概述
带宽的理论流动数据量 与 实际的流量数据量;
对通过防火墙的流量进行管理和控制,带宽保证、带宽限制以及连接数限制。从而提高带宽利用
率,避免带宽耗尽。
- 带宽保证 --- 企业网络中关键业务所需的基本带宽,当线路繁忙的时候,确保此类业务不受影响
- 带宽限制 --- 限制网络中的一些非关键性业务占据过多的带宽,避免资源消耗
- 连接数限制 --- 限制业务会话数量,有利于降低该业务占据的带宽
- 对企业总数据进行带宽管理
- 对每个IP/每个用户来实施带宽管理
- 多级策略方式,按部门实施带宽管理
- 动态分配
实现原理
总体流程
- 带宽通道 --- 定义了被管理对象所能使用的带宽资源;该通道会被带宽策略引用
- 带宽策略 --- 定义了被管理的对象和动作
- 接口带宽 --- 分为接口入方向和接口出方向的实际带宽
- 当发生拥塞时,队列调度机制
- 流量匹配带宽策略,经过带宽策略的分流后,进入相应的带宽通道进行处理。
丢弃超过预定义最大带宽的流量
- 限制业务连接数
- 标记流量的优先级,作为后续队列调度的依据
- 受入接口带宽限制,如果流量大于入接口,将依据带宽通道中设定的转发优先级来对流量进行队列调度,保证高优先级的报文优先发送
- 流量最终会从出接口发送,并且收到出接口带宽限制,如果流量大于出接口,则按照转发优先级来调度。
带宽通道
将物理的带宽资源从逻辑上划分为多个虚拟的带宽资源。
- 整体的保证带宽和最大带宽
- 处理方式:
- 如果流量<保证带宽,则这部分流量直接发送
- 如果流量>最大带宽,则这部分流量直接被丢弃
- 如果流量**<最大带宽,>保证带宽,则这部分流量会在出接口发送环节与其他带宽通道中的同类型流量自由竞争带宽资源**。
- 依靠优先级竞争,优先级高的占据剩余带宽资源。优先级低的被丢弃。
- 在带宽通道中,最大带宽、保证带宽和连接数限制,均支持上下行设置 。
- 处理方式:
- 设定每一个用户/IP的保证带宽和最大带宽
- 连接数限制
- 一条会话连接 --- FW****通过限制自身生成的会话数量,来实现连接数的限制。
- 主要限制P2P业务。
- 优先级重标记**--- DSCP**
- **DSCP ---**差分服务代码点 --- 一种指示网络流量优先级的字段
- IP头部中的服务类型字段1字节,只是使用了6bit,通过编码的形式来区分优先级。在TOS字段中8bit使用,只不过在早期只使用了前3bit,被划分为8个优先级,优先级数值越大优先度越****高。
7 --- 保留
6 --- 保留
5 --- 语音数据
4 --- 视频会议数据
3 --- 呼叫信号
2 --- 高优先级
1 --- 中优先级
0 --- 低优先级带宽通道被带宽策略引用后,存在两种工作方式:
- 策略独占
- 带宽策略和带宽通道一一对应。
- 策略共享
- 所有引用带宽通道的策略,都共同受到该带宽通道的约束。
- 多个带宽策略对应一个带宽通道。
带宽复用
指的是多条流量进入同一个带宽通道后,带宽通道内带宽资源的动态分配方式 。
- 多条流量匹配到同一个策略,从而进入相同带宽通道,多条流量之间实现带宽复用。
- 多个带宽策略以策略共享的方式,引入相同的带宽通道,则匹配了多个带宽策略的流量可以实现带宽复用。
- 匹配了父子策略的多个子策略的多条流量可以实现带宽复用
流量转发优先级
- 流量监管 --- 某个连接的流量超过带宽上限,则报文直接被丢弃。
- 流量整形 --- 通过队列机制,将超出带宽上限的峰值流量和突发流量报文延迟传输。
依靠优先级区分,优先级=4 的情况,采用流量监管。当优先级 ≠ 4 ,则采用流量整形 。优先级大于 4的报文被优先转发,小于4 则延迟转发。
延迟转发的数据流大小受到缓冲区队列长度的限制,一旦数据量超出缓冲区大小,则超出部分将被 丢弃 。
带宽策略
默认情况下,FW 上存在一条缺省带宽策略,匹配条件为 any ,动作为不限流 。
多级策略
在一条带宽策略下,还可以继续配置多条带宽子策略。 对于多级策略,流量先匹配父策略,再去匹 配子策略,直到匹配到最后一级可以匹配到的子策略为止 。 --- 支持 4 级多级策略
配额策略
针对于上网用户,的上网流量和上网时间进行控制。防止带宽滥用,上网时间过长影响工作效率。
实时检测上网的流量和时长,并根据用户的上网配额策略进行比较,根据策略结果进行处理。
带宽管理配置
配置流程:
1 、带宽通道:整体带宽、每个用户带宽、连接数、优先级信息
2 、带宽策略
3 、策略 + 通道,引用
4 、配置接口出入带宽
需求一
企业组织架构中存在部门 A ,部门 A 中存在销售组 1 和研发组 2
销售部门 ---> 业务 Email 、 ERP 服务
可以对部门 A 中的销售组进行带宽资源细分,保证销售员工的业务服务流量正常转发:
1 、部门 A 的下行最大带宽不超过 60M
