限制篇(5.2) 03. 流量控制 - 基于模板限速 ❀ 飞塔 (Fortinet) 防火墙

原创 2017年01月06日 11:03:14

         【简介】在实际工作经常会遇到这种情况,公司的互联网带宽有限,但上网的人很多,还有人不自觉的下载大文件、看视频等等,造成网络很卡、很慢,一开视频会议就掉线或卡带,BOSS很生气。增加互联网带宽领导不批,开源不行,那就只有节流了,解决办法就是在防火墙上限制网速。


  怎么看宽带速度

        我们常用的宽带一般分为固定宽带和拨号宽带,网速分为下载速度和上传速度。一般安装宽带交费的时候,会告诉你宽带是20M或是100M,但是我们在下载文件的时候,往往只有几M,这是为什么呢?

        这里显示的是深圳电信100M ADSL拨号宽带连接飞塔防火墙没有做任何限制下的测速情况。我们看到有两个计算单位,一个是Mbps,一个是KB/S。

        传输速率 Mbps(兆位/秒),是指设备的的数据交换能力,也常称为 “带宽”,象电脑的网卡、交换机等,都有100M、1000M的说法,带宽是下载速度加上传速度的总和。


        相同宽带的环境下,无线网卡经无线路由器测试的宽带速度,很明显示低于直接通过网卡测试的宽带速度,这就是因为无线网卡及无线环境拖累了速度。


        经常用电脑下载的人,其实更习惯另一个计算单位,那就是MB/S,我们理解为每秒多少M,很多人把宽带的100M理解为每秒下载速度是100M,这是错误的。

        我们来科普一下 Mbps 与 MB/S 或 KB/S 的区别。

        1Mbps代表每秒传输1,048,576位,即每秒传输的数据量为: 1,048,576/8=128K字节/秒=131072字节/秒

        其中:

        bit代表位,存放一位二进制数,即 0 或 1,最小的存储单位

        Byte代表字节,8个二进制位为一个字节,即1Byte=8bit,Byte为数据量常用单位

        注意:

        字母大小写的区别,小写b代表bit,大写B代表Byte,不能混用;Mbps缩写中严格限定M为大写,b、p、s为小写

        常用单位还有Kbps 、Mbps 、Gbps(同样K、M、G严格限定为大写,参见KB)

        Mbps与MB/s换算

        Mbps(Mb/s)的含义是兆比特每秒,指每秒传输的位数量(小写b代表bit)

        MB/s的含义是兆字节每秒,指每秒传输的字节数量(大写B代表Byte)

        1Mbps=131072字节/秒=0.125M/S

        IEC标准规定如下

        1Byte=8bit

        1 KB = 1,024 Bytes

        1 MB = 1,024 KB= 1,048,576 Bytes

        1 GB = 1,024 MB= 1,048,576 KB= 1,073,741,824 Bytes

        1 TB = 1,024 GB= 1,048,576 MB= 1,073,741,824 KB= 1,099,511,627,776 Bytes


        理论上,宽带的上传速度和下载速度应该是对等的,也就是下载速度有多快,上传速度也有多快,但现实往往不是这样,这里可以看到下载速度与上传速度差距很大。

        这是因为ADSL拨号上网时代,由于电话线分成了电话、上行和下行三个相对独立的信道,为了避免了相互之间的干扰,其下行与上行带宽之比被设置为了8:1或10:1的比例。也就是说4M的宽带,理论上市拥有512KB/s的下载速度,但对应的上传速度大约仅有50KB/s。虽然上传和下载速度不对等,但这是业界公认的标准,也是正常的。

        在如今的光纤时代,技术上已经解决了上行和下行网速不对等的问题。也就是说,从技术层面上讲,从ADSL拨号上网发展到光纤上网,已经解决上下行速率不对等的问题。但是仍有会发现光纤宽带的下载速度和上传速度也会有明显的不对等,这又是怎么回事呢?

        目前,光纤宽带上传速度和下载速度出现不对等,主要是由于宽带运营商为了谋利,依旧沿用了ADSL时代的潜规则导致的。由于对数普通用户上网,上传东西比较少,一般都是下载速度、浏览网页,只要下载速度快,基本不会在意其它。但对于一些视频制作或者经常在网上分享资源的用户来说,上传速度过慢,会明显影响效率。

  限制网速环境

        我们先来建立一个测试限制网速的环境。

       

        ① 防火墙的1-5口是交换模式,共用IP地址172.16.1.1,我们把测试电脑接到3口。


        ② 测试电脑网卡的IP地址改为172.16.1.38,之所以要用静态IP地址,是因为我们要在策略中控制这台电脑。另外测试用的是网卡,而不是无线网卡,因为无线网卡会慢一些,测试数据不准确。


        ③ 新建一个IP地址对象,IP地址为测试电脑的IP。


        ④ 新建一条上网策略,允许指定IP的电脑可以上网。


        ⑤ 将新建的策略移到默认上网策略的上方,优先执行。这样测试环境就建好了。

  网络限速

  网络限速是通过策略实现的。打开刚才建立的策略。



        ① 打开策略里的“共享流量控制”,点击右边的下拉菜单,可以看到默认建立的流量控制选项。


        ② 选择 “高优先级”,点击最右边的查看图标。


        ③ “高优先级” 流量整形器内容如上:

        Per policy:每个使用该整形器的策略独立进行流控。比如有10条策略引用了15M的流控脚本,那么每条策略均可以使用15M的带宽。

        所有策略使用这个整形器:所有使用该脚本的策略共同进行流控。比如有10条策略引用了15M的流控脚本,那么所有策略内的用户共同使用这15M的带宽,即这10条策略流量加起来不会超过15M

