带宽管理的主要思路:限制和保证
1.带宽限制--针对非关键业务流量进行限制他们占用带宽的比例
2.带宽保证--保证关键业务流量
3.连接数限制--这是一种手段,限制一些业务的连接数,有利于减少该业务占用的带宽,也可以节约会话资源
三种手段
1.接口带宽---接口上可以直接定义入方向和出方向流量使用的实际带宽,这是一种针对物 理带宽的调控手段。其意义在于,如果我们接口带宽过大,而连接运营商接口处理能力有限, 将导致大量的流量滞留在链路中,造成拥挤。
2,带宽策略----策略的一种,可以匹配流量,针对匹配上的流量执行限流或者不限流的动 作。如果是不限流,则直接转发即可;如果限流,则将流量引入带宽通道中。
带宽策略中默认存在一条针对所有流量不限流的策略
3,带宽通道
我们可以将带宽通道理解为是带宽策略中限流的具体实施。也可以理解为将 真实的物理带宽逻辑上虚拟出一条通道,以达到将引入的流量进行限制或者保证的手段
接口带宽进行限制之后,如果接口出现拥挤的情况,则将启用队列调度(排队 --- 根据流量的 优先级来进行排队)制度。
传统的流控是以丢包作为限制的核心手段。
深信服中采用缓存不丢包制度 在带宽通道中,我们可以完成两个动作,第一个是丢弃超出限值的流量。第二个则是可以给流 量进行优先级的标记。
应用场景
场景一:
企业中在ISP处购买100M宽带,在办公区中,Email,ERP等流量被视为关键业务流量, 而P2P,在线视频等流量可以认定为非关键业务流量。由于非关键业务流量十分的消耗 带宽,曹直该企业关键业务流量资源常年被占据,无法得到保证。经常出现邮件发不出 去,页面无法访问等情况
为了不影响正常正常业务,在任何时间内限制p2p和在线视频的流量不超过 30Mbps,并且为了更好的限制在线视频和P2P应用,可以通过限制连接数的方 法,限制其最大连接数不超过1000。
○ 为了保证email和ERP等应用在工作时间内不受影响,此类流量可获得的最小带宽不 少于60Mbps
1,更改接口带宽为100M
2,配置带宽通道
3,配置带宽策略调用带宽通道
场景二:
办公区的同事通过NAT访问互联网,同时,互联网中的用户通过NAT访问DMZ区的服务 器。在访问量大的时候,经常出现办公区访问互联中网页打不开,或者,互联网用户访 问内网服务器卡顿或页面丢失等现象
上下行流量的区分方法:匹配上带宽策略的流量属于上行流量,返程流量属于下行流
1. 从电信购买100M的带宽,在上高峰时段(15:00-18:00)上网用户的下行流 量限制60M(untrust - BG)。外网用户下行流量限制40M(DMZ - untrust)
2. DMZ中的每个服务器限制对外提供最大下行带宽不超过20M。
3. 假设办公区一共有30个上网用户,因为上网用户总下行流量60M,所以,每个上 网用户的最大下行流量不能超过2M。
动态均分 --- 即在做了整体限制之后,会根据当前在线的IP或者用户数量来平分限制的 带宽。
场景三:
父子策略 --- 一条带宽策略下面还可以设置更多的子策略。当匹配到一条策略时,如果 他拥有子策略,则将继续匹配其子策略,直到匹配到最后一级的子策略为止。通过这种 机制,我们可以实现层级化的管理。