带宽管理原理

最新推荐文章于 2023-07-31 16:22:03 发布
最新推荐文章于 2023-07-31 16:22:03 发布
阅读量2.8k 收藏 12
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48675050/article/details/119867268
版权

带宽管理指的是FW基于入接口/源安全区域、出接口/目的安全区域、源地址/地区、目的地址/地区、用户、服务、应用、URL分类、时间段和报文DSCP优先级信息,对通过自身的流量进行管理和控制。

目的

带宽管理提供带宽限制、带宽保证和连接数限制功能,可以提高带宽利用率,避免带宽耗尽。

  • 带宽限制
    限制网络中非关键业务占用的带宽,避免此类业务消耗大量带宽资源,影响其他业务。
  • 带宽保证
    保证网络中关键业务所需的带宽,当线路繁忙时,确保此类业务不受影响。
  • 连接数限制(包括并发连接数限制和每秒新建连接速率限制)
    限制业务的连接数,有利于降低该业务占用的带宽,还可以节省设备的会话资源。

 

带宽通道:

通过带宽通道,可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽资源。带宽通道使用多个参数来对带宽资源进行描述和控制,包括整体的保证带宽和最大带宽、每IP/每用户的最大带宽、连接数限制和DSCP优先级重标记。此外,带宽通道还可以实现带宽资源的闲时复用。

整体的保证带宽和最大带宽

整体的保证带宽是指进入带宽通道的流量可获得的最小带宽资源,整体的最大带宽是指进入带宽通道的流量可获得的最大带宽资源。流量进入带宽通道后,FW将当前流量与带宽通道中设置的保证带宽/最大带宽进行比较,采取不同的处理方式:

  • 如果流量小于保证带宽,这部分流量在出接口发送环节能够确保被转发。
  • 如果流量大于最大带宽,则直接丢弃超出最大带宽的流量。
  • 超出保证带宽的流量,在出接口发送环节将会与其它带宽通道中同类型的流量自由竞争带宽资源。带宽通道的优先级越高,就会更优先获得剩余带宽资源。获得带宽资源后发送流量,否则丢弃流量。

每IP/每用户的保证带宽和最大带宽

除了设置整体的保证带宽和最大带宽之外,还可以在带宽通道中定义针对IP或用户的保证带宽和最大带宽,实现粒度更加细化的带宽限制。

当带宽通道被带宽策略引用后,FW会基于IP地址或用户,对符合带宽策略匹配条件的流量进行统计,每IP/每用户的保证带宽和最大带宽的作用与整体带宽类似,只是作用范围细化至每IP/用户范围。

另外,FW还提供了基于整体最大带宽和在线IP/用户数量,为每一个IP/用户实现带宽动态均分的控制方式,充分利用闲置带宽的同时,还保证了带宽使用的公平性。

连接数限制(并发连接总数限制和新建连接速率限制)

通信双方建立的连接在FW上体现为会话,一条会话对应一个连接。FW通过限制自身生成的会话数量,来实现连接数限制功能,主要作用包括:

  • P2P(Point to Point)业务会产生大量的连接,限制其连接数有利于减少P2P业务的流量,降低带宽占用。
  • 在部署了内网服务器的场景中,连接数限制功能可以辅助FW防范针对内网服务器的DDoS(Distributed Denial Of Service)攻击。
  • 节省FW上的会话资源。

带宽通道中可以配置整体的最大连接数,也可以配置针对源IP或用户的最大连接数,实现更加细化的连接数限制。

上下行带宽独立控制和整体控制

在上面提到的最大带宽、保证带宽和连接数限制均支持上下行分别配置。在带宽通道中,上下行代表的含义跟带宽策略本身有关:流量传输方向与带宽策略同向时,定义为上行;与带宽策略反向时,定义为下行。换言之,流量命中带宽策略,定义为上行流量;将带宽策略中的源和目的互换进行反向查询,命中的流量定义为下行流量。

例如,如果需要限制trust到untrust的流量,可以有以下两种方式:

