限制,虚拟系统和根系统以及其他未限定该资源项的虚拟系统一起共同抢占整机的剩余资源。

共享抢占的资源包括:CPU、内存、链路探测、OSPF和各种表项(如ARP表、MAC地址表)等。