Hola chicos, me gustaría compartir una publicación con ustedes sobre cómo seleccionar los firewalls Huawei NGFW e introducir el hardware del firewall.
1.- Criterio de selección
Actualmente, los modelos de firewall convencionales actuales son las series USG66 y USG95, seleccionadas de acuerdo con las necesidades comerciales reales de la red existente. Seleccione un modelo basado en los requisitos de servicio reales en la red en vivo. Las sugerencias de selección de partición son las siguientes:
Ubicacion | Seleccion |
Red del campus, red sin servicio SR1, otras particiones SR, particiones con poco tráfico, como firewalls VPN | USG6630 |
Red sin servicio RDC, red de servicio SR1, nube informática, nube de escritorio, etc. (aproximadamente 10G de tráfico) | USG6680 |
Red de servicio RDC, partición común EDC | USG9520 |
EDC partición importante | USG9560 |
2.- Descripción general del rendimiento del dispositivo
Modelo | Correspondiente a Eudemon | Rendimiento (paquete grande) | Rendimiento (paquete pequeño) | Sesiones concurrentes | Nuevas sesiones por segundo | Tamaño del dispositivo |
USG6630 | Eudemon1000E-N5 | 16G | 5G | 6 million | 250,000 | 1U |
USG6680 | Eudemon1000E-N7E | 40G | 8G | 12 million | 400,000 | 3U |
USG9520 | E8000E-X3 | 80G | 16G | 80 million | 1 million | 4U ( DC ) / 5U ( AC ) |
USG9560 | E8000E-X8 | 480G | 96G | 4.8 billion | 6 million | 14U |
USG9580 | E8000E-X16 | 960G | 192G | 960 million | 12 million | 32U |
Los firewalls de la serie USG6600 son dispositivos en forma de caja. El rendimiento depende del rendimiento de la placa de control principal y la tarjeta de aceleración de hardware. Es irrelevante para la tarjeta de interfaz insertada y el rendimiento de todo el sistema es fijo.
Los firewalls de la serie USG9500 son estructuras en forma de marco. El rendimiento del dispositivo depende de la placa de interfaz y la placa de servicio insertada en el dispositivo. Los usuarios pueden igualar sus propias necesidades de acuerdo con sus necesidades.
El rendimiento del dispositivo depende de la placa de interfaz y la placa de servicio instalada en el dispositivo. Puede establecer este parámetro en función de los requisitos del sitio. La tabla anterior muestra el rendimiento máximo del dispositivo.
3 introducción de hardware
3.1 Host USG66
3.1.1 Host USG6630
El USG6630 es un dispositivo en forma de caja con cuatro puertos ópticos GE, ocho puertos eléctricos GE, una fuente de alimentación de CA y dos ranuras extendidas.
Se requiere un módulo de potencia al comprar.
Codigo | Descripcion | Cantidad |
02359520 | Componentes de ensamblaje - USG6630-USG6630-AC-USG6630 AC host (8GE electric + 4GE light, 8GB memory, 1 AC AC) | 1 |
02131122 | Fuente de alimentación primaria -25degC-60degC-90V-290V-12V / 14.2A | 1 |
Para áreas con una gran cantidad de interfaces, como la zona de acceso a Internet o más de dos zonas, se recomienda comprar tarjetas de interfaz. Las placas de interfaz se seleccionan según el tipo de interfaz óptica / eléctrica real. Si se requiere el ancho de banda de 10G, también debe comprar la placa de interfaz de 10G. Se recomienda utilizar el puerto eléctrico para el puerto de latido.
3.1.2 Host USG6680
Por defecto, el USG6680 proporciona cuatro puertos ópticos 10GE, ocho puertos ópticos GE, 16 puertos eléctricos GE, dos fuentes de alimentación y cinco ranuras extendidas.
8 * 1G tarjetas de interfaz eléctrica
Codigo | Modelo | Descripcion |
02359520 | WSIC-8GE | Tarjeta de interfaz eléctrica 8GE (incluido el software de la plataforma de seguridad general de Huawei) |
Tarjeta de interfaz óptica 8 * 1G
Codigo | Modelo | Descripcion |
0302G3AC | WSIC-8GE | Tarjeta de puerto óptico 8GE (incluido el software de la plataforma de seguridad general de Huawei) |
8 * 1G interfaces eléctricas + 2 * 10G tarjetas de interfaz óptica (de uso común)
Codigo | Modelo | Descripcion |
0302G3C9 | WSIC-2XG8GE | Puerto óptico 2 * 10GE + tarjeta de puerto eléctrico 8GE (incluido el software de la plataforma de seguridad general de Huawei) |
3.3 host USG95
3.3.1 Host USG9520
Por defecto, el USG9520 está configurado con dos MPU, dos fuentes de alimentación y tres ranuras vacantes. Una ranura vacante debe configurarse con una SPU. Las otras dos ranuras vacantes se pueden configurar con LPU según los requisitos del servicio.
