第十章，防火墙带宽管理

概述

   带宽的理论流动数据量  与  实际的流量数据量；      对通过防火墙的流量进行管理和控制，带宽包管、带宽限定以及连接数限定。从而提高带宽利用     率，制止带宽耗尽。   

• 带宽包管 --- 企业网络中关键业务所需的根本带宽，当线路繁忙的时候，确保此类业务不受影响
  
• 带宽限定 --- 限定网络中的一些非关键性业务占据过多的带宽，制止资源斲丧
  
• 连接数限定 --- 限定业务会话数目，有利于降低该业务占据的带宽
  

• 对企业总数据进行带宽管理
  
• 对每个IP/每个用户来实施带宽管理
  
• 多级计谋方式，按部门实施带宽管理
  
• 动态分配
  

实现原理



   总体流程   

• 带宽通道 --- 界说了被管理对象所能利用的带宽资源；该通道会被带宽计谋引用
  
• 带宽计谋 --- 界说了被管理的对象和动作
  
• 接口带宽 --- 分为接口入方向和接口出方向的实际带宽
  
  
  
  • 当发生拥塞时，队列调度机制
    
  • 
    
    
  • 流量匹配带宽计谋，颠末带宽计谋的分流后，进入相应的带宽通道进行处理。
    
  
  

丢弃超过预界说最大带宽的流量

• 限定业务连接数
  
• 标记流量的优先级，作为后续队列调度的依据
  
  
  
  • 受入接口带宽限定，如果流量大于入接口，将依据带宽通道中设定的转发优先级来对流量进行队列调度，包管高优先级的报文优先发送
    
  • 流量最终会从出接口发送，并且收到出接口带宽限定，如果流量大于出接口，则按照转发优先级来调度。
    
  
  

带宽通道

           将物理的带宽资源从逻辑上划分为多个捏造的带宽资源。   

• 整体的包管带宽和最大带宽
  
  
  
  • 处理方式：
    
    
    
    • 如果流量<包管带宽，则这部分流量直接发送
      
    • 如果流量>最大带宽，则这部分流量直接被丢弃
      
    • 如果流量<最大带宽，>包管带宽，则这部分流量会在出接口发送环节与其他带宽通道中的同类型流量自由竞争带宽资源。
      
      
      
      • 依靠优先级竞争，优先级高的占据剩余带宽资源。优先级低的被丢弃。
        
      
      
    
    
  • 在带宽通道中，最大带宽、包管带宽和连接数限定，均支持上下行设置。
    
  
  
• 设定每一个用户/IP的包管带宽和最大带宽
  
• 连接数限定
  
  
  
  • 一条会话连接 --- FW通过限定自身生成的会话数目，来实现连接数的限定。
    
  • 主要限定P2P业务。
    
  
  
• 优先级重标记 --- DSCP
  
  
  
  • DSCP --- 差分服务代码点 --- 一种指示网络流量优先级的字段
    
  
  
• IP头部中的服务类型字段1字节，只是利用了6bit，通过编码的情势来区分优先级。在TOS字段中8bit利用，只不过在早期只利用了前3bit，被划分为8个优先级，优先级数值越大优先度越高。
  
• 1. 7 --- 保留
  2. 6 --- 保留
  3. 5 --- 语音数据
  4. 4 --- 视频会议数据
  5. 3 --- 呼叫信号
  6. 2 --- 高优先级
  7. 1 --- 中优先级
  8. 0 --- 低优先级

  复制代码
  
  

   带宽通道被带宽计谋引用后，存在两种工作方式：   

• 计谋独占
  
  
  
  • 带宽计谋和带宽通道一一对应。
    
  
  
• 计谋共享
  
  
  
  • 全部引用带宽通道的计谋，都共同受到该带宽通道的约束。
    
  • 多个带宽计谋对应一个带宽通道。
    
  
  

 
带宽复用

           指的是多条流量进入同一个带宽通道后，带宽通道内带宽资源的动态分配方式  。   

• 多条流量匹配到同一个计谋，从而进入相同带宽通道，多条流量之间实现带宽复用。
  
• 多个带宽计谋以计谋共享的方式，引入相同的带宽通道，则匹配了多个带宽计谋的流量可以实现带宽复用。
  
• 匹配了父子计谋的多个子计谋的多条流量可以实现带宽复用
  

流量转发优先级

• 流量监管 --- 某个连接的流量超过带宽上限，则报文直接被丢弃。
  
• 流量整形 --- 通过队列机制，将超出带宽上限的峰值流量和突发流量报文延迟传输。
  

           依靠优先级区分，优先级=4  的情况，接纳流量监管。当优先级  ≠  4  ，则接纳流量整形  。优先级大于  4的报文被优先转发，小于4  则延迟转发。             延迟转发的数据流大小受到缓冲区队列长度的限定，一旦数据量超出缓冲区大小，则超出部分将被  丢弃  。     带宽计谋

           默认情况下，FW  上存在一条缺省带宽计谋，匹配条件为  any  ，动作为不限流  。   多级计谋

           在一条带宽计谋下，还可以继承设置多条带宽子计谋。  对于多级计谋，流量先匹配父计谋，再去匹  配子计谋，直到匹配到末了一级可以匹配到的子计谋为止  。  ---  支持  4  级多级计谋     配额计谋