2 、部门 A 中的销售组下行最大带宽不超过 30M
3 、部门 A 中的销售组的 Email 、 ERP 业务下行最小带宽不低于 20M
分析:需求之间存在父子关系
A 部门带宽通道 --- 最大 60M
部门A 销售组带宽通道最大 30M
部门A销售组 Email 业务带宽通道 --- 最小 20M
FWtraffic-policy --- 进入带宽策略配置视图
FW-policy-trafficprofile 01 --- 创建一个带宽通道,名称为 01
FW-policy-traffic-profile-01bandwidth maximum-bandwidth whole downstream 60 --
- 设定带宽,最大带宽,下行 60M
FWtraffic-policy --- 进入带宽策略配置视图
FW-policy-trafficrule name 01 --- 策略名称
FW-policy-traffic-rule-01source-zone trust
FW-policy-traffic-rule-01destination-zone untrust
FW-policy-traffic-rule-01source-address 192.168.1.0 24
FW-policy-traffic-rule-01source-address 192.168.2.0 24
FW-policy-traffic-rule-01action qos profile 01 --- 动作为限流,且调用带宽通道
需求二
给部门A 和部门 B 划分可使用的带宽资源。要避免 P2P 业务占据较多的带宽,还需要限制部门 A 和部门 B 使用P2P业务的带宽总和。
1、部门 A 下行最大带宽 60M
2、部门 B 下行最大带宽 40M
3、部门 A 和部门 B 的 P2P 业务下行最大带宽不超过 80M
4、 P2P 流量需要计算到各自部门的总流量中
需求三
在不影响正常用户上网和web 服务器正常提供对外服务的情况下,实现以下功能
1 、将从 ISP 购买的 100M 带宽进行划分
上网高峰期(工作日下午3 点 -6 点),上网用户下行带宽 60M(U-T) ,外用用户下行带宽 40M(D-U)
2 、 2 台 Web 服务器,限制每一台 Web 服务器对外提供的最大下行带宽不超过 20M
3 、假设,总共 30 个上网用户,在上网高峰期,限制每个用户访问 Internet 的最大下行带宽不超过 2M
需求四
部门A 的上网用户数量不固定,为了让用户公平的使用带宽,根据实际在线上网用户数量,平均分配带宽
1 、部门 A 的下行最大带宽 60M
2 、根据实时的上网用户数量,对部门 A 的 60M 带宽资源进行均分
动态均分功能:在配置了整体最大带宽的前提下,FW 根据在线 IP/ 用户的个数和带宽使用率,动态 的对每一个 IP/ 用户能够使用的最大带宽进行平均分配 。
每个IP/ 用户最大带宽 = MAX (带宽最小值,整体最大带宽 /IP 用户数 * 平均分配系数) 。
平均分配系数 --- 与带宽使用率存在反比关系
0 < 70%
1 70-75
2 75-80
3
4
需求五
电信购买带宽 100M
联通购买带宽 50M
需求六**-**配额策略
运营商---> 流量套餐 ---> 对中小企业 500G/ 月,超出部分,额外计费, 1G/100 元。
限额---> 每一个员工规定上网时长
1 、员工 40 人, 10 名管理人员 +30 名牛马
高管-->20G/ 月
牛马-->10G/ 月
2 、牛马 --->4h/ 日,流量 500M/ 日
3 、超额后限制
牛马---> 禁止上网
高管---> 超过配额后最大带宽限定为 800K
FWquota-policy --- 进入配额策略视图
FW-policy-quotaprofile niuma --- 创建配额通道
FW-policy-quota-profile-niumastream-daily 500 --- 每日流量配额
FW-policy-quota-profile-niumastream-monthly 10240 -- 每月流量配额
FW-policy-quota-profile-niumatime-daily 240 --- 设定上网时长
FW-policy-quota-profile-niumalimit-bandwidth 0 --- 超出配额后的限制带宽为 0
FW-policy-quotarule name niuma
FW-policy-quota-rule-niumauser user-group /default/niuma --- 策略应用用户
FW-policy-quota-rule-niumaaction quota profile niuma
需求七 --- 流量整形和流量监管
无法在 web 界面实现