理論防火墻虛帶寬管理

交流群第1帶寬管理基本帶寬管理基本概提供帶寬保證提供帶寬限制提供連接數(shù)限制功能交流群第2Page帶寬保帶寬保交流群第3接口帶流流DBC入接BDAEA交流群第4接口帶EA出接DB帶寬通接口帶流流DBC入接BDAEA交流群第4接口帶EA出接DB帶寬通 帶寬策帶寬策略帶寬策略交流群第5帶寬策略原帶寬策略決定了對(duì)網(wǎng)絡(luò)中的哪些帶寬策略原帶寬策略決定了對(duì)網(wǎng)絡(luò)中的哪些流量進(jìn)行帶寬管理，以及如何進(jìn)帶寬管理包含動(dòng)作帶寬策交流群第6 限 不限源地址/地區(qū)級(jí)口帶寬策略原理帶寬策略原理（續(xù)父子策略父子策略也稱為父子規(guī)則，指的是一條帶寬策略規(guī)則下還可以設(shè)置多條子規(guī)交流群第7 交流群第8交流群第9profilebandwidthip-carupstreammaximum-bandwidthper-ip1000bandwidthip-cardownstreammaximum-bandwidthper-ip1200rulenametestsource-zonetrustactionqosprofiletest6對(duì)每條流進(jìn)行連接數(shù)限制（對(duì)每條流進(jìn)行連接數(shù)限制（包含父子策略對(duì)每條流進(jìn)行速率限制（包含父子策略重新標(biāo)記優(yōu)先級(jí)帶寬保證(交流群第10對(duì)對(duì)每條流首先進(jìn)行父策略(每IP/User)匹配，進(jìn)行連接數(shù)限制對(duì)每條流進(jìn)行父策略整體連接數(shù)限父策略通過(guò)以后進(jìn)行子策略處理對(duì)每條流首先進(jìn)行子策略(每IP/User)匹配，進(jìn)行連接數(shù)限制對(duì)每條流進(jìn)行子策略整體連接數(shù)限交流群第11 理，再進(jìn)行子策略處理交流群第12優(yōu)先發(fā)送通道的保證速率接口最大帶寬設(shè)置為100Mbps,如果當(dāng)時(shí)保證帶寬80Mbps，剩余的20Mbps,，就發(fā)送剩余帶寬交流群第13帶寬復(fù)帶寬復(fù)。多條流量匹配到了同一個(gè)帶寬策略，多條流量之間可以實(shí)現(xiàn)帶寬復(fù)用多個(gè)帶寬策略以策略共享的方式引用帶寬通道，則匹配了帶寬策略的多條流量之間可以實(shí)現(xiàn)帶寬復(fù)用。匹配了父子策略中的多個(gè)子策略的多條流量之間可以實(shí)現(xiàn)帶寬復(fù)用交流群第14交流群第15帶寬管理配置—帶寬管理配置—帶寬通交流群第16[NGFW-traffice-policy]profiletest 帶寬管理配置—帶寬通帶寬管理配置—帶寬通交流群第17[NGFW-traffice-policy-profile-test]bandwidthreference-modepre-[NGFW-traffice-policy-profile-test]bandwidthupstreamguaranteed-bandwidth10000[NGFW-traffice-policy-profile-test]bandwidthupstreammaximum-bandwidth400000[NGFW-traffice-policy-profile-test]bandwidthpriority1帶寬管理配置—帶寬通帶寬管理配置—帶寬通交流群第18[NGFW-traffice-policy-profile-test]bandwidthip-carupstreammaximum-bandwidthper-ip帶寬管理配置—帶帶寬管理配置—帶寬通交流群第19[NGFW-traffice-policy-profile-test]remarkdscpdefault帶寬管理配置—帶寬策帶寬管理配置—帶寬策置將覆蓋之前的配置為“限時(shí)需交流群第20帶寬管理配置—接帶寬管理配置—接口帶交流群第21[NGFW]interfaceGigabitEthernet[NGFW-GigabitEthernet1/0/1]bandwidthegress交流群第22內(nèi)網(wǎng)用戶訪問(wèn)Internet內(nèi)網(wǎng)用戶訪問(wèn)Internet時(shí)，所需的帶寬大于出口帶P2P業(yè)務(wù)類型的流量消耗了絕大部分的帶寬資大量Internet用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)器，導(dǎo)致服務(wù)器性能降低交流群第23場(chǎng)景一：場(chǎng)景一：網(wǎng)絡(luò)邊界安全防護(hù)的場(chǎng)針對(duì)上述問(wèn)題，提供帶寬管理功能，實(shí)現(xiàn)如下目的交流群第24設(shè)備作為內(nèi)網(wǎng)管控設(shè)備，部設(shè)備作為內(nèi)網(wǎng)管控設(shè)備，部署在大中型企業(yè)的內(nèi)部網(wǎng)絡(luò)在該場(chǎng)景中，內(nèi)部網(wǎng)絡(luò)中的流量也會(huì)影響帶寬資源的合理使用，主要體現(xiàn)在市場(chǎng)網(wǎng)生產(chǎn)網(wǎng)營(yíng)銷網(wǎng)研發(fā)網(wǎng)絡(luò)出口網(wǎng)研發(fā)網(wǎng)絡(luò)交流群第25場(chǎng)景二場(chǎng)景二：內(nèi)網(wǎng)管控的場(chǎng)交流群第26數(shù)據(jù)中心 