El diseño de la ranura:
Tipo de placa | Codigo BOM | Descripcion | Cantidad | Observaciones |
Host | 2359479 | Configuración básica de CA USG9520 (incluye chasis X3, 2 * MPU, 2 CA) | 1 | Obligatoria |
Servicio de placa madre | 0305G09N | Tarjeta de negocios cortafuegos 40G performance X3 (SPU-X3-40-E8KE) con una tarjeta secundaria 40G | 1 | Obligatoria |
Servicio de placa madre | 0305G09R | Servicio de firewall de rendimiento 40G que procesa la tarjeta secundaria SPC-S-40-E8KE | 1 | Obligatoria |
Interfaz placa madre | 3056682 | La tarjeta de procesamiento de línea de tarjeta flexible LPUF-120 puede admitir el reenvío de velocidad de línea 120G | 2 | Obligatorio, al menos cada uno. 1 bloque hasta 2 bloques |
Tarjeta de interfaz 10G | 3056632 | 5 puertos 10GBase LAN / WAN-SFP + tarjeta flexible A (P101, 1/2 ancho, ocupa dos sub-ranuras) | 2 | Opcional, según las necesidades reales de servicio. |
Tarjeta de interfaz 40G | 3056631 | Tarjeta flexible de 1 puerto 40GBase-QSFP + | 2 | Opcional, según las necesidades reales de servicio. |
3.3.2 Host USG9560
Por defecto, el USG9560 está configurado con dos SRU, una SFU, cuatro fuentes de alimentación y ocho ranuras vacantes. Se recomienda instalar las SPU en tres ranuras y las LPU en dos ranuras.
El diseño de la ranura:
Tipo de placa | Numero de placa | Cantidad | Observaciones |
LPU / SPU | 1 a 8 | 8 | Conecte la placa de servicio o la placa de procesamiento de línea de tarjeta flexible. |
SRU | 9 a 10 | 2 | Enchufe el tablero de control principal, 1: 1 de respaldo. |
SFU | 11 | 1 | Enchufe la placa de red de conmutación.. |
Tipo de placa | Codigo BOM | Descripcion | Cantidad | Observaciones |
Host | 0235G6TW | Componentes de ensamblaje: Secospace USG9560-SU9Z5ACBC-USG9560 Configuración básica de CA (incluido el chasis X8, 2 * SRU, 1 * SFU, 4 CA) | 1 | Obligatorio |
Servicio de placa madre | 3057515 | Unidad de placa terminada - USG9500-SPUB-H- Placa de servicio de firewall mejorada B-60 y 80 | 3 | Obligatorio, el número es al menos 1, recomendado 3 (modo de copia de seguridad 2 + 1) |
Tarjeta de servicio | 3057521 | Unidad de placa terminada - USG9500-SPCB-H & M - Tarjeta secundaria de procesamiento de servicio de firewall mejorado B | 6 | Obligatorio, según el número de Junta de servicio |
Interfaz placa madre | 3056683 | La placa de procesamiento de línea de tarjeta flexible LPUF-240 puede admitir el reenvío de velocidad de línea 240G | 2 | Obligatorio, al menos 1, recomendado 2 |
Tarjeta de interfaz 40G | 3056848 | Tarjeta flexible de 3 puertos 40GBase-QSFP + | 2 | Opcional, de acuerdo con las necesidades comerciales reales |
Tarjeta de interfaz 40G | 3056632 | Tarjeta flexible de 5 puertos 10GBase LAN / WAN-SFP + A (P101, 1/2 ancho, ocupa dos sub-ranuras) | 2 | Opcional, de acuerdo con las necesidades comerciales reales |
3.4 Junta USG95
Los firewalls de la serie USG9500 tienen dos tipos de tarjetas: placa de servicio (SPU) y placa de interfaz (LPU). Tanto la placa de servicio como la placa de interfaz se clasifican en el plano posterior y la placa base. La placa posterior se inserta en la ranura del dispositivo, y la placa madre de cada placa de servicio se puede conectar a dos placas base.