        流量优先级:对于防火墙转发的在策略中使用traffic shaper功能的流量,其优先级可以分为高、中、低三个级别,级别高的流量会优先被防火墙转发。分别对应于转发队列的到、Medium、从。可以根据业务类型进行分类,将VOIP等业务设置为高优先级,http, pop3,sntp,OA系统等配置为中优先级,其他的业务放入低优先级。如果策略中未指定任何级别的优先级,则默认被放入高优先级。

        最大带宽:该策略所能达到的最大带宽,单位 kbps 。当流量超过该闸值的时候,超过流量的数据包会被丢弃。配置为0 ,则意味着最大带宽不受限制。

        带宽保证:该该策略能够得到的保证带宽。当流量低于该值的时候,数据包会被放入到队列0 中,也就是获得最优先的转发,保证该业务占用的最少带宽数量。不建议对非关键业务配置该参数。当策略占用带宽介于最大带宽和保证带宽之间的时候,则按照策略内定义的优先级进行转发。

        DSCP:是否使用DSCP差分服务代码点,其用于整个网络中配置端点到端点的QOS服务。。

        ④ 默认的流量整型器 “high-priority”、“medium-priority"、”low-priority" 除了流量优先级外配置完全相同,流量优先级对应 “到”、“Medium”、“从”。


        ⑤ 默认的流量整型器 “guarantee-100kbps” 与“high-priority" 相比除了多一个带宽保证参数外其它配置完全相同,适合Voip等视频流量限速。


        ⑥ 默认的流量整型器 “shared-1M-pipe" ,所有策略使用这个整形器,最大宽带1M。

  自建流量整形器

        虽然可以通过选择默认流量整形器,再修改参数来达到设置目的,但也可以新建流量整形器。


        ① 选择菜单【策略&对象】-【对象】-【流量整形】,点击 ”Create New"。


        ② 这里新建一个每个IP允许5M带宽的流量整形。


        ③ 可以看到默认的六条流量整形和新建的一条流量整形。


        ④ 在策略里引用新建的每个IP流量整形。


        ⑤ 再次测网速,这台电脑的下载速度控制在5Mbps 左右了。


飞塔技术-老梅子   QQ:57389522



版权声明:本文为博主原创文章,未经博主允许不得转载。 举报

相关文章推荐

限制篇(5.2) 05. 流量控制 - 每个 IP 限速 ❀ 飞塔 (Fortinet) 防火墙

在大型企业中人员比较多而带宽又不太够的情况下,需要对上网进行限速,但是领导的速你不能限吧,在限制员工上网的速度同时又要保证领导上网的速度,这就需要用到针对每个IP限速了。

限制篇(5.4) 03. 控制下载和上传流量 ❀ 飞塔 (Fortinet) 防火墙

当带宽有限,而上网的人比较多的时候,就需要对带宽的使用加以限制。飞塔防火墙可以制定不同的流量定形,允许不同的IP使用不同的带宽流量。

我是如何成为一名python大咖的?

人生苦短,都说必须python,那么我分享下我是如何从小白成为Python资深开发者的吧。2014年我大学刚毕业..

限制篇(5.2) 04. 流量控制 - 共享带宽限速 ❀ 飞塔 (Fortinet) 防火墙

在大型企业中人员比较多而带宽又不太够的情况下,需要对上网进行限速,但是限速又不能一刀切,例如销售部门,对互联网带宽需求比较大,其它非重要部门带宽可以少些,也就是要区别对待了。下面我们看看飞塔防火墙怎么...

VPN篇(5.2) 01. SSL VPN - FortiClient 客户端 ❀ 飞塔 (Fortinet) 防火墙

从概念角度来说,SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认...

限制篇(5.2) 06. 流量控制 - 保留带宽 ❀ 飞塔 (Fortinet) 防火墙

在大型企业中通常会安装视频会议系统,例如宝利通。视频会议通常会占比较大的带宽,如果上网人员比较多,而同时又要开视频会议的话,视频会议就会比较卡,那么我们就需要保留一定的带宽优先给视频会议使用。

限制篇(5.2) 01. MAC 地址绑定 - 命令模式 ❀ 飞塔 (Fortinet) 防火墙

将MAC地址与IP地址进行绑定,可以防止IP地址欺骗的网络攻击,IP欺骗攻击试图从不同的电脑使用一个可信计算机的IP地址连接并通过防火墙,IP地址可以很方便的改动,但MAC地址是在工厂生产时就添加到以...

连接篇(5.2) 03. 配置线连接 ❀ 飞塔 (Fortinet) 防火墙

飞塔防火墙都提供了 CONSOLE 配置接口,通过专用的配置线连接,我们可以用超级终端等软件登录到防火墙,用命令模式进行配置。

接口篇(5.2) 03. 接口的合并 ❀ 飞塔 (Fortinet) 防火墙

中高端飞塔防火墙,默认每个内网接口都是独立的,但有时我们需要某些接口合并运行,例如指定多个接口为同一网段,这样就需要对接口进行合并操作。

限制篇(5.2) 02. MAC 地址绑定 - 基于 DHCP ❀ 飞塔 (Fortinet) 防火墙

当开启 DHCP 服务后,计算机获取 IP 地址都是根据顺序分发的,但是有时我们需要指定某台电脑为指定 IP 地址,除了在电脑上手动设置外 (这需要电脑上修改),我们还可以通过 DHCP 服务来为指定...

宽带篇(5.2) 03. 多条宽带分流 ❀ 飞塔 (Fortinet) 防火墙

很多单位因为一根宽带不够用,便安装了二根甚至是三根宽带,即有固定IP宽带,也有ADSL拨号宽带,宽带的带宽也不相同,为了能合理的利用宽带,我们将通过防火墙将宽带分流。
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)