  • 带宽策略的源区域为trust,目的区域为untrust,带宽通道中配置对上行带宽进行管控(与带宽策略同向)。
  • 带宽策略的源区域为untrust,目的区域为trust,带宽通道中配置对下行带宽进行管控(与带宽策略反向)。

此外,除了上下行带宽独立控制这种细粒度的管控方式,FW还提供了基于上行和下行流量之和的带宽管控方式,大大增加了管理的灵活度。

策略独占和策略共享

带宽通道被带宽策略引用后,整体最大带宽、整体保证带宽和整体最大连接数就会在带宽策略中起作用,其工作方式包括策略独占和策略共享两种:

  • 策略独占
    每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束,即符合该带宽策略匹配条件的流量,独享最大带宽资源。
  • 策略共享
    所有引用带宽通道的带宽策略都共同受到该带宽通道的约束,即符合多条带宽策略匹配条件的流量,共享最大带宽资源。

带宽复用

带宽复用是带宽通道的重要特征,指的是多条流量进入同一个带宽通道后,带宽通道内带宽资源的动态分配方式。当带宽通道中某一条流量没有使用带宽资源时,该空闲的带宽资源可以借给其它流量使用;如果有流量需要使用带宽资源时,可以压缩其它流量的带宽,从而将带宽资源抢占回来。

带宽复用包括下面几种情况:

  • 多条流量匹配到了同一个带宽策略,多条流量之间可以实现带宽复用。
  • 多个带宽策略以策略共享的方式引用带宽通道,则匹配了带宽策略的多条流量之间可以实现带宽复用。
  • 匹配了父子策略中的多个子策略的多条流量之间可以实现带宽复用。关于父子策略的介绍请参见多级策略

流量转发优先级

FW支持为带宽通道配置流量转发优先级。当流量转发优先级配置为“中(4)”时,默认采用流量监管(Traffic Policing)的方式进行带宽限制;当带宽通道中的流量转发优先级不为“中(4)”时,默认采用流量整形(Traffic Shaping)的方式进行带宽限制。此时,超过带宽上限值的峰值流量和突发流量报文的转发优先级会被修改,优先级大于4的报文会被优先发送,优先级小于4的报文则会被延后发送。图1中展示了通过流量监管和流量整形两种方式进行带宽限制的主要区别。

  • 流量监管(Traffic Policing)通过CAR机制限制网络中的峰值流量和突发流量,若某个连接的报文流量超过带宽通道中设置的带宽上限值,则报文会被直接丢弃。
  • 流量整形(Traffic Shaping)则通过队列机制,将超过带宽上限值的峰值流量和突发流量报文延迟传输,在限制网络中突发流量的同时调整流量的输出速率,使报文以比较均匀的速度向外发送。

 

带宽策略:带宽策略是多个带宽策略规则的集合,带宽策略规则由条件和动作组成

动作指的是FW对报文采取的处理方式,包括:

  • 限流
    对符合条件的流量进行管理。当动作为限流时,还需在带宽策略中引用带宽通道,对流量的具体管理措施由该带宽通道决定。
  • 不限流
    对符合条件的流量不进行管理。

默认情况下,FW上存在一条缺省的带宽策略,所有匹配条件均为任意(any),动作为不限流

级别策略:

FW的带宽策略功能支持多级配置方式,即在一条带宽策略下,还可以继续配置多条带宽子策略。目前FW支持四级策略,对于多条同级策略,FW按照界面上的排列顺序从上到下依次匹配,只要匹配了一条策略的所有条件,则执行带宽通道的动作,不再继续匹配剩下的规则;对于多级策略,流量先匹配父策略,再去匹配子策略,直到匹配到最后一级可以匹配到的子策略为止。

接口带宽:

通过配置接口出方向上的带宽限制功能,可以使出接口的实际带宽与运营商所提供的带宽资源相匹配。当流量超过接口可以使用的实际带宽时,FW可以感知拥塞,触发队列调度机制,优先转发关键业务的流量。

配置带宽通道:

分别设置上下行带宽

[FW-traffic-policy-profile profile-name] bandwidth maximum-bandwidth whole { upstream | downstream | both } max-value

