防御保护---防火墙的带宽管理

带宽管理的主要思路：限制和保证

1.带宽限制--针对非关键业务流量进行限制他们占用带宽的比例

2.带宽保证--保证关键业务流量

3.连接数限制--这是一种手段，限制一些业务的连接数，有利于减少该业务占用的带宽，也可以节约会话资源

三种手段

1.接口带宽---接口上可以直接定义入方向和出方向流量使用的实际带宽，这是一种针对物 理带宽的调控手段。其意义在于，如果我们接口带宽过大，而连接运营商接口处理能力有限， 将导致大量的流量滞留在链路中，造成拥挤。

2，带宽策略----策略的一种，可以匹配流量，针对匹配上的流量执行限流或者不限流的动 作。如果是不限流，则直接转发即可；如果限流，则将流量引入带宽通道中。

带宽策略中默认存在一条针对所有流量不限流的策略

3，带宽通道

我们可以将带宽通道理解为是带宽策略中限流的具体实施。也可以理解为将 真实的物理带宽逻辑上虚拟出一条通道，以达到将引入的流量进行限制或者保证的手段

接口带宽进行限制之后，如果接口出现拥挤的情况，则将启用队列调度（排队 --- 根据流量的 优先级来进行排队）制度。

传统的流控是以丢包作为限制的核心手段。

深信服中采用缓存不丢包制度 在带宽通道中，我们可以完成两个动作，第一个是丢弃超出限值的流量。第二个则是可以给流 量进行优先级的标记。

应用场景

场景一：

企业中在ISP处购买100M宽带，在办公区中，Email，ERP等流量被视为关键业务流量， 而P2P，在线视频等流量可以认定为非关键业务流量。由于非关键业务流量十分的消耗 带宽，曹直该企业关键业务流量资源常年被占据，无法得到保证。经常出现邮件发不出 去，页面无法访问等情况

        为了不影响正常正常业务，在任何时间内限制p2p和在线视频的流量不超过 30Mbps，并且为了更好的限制在线视频和P2P应用，可以通过限制连接数的方 法，限制其最大连接数不超过1000。

        ○ 为了保证email和ERP等应用在工作时间内不受影响，此类流量可获得的最小带宽不 少于60Mbps 

1，更改接口带宽为100M

2，配置带宽通道

3，配置带宽策略调用带宽通道

场景二：

        办公区的同事通过NAT访问互联网，同时，互联网中的用户通过NAT访问DMZ区的服务 器。在访问量大的时候，经常出现办公区访问互联中网页打不开，或者，互联网用户访 问内网服务器卡顿或页面丢失等现象 

上下行流量的区分方法：匹配上带宽策略的流量属于上行流量，返程流量属于下行流

       1.  从电信购买100M的带宽，在上高峰时段（15：00-18：00）上网用户的下行流 量限制60M（untrust - BG）。外网用户下行流量限制40M（DMZ - untrust）

       2.  DMZ中的每个服务器限制对外提供最大下行带宽不超过20M。

       3. 假设办公区一共有30个上网用户，因为上网用户总下行流量60M，所以，每个上 网用户的最大下行流量不能超过2M。

 动态均分 --- 即在做了整体限制之后，会根据当前在线的IP或者用户数量来平分限制的 带宽。

场景三：

父子策略 --- 一条带宽策略下面还可以设置更多的子策略。当匹配到一条策略时，如果 他拥有子策略，则将继续匹配其子策略，直到匹配到最后一级的子策略为止。通过这种 机制，我们可以实现层级化的管理。