             针对于上网用户，的上网流量和上网时间进行控制。防止带宽滥用，上网时间过长影响工作效率。                实时检测上网的流量和时长，并根据用户的上网配额计谋进行比较，根据计谋效果进行处理。             带宽管理设置

  
  

  

    
     设置流程：        1   、带宽通道：整体带宽、每个用户带宽、连接数、优先级信息        2   、带宽计谋        3   、计谋   +   通道，引用        4   、设置接口出入带宽     

 需求一
   
     企业组织架构中存在部门   A   ，部门   A   中存在销售组   1   和研发组   2        销售部门   --->   业务   Email   、   ERP   服务        可以对部门   A   中的销售组进行带宽资源细分，包管销售员工的业务服务流量正常转发：        1   、部门   A   的下行最大带宽不超过   60M        2   、部门   A   中的销售组下行最大带宽不超过   30M        3   、部门   A   中的销售组的   Email   、   ERP   业务下行最小带宽不低于   20M                                      分析：需求之间存在父子关系        A   部门带宽通道   ---   最大   60M                部门A   销售组带宽通道最大   30M                        部门A销售组   Email   业务带宽通道   ---   最小   20M   

      [FW]traffic-policy ---   进入带宽计谋设置视图        [FW-policy-traffic]profile 01 ---   创建一个带宽通道，名称为   01        [FW-policy-traffic-profile-01]bandwidth maximum-bandwidth whole downstream 60 --        -   设定带宽，最大带宽，下行   60M                                      [FW]traffic-policy ---   进入带宽计谋设置视图        [FW-policy-traffic]rule name 01 ---   计谋名称        [FW-policy-traffic-rule-01]source-zone trust        [FW-policy-traffic-rule-01]destination-zone untrust        [FW-policy-traffic-rule-01]source-address 192.168.1.0 24        [FW-policy-traffic-rule-01]source-address 192.168.2.0 24        [FW-policy-traffic-rule-01]action qos profile 01 ---   动作为限流，且调用带宽通道     

 需求二
              给部门A   和部门   B   划分可利用的带宽资源。要制止   P2P   业务占据较多的带宽，还须要限定部门   A   和部门   B   利用P2P业务的带宽总和。                1、部门   A   下行最大带宽   60M                2、部门   B   下行最大带宽   40M                3、部门   A   和部门   B   的   P2P   业务下行最大带宽不超过   80M                4、   P2P   流量须要盘算到各自部门的总流量中     需求三
              在不影响正常用户上网和web   服务器正常提供对外服务的情况下，实现以下功能        1   、将从   ISP   购买的   100M   带宽进行划分                上网高峰期（工作日下午3   点   -6   点），上网用户下行带宽   60M(U-T)   ，外用用户下行带宽   40M(D-U)        2   、   2   台   Web   服务器，限定每一台   Web   服务器对外提供的最大下行带宽不超过   20M        3   、假设，统共   30   个上网用户，在上网高峰期，限定每个用户访问   Internet   的最大下行带宽不超过   2M      需求四                     部门A    的上网用户数目不固定，为了让用户公平的利用带宽，根据实际在线上网用户数目，平均分配带宽           1    、部门    A    的下行最大带宽    60M           2    、根据实时的上网用户数目，对部门    A    的    60M    带宽资源进行均分        
 
           动态均分功能：在设置了整体最大带宽的条件下，FW  根据在线  IP/  用户的个数和带宽利用率，动态  的对每一个  IP/  用户能够利用的最大带宽进行平均分配  。             每个IP/  用户最大带宽   = MAX  （带宽最小值，整体最大带宽  /IP  用户数  *  平均分配系数）  。            平均分配系数    ---    与带宽利用率存在反比关系           0         ＜    70%           1          70-75           2          75-80           3           4      
   需求五            电信购买带宽    100M           联通购买带宽    50M         
 需求六-配额计谋
              运营商--->   流量套餐   --->   对中小企业   500G/   月，超出部分，额外计费，   1G/100   元。                限额--->   每一个员工规定上网时长        1   、员工   40   人，   10   名管理人员   +30   名牛马                高管-->20G/   月                牛马-->10G/   月        2   、牛马   --->4h/   日，流量   500M/   日        3   、超额后限定                牛马--->   克制上网                高管--->   超过配额后最大带宽限定为   800K     
    
     [FW]quota-policy ---   进入配额计谋视图        [FW-policy-quota]profile niuma ---   创建配额通道        [FW-policy-quota-profile-niuma]stream-daily 500 ---   每日流量配额        [FW-policy-quota-profile-niuma]stream-monthly 10240 --   每月流量配额        [FW-policy-quota-profile-niuma]time-daily 240 ---   设定上网时长        [FW-policy-quota-profile-niuma]limit-bandwidth 0 ---   超出配额后的限定带宽为   0                                      [FW-policy-quota]rule name niuma        [FW-policy-quota-rule-niuma]user user-group /default/niuma ---   计谋应用用户        [FW-policy-quota-rule-niuma]action quota profile niuma   

 

 
   需求七  ---  流量整形和流量监管      无法在  web  界面实现
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。