[FW-traffic-policy-profile profile-name] bandwidth maximum-bandwidth { per-ip | per-user} { upstream | downstream | both } max-value

设置保证带宽

[FW-traffic-policy-profile profile-name] bandwidth guaranteed-bandwidth whole { upstream | downstream | both } guaranteed-value

[FW-traffic-policy-profile profile-name] bandwidth guaranteed-bandwidth { per-ip | per-user} { upstream | downstream | both } guaranteed-value

带宽策略:

[FW] traffic-policy

[FW-traffic-policy] rule name rule-name [ parent parent-name ]

[FW-traffic-policy-rule-rule-name ] source-zone zone

[FW-traffic-policy-rule-rule-name ] destination-zone zone

[FW-traffic-policy-rule-rule-name ] egress-interface  interface-name

[FW-traffic-policy-rule-rule-name ] ingress-interface interface-name

[FW-traffic-policy-rule-rule-name ] source-address address

[FW-traffic-policy-rule-rule-name ] destination-address address

[FW-traffic-policy-rule-rule-name ] user { user-name | user-group group-name | security-group group-name }

[FW-traffic-policy-rule-rule-name ] service service-name

[FW-traffic-policy-rule-rule-name ] app { app name | app-group name | category name | label name }

[FW-traffic-policy-rule-rule-name ] time-range time-range-name

[FW-traffic-policy-rule-rule-name ] dscp dscp-value

[FW-traffic-policy-rule-rule-name ] action { no-qos | qos profile profile-name }

 

