第十章,防火墙带宽管理
第十章,防火墙带宽管理
概述
带宽的理论流动数据量
与
实际的流量数据量;
对通过防火墙的流量进行管理和控制,带宽保证、带宽限制以及连接数限制。从而提高带宽利用
率,避免带宽耗尽。
带宽保证
企业网络中关键业务所需的基本带宽,当线路繁忙的时候,确保此类业务不受影响
带宽限制
限制网络中的一些非关键性业务占据过多的带宽,避免资源消耗
连接数限制
限制业务会话数量,有利于降低该业务占据的带宽
对企业总数据进行带宽管理
对每个
IP/
每个用户来实施带宽管理
多级策略方式,按部门实施带宽管理
动态分配
实现原理
总体流程
带宽通道
定义了被管理对象所能使用的带宽资源;该通道会被带宽策略引用
带宽策略
定义了被管理的对象和动作
接口带宽
分为接口入方向和接口出方向的实际带宽
当发生拥塞时,
队列调度机制
流量匹配带宽策略,经过带宽策略的分流后,进入相应的带宽通道进行处理。
丢弃超过预定义最大带宽的流量
- 限制业务连接数
- 标记流量的优先级,作为后续队列调度的依据
受入接口带宽限制,如果流量大于入接口,将依据带宽通道中设定的转发优先级来对流量进行
队列调度,保证高优先级的报文优先发送
流量最终会从出接口发送,并且收到出接口带宽限制,如果流量大于出接口,则按照转发优先
级来调度。
带宽通道
将物理的带宽资源从逻辑上划分为多个虚拟的带宽资源 。
整体的保证带宽和最大带宽
处理方式
:
如果流量
<
保证带宽,则这部分流量直接发送
如果流量
最大带宽,则这部分流量直接被丢弃
如果流量
<
最大带宽,
>
保证带宽,则这部分流量会在出接口发送环节与其他带宽通道中
的同类型流量自由竞争带宽资源
。
依靠优先级竞争,优先级高的占据剩余带宽资源。优先级低的被丢弃
。
在带宽通道中,最大带宽、保证带宽和连接数限制,均支持上下行设置
。
设定每一个用户
/IP
的保证带宽和最大带宽
连接数限制
一条会话连接
FW
通过限制自身生成的会话数量,来实现连接数的限制
。
主要限制
P2P
业务。
优先级重标记
— DSCP
DSCP —
差分服务代码点
一种指示网络流量优先级的字段
IP
头部中的服务类型字段
1
字节,只是使用了
6bit
,通过编码的形式来区分优先级。在
TOS
字段
中
8bit
使用,只不过在
早期只使用了前
3bit
,被划分为
8
个优先级,优先级数值越大优先度越
高
。
7 --- 保留 6 --- 保留 5 --- 语音数据 4 --- 视频会议数据 3 --- 呼叫信号 2 --- 高优先级 1 --- 中优先级 0 --- 低优先级
带宽通道被带宽策略引用后,存在两种工作方式:
- 策略独占
带宽策略和带宽通道一一对应
。
- 策略共享
- 所有引用带宽通道的策略,都共同受到该带宽通道的约束。
- 多个带宽策略对应一个带宽通道。
带宽复用
指的是多条流量进入同一个带宽通道后,带宽通道内带宽资源的动态分配方式
。
多条流量匹配到同一个策略,从而进入相同带宽通道,多条流量之间实现带宽复用。
多个带宽策略以策略共享的方式,引入相同的带宽通道,则匹配了多个带宽策略的流量可以实现带
宽复用。
匹配了父子策略的多个子策略的多条流量可以实现带宽复用
流量转发优先级
流量监管
某个连接的流量超过带宽上限,则报文直接被丢弃。
流量整形
通过队列机制,将超出带宽上限的峰值流量和突发流量报文
延迟传输
。
依靠优先级区分,优先级=4
的情况,采用流量监管。当优先级
≠
4
,则采用流量整形
。优先级大于
4的报文被优先转发,小于4
则延迟转发。
延迟转发的数据流大小受到缓冲区队列长度的限制,一旦数据量超出缓冲区大小,则超出部分将被
丢弃
。
带宽策略
默认情况下,FW
上存在一条缺省带宽策略,匹配条件为
any
,动作为不限流
。
多级策略
在一条带宽策略下,还可以继续配置多条带宽子策略 。
对于多级策略,流量先匹配父策略,再去匹
配子策略,直到匹配到最后一级可以匹配到的子策略为止
。
支持
4
级多级策略
配额策略
针对于上网用户,的上网流量和上网时间进行控制 。防止带宽滥用,上网时间过长影响工作效率。
实时检测上网的流量和时长,并根据用户的上网配额策略进行比较,根据策略结果进行处理。
带宽管理配置
配置流程:
1
、带宽通道:整体带宽、每个用户带宽、连接数、优先级信息
2
、带宽策略
3
、策略
通道,引用
4
、配置接口出入带宽
需求一
企业组织架构中存在部门
A
,部门
A
中存在销售组
1
和研发组
2
销售部门
—>
业务
、
ERP
服务
可以对部门
A
中的销售组进行带宽资源细分,保证销售员工的业务服务流量正常转发:
1
、部门
A
的下行最大带宽不超过
60M
2
、部门
A
中的销售组下行最大带宽不超过
30M
3
、部门
A
