防火墙的带宽管理
1.核心思想
1,带宽限制 --- 限制非关键业务流量占用带宽的比例
2,带宽保证 --- 这里需要保证的是我们关键业务流量;再业务繁忙时,确保关键业务不受影
响;
3,连接数的限制 --- 这也是一种限制手段,可以针对一些业务限制他们的链接数量,首先可
以降低该业务占用带宽,其次,可以节省设备的会话资源;
2.三种核心手段
1.接口带宽
--- 接口带宽调控的意义在于,如果本端按照较大的传输速率发送数据,对端接
受能力有限,不但起不到增加传输速率的效果,反而可能导致大量的数据包堵塞在链路中,所
以,可以区调控出接口的带宽。
2.带宽策略
带宽策略就是针对抓取到的流量执行两种动作
1,不限流
2,限流 --- 限流实质是将流量引入
带宽通道
中。
默认存在一条针对所有流量不做限流的策略,
3.带宽通道
--- 可以理解为是带宽策略中执行限流动作后的具体实施,也可以理解为是在真
实的物理带宽中,开辟了一些虚拟的流量通道,通过将流量引入这些虚拟的带宽通道中,来限
制或者保证业务的带宽。
传统的带宽限制手段 --- 数据丢包,这样可能导致数据包需要重传,造成冗余数据包的拥挤;
所以,类似深信服这样的厂商推行的是缓存不丢包,即将超出限制的数据包缓存之后发送,而
不是直接丢弃数据包。
在带宽通道中,主要完成两件事情,第一件是针对超出限制的数据包进行丢包,第二件是可以
针对数据包打上优先级的标签,方便数据包到出接口之后,进行
队列调度
--- 根据 优先级高
低发送数据包
4.应用场景
场景一
企业在ISP处购买了100M宽带,在办公环境中,e-mail,erp等流量可以被认定为关键业
务流量;而P2P,在线视频类型的流量可以被认定为非关键业务流量;由于P2P,在线
视频等十分消耗带宽,导致该企业有限的带宽资源常年被此类流量占用,而E-mail,
ERP等关键业务流量无法保证,经常出现邮件发不出去,页面无法打开等情况,严重影
响了企业的正常工作;
企业为了改善以上情况,希望通过防火墙实现带宽管理的功能,实现以下需求:
1,为了不影响正常业务,在任何时间段内限制P2P,在线视频等最大带宽不超过30M,
为了更换好的对这些流量进行管控,限制他们的链接数不超过1000;
2,为了email,erp等应用在正常工作时间内不受影响,此类流量可以获得的最小带宽
不小于60M;
要求1:
第一步:先做带宽通道
策略独占 --- 每个带宽策略调用这个通道,都按照通道中的设定执行
策略共享 --- 所有带宽策略调用这个通道,都按照通道中的设定执行
第二步:配置带宽策略
对限制的应用进行限制操作
要求2:
带宽通道设置
带宽策略
场景二
办公区用户通过NAT访问互联网,外网用户可以通过公网地址访问内网服务器,导致
在用网的高峰期,由于上网用户过多,占用带宽比较大,经常导致访问外部web服务器时出现
网页打不开的情况,用网体验下降 (备注:上行流量指的是匹配上我们策略的流量,下行流量指的是和策略相反方向的流
量)
需求:
1,从电信购买100M带宽,在上网高峰期时(15:00 - 18:00)上网用户的下行流量
不超过60M,外网用户的下行流量不超过40M
2,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
3,假设办公区上网用户30人,那我们总的下行带宽60M,则每个用户访问互联网的最
大下行带宽为2M
带宽策略
用户上网
外网访问服务器的
动态均分---根据在线用户平均分配总带宽
带宽策略
对内网用户访问外网限制的带宽策略
场景三
父子策略 --- 父策略下面可以添加子策略,父策略匹配后,将继续匹配子策略,直到匹
配到最后一级子策略 ---- 比较适合应用在需要进行层次化管理的场景;
先把三个通道策略建立起来
办公区限制总带宽为60M
办公区销售部限制带宽为30M
销售部的p2p的应用限制带宽最大为10mbps
设置带宽策略,销售部的父策略是BG-限制
设置销售部对应p2p应用的带宽策略
最终层次结构如下
扫一扫
2299
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