m0_48675050
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
共享上网原理介绍(转)
vicky_fish的专栏
04-12 1678
<br />共享上网最主要的功能,是针对内部已经实现联网的地点,让所有联网的电脑一起共享上网帐号和线路,既满足工作需要又大幅度节约经费。下面让我们看一下它的原理是怎么样的。 一、局域网共享上网原理 在局域网共享上网的实现上,无论通过类似路由器这样的硬件 <br />共享上网最主要的功能,是针对内部已经实现联网的地点,让所有联网的电脑一起共享上网帐号和线路,既满足工作需要又大幅度节约经费。下面让我们看一下它的原理是怎么样的。<br />一、局域网共享上网原理<br />在局域网共享上网的实现上,无论通
学习笔记:防火墙带宽管理
TKE_yinian的博客
03-03 4352
FW带宽管理带宽管理功能带宽管理带宽管理处理流程带宽通道的功能带宽策略规则多级策略带宽复用接口带宽管理 带宽管理指的是设备基于源地址、目的地址、源安全区域/入接口、目的安全区域/出接口、服务、用户和应用等信息,对通过自身的流量进行管理和控制,可以提供带宽保证、带宽限制和连接数限制功能,可以提高带宽利用率,避免带宽耗尽。帮助网络管理员合理分配带宽资源,从而提升网络运营质量。 带宽管理功能 • 带宽保...
allot 的PFQ带宽管理原理阐述
11-16
这个文档描述一些带宽管理原理,还介绍了allot PFQ带宽管理原理,文档可以帮助大家了解一些带宽管理产品的机制及技术
速度前瞻控制中的伺服动力学约束条件 (2010年)
04-22
在空间小线段连续加工中,相邻线段拐角处的衔接速度受诸多因素的限制。从伺服电机的力矩特性及速度环带宽两个方面,分析了机床伺服系统的动力学性能与衔接速度的关系,建立了包含伺服性能参数和拐角几何参数的约束条件,讨论了约束条件在速度前瞻插补控制中的应用方法。
能量和带宽受限下的分布式一致性融合估计器
01-12
针对网络化多传感器分布式估计中传感器能量和通信网络带宽约束问题,提出一种基于降低发送频率和数据压缩降维的分布式一致性融合估计算法.为了满足通信网络带宽要求,各传感器节点直接选取局部估计信号的部分分量进行传输;与此同时,各节点随机间歇式发送数据包到其他节点来节省能量.在给定一致性权重下,建立以一致性估计器增益为决策变量,以所有传感器节点有限时域下状态融合估计误差协方差矩阵的迹的和为代价函数的优化问题,基于Lyapunov稳定性理论给出使得融合估计误差在无噪声时渐近稳定的一致性估计器增益存在的充分条件,并通过最小化代价函数的上界得到一组次优的一致性估计器增益值.最后,通过算例仿真验证算法的有效性.
TWDM-PON中时延约束节能动态波长带宽分配算法
01-14
基于离线调度方式和节点模块化设计思想,提出一种时延约束节能动态波长带宽分配算法。该算法考虑OLT和ONU两端协同节能,在保证分组时延约束条件下,尽可能减少激活波长数和延长轮询周期长度。同时,尽量集中OLT和ONU端上/下行传输时间,减少其状态转换次数,延长其处于低功耗状态时间,并避免信道出现高能耗空隙。仿真结果表明所提算法在保证分组时延约束的前提下,有利于降低OLT端和ONU端能耗以及全网总能耗。
【期末复习】宽带网络与交换技术
不忘初心,护天下安全!
01-13 4053
第一章 宽带通信网概述 1.通信网的结构 从用户接入与信息传递角度:用户驻地网-接入网-核心网(水平方向) 用户驻地网:用户自有网络,指用户终端至业务集中点之间所包含的传输及线路等相关设施。小至终端,大至局域网。 接入网AN:有线接入(铜线接入技术、光纤接入技术、混合光纤/同轴电缆接入)、无线接入(固定无线接入、移动无线接入)、综合接入 核心网CN:是通信网的骨干,由现有和未来的宽带...
AQS之独占模式和共享模式
weixin_43823391的博客
03-01 5610
AQS之独占模式和共享模式 由于ReentrantLock是一个独占锁,独占锁的知识可以参考AQS之理论知识(一)和AQS之公平锁和非公平锁(二) 两篇文章,本文重点讲解共享模式。并且本文共享模式的讲解以CountDownLatch为主。 一、概念 ​ AQS提供了两种工作模式:独占(exclusive)模式和共享(shared)模式。它的所有子类中,要么实现并使用了它独占功能的 API,要么使用了共享功能的API,而不会同时使用两套 API,即便是它最有名的子类 ReentrantReadWriteLoc
华为USG防火墙-视频会议带宽限速优化
月球挖掘机
01-13 2396
建立地址组 新建本地视频会议地址组,将本地视频会议地址组添加进去 新建对端视频会议地址组,将对端视频会议地址组添加 带宽策略设置 建立带宽通道 新建带宽通道:视频会议 限流方式:分别设置上下行带宽 整体限流的设置 引用方式:策略独占 上下行带宽根据实际情况设置,笔者公司是30M企业精品专线,上行下行我分别设置为15Mbps和10Mbps 每IP用户限流设置 可以和整体限流设置一样(因为主要保障视频会议的IP流量) 建立带宽策略 新建带宽策略:视频会议出 源类型和.
网络带宽管理
ITmoster的博客
05-18 668