中的销售组的
、
ERP
业务下行最小带宽不低于
20M
分析:需求之间存在父子关系
A
部门带宽通道
最大
60M
部门A
销售组带宽通道最大
30M
部门A销售组
业务带宽通道
最小
20M
[FW]traffic-policy —
进入带宽策略配置视图
[FW-policy-traffic]profile 01 —
创建一个带宽通道,名称为
01
[FW-policy-traffic-profile-01]bandwidth maximum-bandwidth whole downstream 60 –
设定带宽,最大带宽,下行
60M
[FW]traffic-policy —
进入带宽策略配置视图
[FW-policy-traffic]rule name 01 —
策略名称
[FW-policy-traffic-rule-01]source-zone trust
[FW-policy-traffic-rule-01]destination-zone untrust
[FW-policy-traffic-rule-01]source-address 192.168.1.0 24
[FW-policy-traffic-rule-01]source-address 192.168.2.0 24
[FW-policy-traffic-rule-01]action qos profile 01 —
动作为限流,且调用带宽通道
需求二
给部门A
和部门
B
划分可使用的带宽资源。要避免
P2P
业务占据较多的带宽,还需要限制部门
A
和部门
B
使用P2P业务的带宽总和。
1、部门
A
下行最大带宽
60M
2、部门
B
下行最大带宽
40M
3、部门
A
和部门
B
的
P2P
业务下行最大带宽不超过
80M
4、
P2P
流量需要计算到各自部门的总流量中
需求三
在不影响正常用户上网和web
服务器正常提供对外服务的情况下,实现以下功能
1
、将从
ISP
购买的
100M
带宽进行划分
上网高峰期(工作日下午3
点
-6
点),上网用户下行带宽
60M(U-T)
,外用用户下行带宽
40M(D-U)
2
、
2
台
Web
服务器,限制每一台
Web
服务器对外提供的最大下行带宽不超过
20M
3
、假设,总共
30
个上网用户,在上网高峰期,限制每个用户访问
Internet
的最大下行带宽不超过
2M
需求四
部门A
的上网用户数量不固定,为了让用户公平的使用带宽,根据实际在线上网用户数量,平均分配带宽
1
、部门
A
的下行最大带宽
60M
2
、根据实时的上网用户数量,对部门
A
的
60M
带宽资源进行均分
动态均分功能:在配置了整体最大带宽的前提下,FW
根据在线
IP/
用户的个数和带宽使用率,动态
的对每一个
IP/
用户能够使用的最大带宽进行平均分配
。
每个IP/
用户最大带宽
= MAX
(带宽最小值,整体最大带宽
/IP
用户数
平均分配系数)
。
平均分配系数
与带宽使用率存在反比关系
0 <
70%
1 70-75
2 75-80
3
4
需求五
电信购买带宽
100M
联通购买带宽
50M
需求六
-
配额策略
运营商—>
流量套餐
—>
对中小企业
500G/
月,超出部分,额外计费,
1G/100
元。
限额—>
每一个员工规定上网时长
1
、员工
40
人,
10
名管理人员
+30
名牛马
高管–>20G/
月
牛马–>10G/
月
2
、牛马
—>4h/
日,流量
500M/
日
3
、超额后限制
牛马—>
禁止上网
高管—>
超过配额后最大带宽限定为
800K
[FW]quota-policy —
进入配额策略视图
[FW-policy-quota]profile niuma —
创建配额通道
[FW-policy-quota-profile-niuma]stream-daily 500 —
每日流量配额
[FW-policy-quota-profile-niuma]stream-monthly 10240 –
每月流量配额
[FW-policy-quota-profile-niuma]time-daily 240 —
设定上网时长
[FW-policy-quota-profile-niuma]limit-bandwidth 0 —
超出配额后的限制带宽为
0
[FW-policy-quota]rule name niuma
[FW-policy-quota-rule-niuma]user user-group /default/niuma —
策略应用用户
[FW-policy-quota-rule-niuma]action quota profile niuma
需求七
—
流量整形和流量监管
无法在
web
界面实现