防护墙接口带宽管理+实验测试

防火墙的带宽管理核心思想

1，带宽限制 --- 限制非关键业务流量占用带宽的比例

2，带宽保证 --- 这里需要保证的是我们关键业务流量；再业务繁忙时，确保关键业务不受影响；

3，连接数的限制 --- 这也是一种限制手段，可以针对一些业务限制他们的链接数量，首先可以降低该业务占用带宽，其次，可以节省设备的会话资源；

实现带宽管理的三种核心手段

1，接口带宽

                --- 接口带宽调控的意义在于，如果本端按照较大的传输速率发送数据，对端接受能力有限，不但起不到增加传输速率的效果，反而可能导致大量的数据包堵塞在链路中，所以，可以区调控出接口的带宽。

2，带宽策略

带宽策略就是针对抓取到的流量执行两种动作 1，不限流

2，限流

                --- 限流实质是将流量引入带宽通道中。默认存在一条针对所有流量不做限流的策略，

3，带宽通道

                --- 可以理解为是带宽策略中执行限流动作后的具体实施，也可以理解为是在真实的物理带宽中，开辟了一些虚拟的流量通道，通过将流量引入这些虚拟的带宽通道中，来限制或者保证业务的带宽。

传统的带宽限制手段 --- 数据丢包，这样可能导致数据包需要重传，造成冗余数据包的拥挤；所以，类似深信服这样的厂商推行的是缓存不丢包，即将超出限制的数据包缓存之后发送，而不是直接丢弃数据包。

在带宽通道中，主要完成两件事情，第一件是针对超出限制的数据包进行丢包，第二件是可以针对数据包打上优先级的标签，方便数据包到出接口之后，进行队列调度 --- 根据 优先级高低发送数据包

应用场景

企业在ISP处购买了100M宽带，在办公环境中，e-mail，erp等流量可以被认定为关键业务流量；而P2P，在线视频类型的流量可以被认定为非关键业务流量；由于P2P，在线 视频等十分消耗带宽，导致该企业有限的带宽资源常年被此类流量占用，而E-mail， ERP等关键业务流量无法保证，经常出现邮件发不出去，页面无法打开等情况，严重影响了企业的正常工作；

企业为了改善以上情况，希望通过FW实现带宽管理的功能，实现以下需求：

1，为了不影响正常业务，在任何时间段内限制P2P，在线视频等最大带宽不超过30M，为了更换好的对这些流量进行管控，限制他们的链接数不超过1000；

2，为了email，erp等应用在正常工作时间内不受影响，此类流量可以获得的最小带宽不小于60M；

策略独占 --- 每个带宽策略调用这个通道，都按照通道中的设定执行策略共享 --- 所有带宽策略调用这个通道，都按照通道中的设定执行

场景二：

办公区用户通过NAT访问互联网，外网用户可以通过公网地址访问内网服务器，导致在用网的高峰期，由于上网用户过多，占用带宽比较大，经常导致访问外部web服务器时出现网页打不开的情况，用网体验下降

（备注：上行流量指的是匹配上我们策略的流量，下行流量指的是和策略相反方向的流量）

需求：

1，从电信购买100M带宽，在上网高峰期时（15：00 - 18：00）上网用户的下行流量

不超过60M，外网用户的下行流量不超过40M

2，DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

3，假设办公区上网用户30人，那我们总的下行带宽60M，则每个用户访问互联网的最大下行带宽为2M

如果开启了动态均分，则根据在线的用户或者IP数量来分配总流量。

场景三：

父子策略 --- 父策略下面可以添加子策略，父策略匹配后，将继续匹配子策略，直到匹配到最后一级子策略 比较适合应用在需要进行层次化管理的场景；

实验：

        

前面12个在之前的文章中已经由讲解，我们现在主要看：13--14

问题12：就点击这里吧---->防火墙的冗余

问题13：对于某个区的上网流量限制不超过100M，其中这个区的销售部不超过60M，且销售部一共10人，每个不超过6M；

这里明显是对上网流量带宽的一共控制，而上网带宽的控制是通过两部分来实现的：1、带宽通道                                                                                                                                        2、带宽策略

所以首先我们这里就需要对带宽通道进行一个配置

具体通道配置：

这里需要注意一下：我们是先有这个销售区100M，然后在销售区里面再有销售部60M，所以这里的话是创建两个通道；

---创建策略：

创建安全策略的时候也需要注意一下：我们是先有销售区，再是在销售区以下的销售部进行一个控制；所以我们的策略应该也是先有一个销售区的带宽进行策略控制，然后才是销售部的带宽策略控制；

所以我们这里的策略也是两个，且是父子关系，一个销售区的父策略，一个销售部的子策略

问题13：销售部的Email应用进行一个进一步的控制

                这里显然是对销售部的60M流量再进行一个Email针对性控制，Email必须保证有10M；

所以我们这里还需要创建一个通道，用来给Email的；

                       同样也需要创建一个带宽策略，且这个策略肯定也是销售部的子策略，销售区的孙子策略；

创建方法如上------↑

---------------------------------我们只讲思路，不讲详细过程；

                                          过程是背，思路是理解；

                                           想要走多远，10%背+90%理解

祝你年薪百万，成绩辉煌！！！