3.4.1 SPU
SPU Mother Board
Tipo de placa | Equipo aplicable | Tarjeta autónoma predeterminada | Ya sea para soportar el intercambio en caliente |
SPU-X3-40-E8KE | USG9520 | SPC-S-40-E8KE(40G) | Si |
SPUB-H | USG9560/USG9580 | No | Si |
SPU-X8X16-80-E8KE | USG9560/USG9580 | SPC-D-80-E8KE (80G) | Si |
Tarjeta SPU
Tipo de tarjeta | Placa base adecuada | Número de CPU |
SPC-S-40-E8KE | Todas | 1 |
SPC-D-80-E8KE | SPU-X8X16-40-E8KE / SPS-X8X16-80-E8KE | 2 |
SPCB-H&M | SPS-X8X16-80-E8KE / SPUB-H | 2 |
Configuración recomendada:
Equipo | Placa madre de SPU | Tarjeta SPU |
USG9520 | SPU-X3-40-E8KE | SPC-S-40-E8KE |
USG9560 | SPUB-H | SPCB-H&M |
Placa madre de SPU:
SPU-X3-40-E8KE
Codigo | Modelo | Descripcion |
0305G09N | SPU-X3-40-E8KE | Bussines board Firewall 40G performance X3 |
SPUB-H
Codigo | Modelo | Descripcion |
03057515 | SPUB-H | USG9500-SPUB-H- Placa de servicio de firewall mejorada B-60 y 80 |
SPU-X8X16-80-E8KE:
Codigo | Modelo | Descripcion |
0305G09Q | SPU-X8X16-80-E8KE | 80G performance X8 y X16 firewall bussines board |
SPU card
40-S--the SPC E8KE
Codigo | Modelo | Descripcion |
0305G09R | SPC-S-40-E8KE | Servicio de firewall de rendimiento 40G que procesa tarjeta secundaria |
M-H & SPCB :
Codigo | Modelo | Descripcion |
0305G09N | SPU-X3-40-E8KE | Placa de negocios Firewall 40G performance X3 |
D-80--the SPC E8KE :
Codigo | Modelo | Descripcion |
0305G09N | SPU-X3-40-E8KE | Placa de negocios Firewall 40G performance X3 |
3.4.2 LPU
Placa madre LPU:
Tipo de placa | Capacidad de procesamiento (unidireccional) | Puede soportar Hot Swap | La tarjeta admite Hot Swap |
LPUF-101 | 100G | Si | No lo soporta |
LPUF-120 | 120G | Si | No lo soporta |
LPUF-240 | 240G | Si | No lo soporta |
Existen muchos tipos de subcartas de interfaz, incluidas las subcartas 2 * 10G, las subcartas de interfaz óptica 20 * 1G, las subcartas 4 * 10G (convergencia de subcartas, 10G de las dos interfaces a la izquierda y 10G de las dos interfaces a la derecha), Se recomiendan las tarjetas de interfaz 5 * 10G, las tarjetas de interfaz óptica 24 * 1G y las tarjetas de interfaz 1 * 40G, la tarjeta de interfaz 5 * 10G y la tarjeta de interfaz 1 * 40G. Recomendado para:
Equipo | Interfaz placa madre | Tarjeta de interfaz |
USG9520 | LPUF-120 (BOM:03056682) | Tarjeta secundaria de interfaz 5 * 10G (BOM: 0305G09K) |
Tarjeta de interfaz 1 * 40G (BOM: 03056631) | ||
USG9560 | LPUF-120 (BOM:03056682) | Tarjeta secundaria de interfaz 5 * 10G (BOM: 03056632) |
Tarjeta de interfaz 3 * 40G (BOM: 03056848) |
BOM de la placa base LPU:
Codigo | Modelo | Descripcion |
03056683 | LPUF-240 | Tarjeta de procesamiento de línea de tarjeta flexible (LPUF-240, dos sub-ranuras) |
03056682 | FW-LPUF-120 | Tarjeta de procesamiento de línea de tarjeta flexible (LPUF-120, dos sub-ranuras) |
03056630 | E8KE-X-LPUF-101 | Tarjeta de procesamiento de línea de tarjeta flexible (LPUF-101, cuatro sub-ranuras) |
BOM de la tarjeta LPU:
LPUF-101:
Codigo | Modelo | Descripcion |
0305G09L | E8KE-X-101-4X10GE-SFP+ | Tarjeta flexible LAN-SFP + de 4 puertos 10GBase (P100, 1/4 de ancho, ocupa una sub-ranura) |
03056631 | E8KE-X-101-1X40GE-CFP | Tarjeta flexible de 1 puerto 40GBase LAN-CFP |
03056632 | E8KE-X-101-5X10GE-SFP | Tarjeta flexible de 5 puertos 10GBase LAN / WAN-SFP + A |
03056633 | E8KE-X-101-24XGE-SFP | Tarjeta flexible de 24 puertos 100 / 1000Base-X-SFP A |
LPUF-120 y LPUF-240:
Codigo | Modelo | Descripcion |
03056632 | E8KE-X-101-5X10GE-SFP | Tarjeta flexible de 5 puertos 10GBase LAN / WAN-SFP + A |
03056684 | FW-6X10GE-SFP+ | Tarjeta flexible de 6 puertos 10GBase LAN / WAN-SFP + A |
03056686 | FW-12X10GE-SFP+ | Tarjeta flexible de 12 puertos 10GBase LAN / WAN-SFP + A |
03056631 | E8KE-X-101-1X40GE-CFP | Tarjeta flexible de 1 puerto 40GBase LAN-CFP |
03056685 | FW-1X100GE-CFP | Tarjeta flexible de 1 puerto 100GBase-CFP A |
03056848 | FW-3X40G-QSFP+ | Tarjeta flexible de 3 puertos 40GBase-QSFP + |