NetFlow Analyzer主要是一种带宽监控工具,通过提供网络带宽和流量模式的整体视图,集流量收集、分析、报告于一体,深入了解流量与带宽的占用情况等用户最关心的问题,为全面了解企业的网络活动,合理有效分配和规划网络带宽提供科学的依据,保证企业的关键业务应用畅通运行。
Linux QoS和带宽管理、优化(Bandwidth Management & Optimization)
01-30
这片文章详细描述了如何利用Linux的QoS管理工具进行带宽管理、QoS优化,包括Linux QoS的原理,以及TC工具的使用。 Introduction Bandwidth management in todays world is a crucial part of any organization, ...
网络安全原理与应用:上网行为管理.pptx
05-16
第5章 网络安全产品上网行为管理目标要求Objectives了解上网行为管理的基本工作原理;了解上网行为管理的基本特点与功能;上网行为管理一、上网行为管理的基本概念当今网络和数据通信业务发展非常迅速,电子政务、...
交换机中的工作原理以及种类的区分
03-04
局域网交换机拥有许多端口,每个端口有自己的专用带宽,并且可以连接不同的网段。交换机各个端口之间的通信是同时的、并行的,这就大大提高了信息吞吐量。为了进一步提高性能,每个端口还可以只连接一个设备。为了...
sdh工作原理及技术的详细介绍
01-19
随着信息社会的到来,人们希望现代信息传输网络能快速、经济、有效地提供各种电路和业务,而上述网络技术由于其业务的单调性,扩展的复杂性,带宽的局限性,仅在原有框架内修改或完善已无济于事, 此时SDH的产生并...
山东大学软件学院计算机网络知识总结---第三章数据链路层
weixin_51641169的博客
10-27 1272
计算机网络课程第三章数据联络层知识详解,主要是课上知识整理。
远距离传输大型文件:如何应对不同地区的网络环境和带宽约束
镭速的博客
07-31 294
在现代社会中,远程传输大文件已经变得非常常见了。无论是个人生活还是各种组织之间的合作和协作,都需要频繁地进行文件传输。但是,由于不同地区的网络状况和带宽限制,传输大文件可能会遇到很多问题。因此,如何应对不同地区的网络状况和带宽限制,成为了一个非常需要解决的问题。首先,需要了解什么是网络带宽。简单来说,网络带宽就是数据传输的速度。带宽越大,文件传输的速度就越快。同时,网络带宽受到很多因素的影响,比如网络堵塞、信号干扰等等。因此,在不同的地区,网络带宽的情况也是不一样的。
北斗三号b1c频点带宽_北斗三号导航信号的创新设计(二)
weixin_39617252的博客
12-20 765
原标题:北斗三号导航信号的创新设计(二)三先进的北斗三号互操作信号3.1 卫星北斗三号信号概览根据中国卫星导航系统管理办公室发布的《北斗卫星导航系统发展报告(3.0版)》(2017年12月),北斗三号将提供RNSS、RDSS、SBAS、SAR和PPP等5种服务。 新启用的3个新导航信号B1C和B2a/B2b将搭载在所有GEO/IGSO/MEO卫星上,并将独立或者部分承载上述所有类型的所有5种公开服...
SaaS云平台多租户数据库方案,完美兼顾共享、独占模式
堂哥码财的博客
08-13 4903
构建SaaS云平台多租户架构,首要的问题要解决数据如何存储的问题,业界基本上已经形成共识,无非是以下三种方案: 1、共享数据库,共享表 在表中增加TenantId多租户的数据字段,以区分不同租户的数据。这种做法最大的好处是成本低,租户增加不会增加资源成本。 最明显的缺点是满足不了用户更高的数据隔离安全要求。 2、共享数据库,隔离表 在同一个数据库实例中,为不同的租户创建独立的表。这种架构,没什么好...
防火墙之流量管理
晚风挽着浮云的博客
06-03 1547
防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
上网行为管理工作原理
最新发布
09-13
上网行为管理是指通过网络设备和软件对网络用户进行管理和控制的工作。它的工作原理通常包括以下几个步骤: 1. 流量监测:通过网络设备(如路由器、交换机)或专门的流量监测设备,对网络中的流量进行实时监测和分析。这可以帮助识别出网络中的用户和应用程序,并记录他们的上网行为。 2. 访问控制:在识别出网络中的用户后,可以根据预设的策略对其进行访问控制。这可以通过设置访问规则、ACL(访问控制列表)或防火墙规则来实现,限制用户对特定网站、应用程序或服务的访问。 3. 带宽管理:上网行为管理还可以对网络中的带宽进行管理和控制。通过设置带宽限制、优先级和流量整形等参数,可以确保关键应用程序或用户能够获得足够的网络带宽,而不会被其他低优先级的应用程序占用。 4. 内容过滤:上网行为管理还可以对网络中的内容进行过滤和筛选。通过使用内容过滤软件或硬件设备,可以阻止用户访问敏感、非法或不适宜的内容,保护网络安全和用户利益。 5. 日志记录和报告:上网行为管理系统通常会记录用户的上网行为,并生成相应的日志和报告。这可以帮助网络管理员监控网络使用情况、检测异常行为,并进行后续的审计和分析。 需要注意的是,具体的上网行为管理工作原理可能会因不同的网络设备、软件和策略而有所不同,上述步骤仅为一般性描述。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值