Center，IDC）為中數(shù)據(jù)中心 Center，IDC）為中小型企業(yè)或個(gè)人客戶提供服務(wù)器托、虛擬域名空間等服務(wù)。NGFW作為數(shù)據(jù)中心邊界防護(hù)設(shè)備，對(duì)外部網(wǎng)絡(luò)訪問(wèn)數(shù)中心的流量進(jìn)行控制Web服務(wù)個(gè)人客郵件服務(wù)文件服務(wù)企業(yè)客在該場(chǎng)景中，通過(guò)帶寬管理功能可以實(shí)現(xiàn)如下目基于IP和應(yīng)用的流量控制，確保服務(wù)器穩(wěn)定運(yùn)行，避免網(wǎng)絡(luò)出口擁塞限制外部用戶訪問(wèn)服務(wù)器的連接數(shù)，保證服務(wù)器正常運(yùn)行，同時(shí)還可以輔助DDoS攻擊交流群第27交流群第28某企業(yè)將NGFW作為出口網(wǎng)關(guān)部署在網(wǎng)絡(luò)邊界處，并從運(yùn)營(yíng)商租用了上下行均100M帶寬的專線，使內(nèi)部網(wǎng)絡(luò)中的用戶可以訪問(wèn)Internet該網(wǎng)絡(luò)環(huán)境中，內(nèi)部用戶訪問(wèn)Internet的流量以及Internet上的用戶訪問(wèn)內(nèi)部服務(wù)器的流量，都將占用100M的帶寬資源，容易產(chǎn)生擁塞。為此，網(wǎng)絡(luò)管理員希望利用NFW的帶寬管理功能，實(shí)現(xiàn)如下需求：高級(jí)管理者訪問(wèn)Internet時(shí)可以獲得20M的保證帶寬，但最大帶寬不能超過(guò)30M交流群第29Page郵件服務(wù)郵件服務(wù)高級(jí)管研發(fā)部市場(chǎng)部員交流群第30在網(wǎng)絡(luò)邊界安全場(chǎng)景中實(shí)施帶寬管在網(wǎng)絡(luò)邊界安全場(chǎng)景中實(shí)施帶寬管配置接口1/0/1的接口帶寬，與運(yùn)營(yíng)商提供的帶寬資源相匹配當(dāng)發(fā)生擁塞時(shí)，能夠優(yōu)先處理關(guān)鍵業(yè)務(wù)的流量對(duì)于網(wǎng)絡(luò)中的P2P業(yè)務(wù)，定義其能夠使用的最大帶寬，使用帶寬策略進(jìn)行流量制對(duì)于高級(jí)管理者，定義其能夠使用的保證帶寬和最大帶寬，使用帶寬策略實(shí)寬管理對(duì)于研發(fā)部員工，使用父子策略來(lái)限制研發(fā)部以及產(chǎn)品組1和產(chǎn)品組2能夠使的最大帶寬資源對(duì)于市場(chǎng)部員工，定義其能夠使用的整體最大帶寬，并基于每用戶來(lái)限制單戶的帶寬資源配置連接數(shù)限制功能，限制目的地址為Web服務(wù)器和郵件服務(wù)器的會(huì)話數(shù)交流群第31配置接口帶配置接口帶選擇“網(wǎng)絡(luò)接口接口列表”單擊編輯GE1/0/1，按如下參數(shù)配置單擊“確定”交流群第32針對(duì)P2P業(yè)務(wù)針對(duì)P2P業(yè)務(wù)進(jìn)行帶寬管選擇“策略帶寬管理>帶寬通道”。單擊“確定”交流群第33針對(duì)P2P業(yè)務(wù)針對(duì)P2P業(yè)務(wù)進(jìn)行帶寬管理選擇“策帶寬帶寬策略”。單擊“確定”交流群第34針對(duì)高級(jí)管針對(duì)高級(jí)管理者進(jìn)行帶寬管選擇“策帶寬帶寬通道”。單擊“確定”交流群第35針對(duì)高級(jí)管針對(duì)高級(jí)管理者進(jìn)行帶寬管選擇“策帶寬管理>帶寬策略”。單擊“確定”交流群第36針對(duì)研發(fā)針對(duì)研發(fā)部/市場(chǎng)部進(jìn)行帶寬管交流群第37針對(duì)內(nèi)網(wǎng)針對(duì)內(nèi)網(wǎng)服務(wù)器的并發(fā)連接數(shù)進(jìn)行限選擇“策略>帶寬管帶寬通道”。單擊“確定”交流群第38針對(duì)內(nèi)網(wǎng)服針對(duì)內(nèi)網(wǎng)服務(wù)器的并發(fā)連接數(shù)進(jìn)行限選擇“策帶寬管理>帶寬策略”。單擊“確定”交流群第39針對(duì)內(nèi)網(wǎng)服針對(duì)內(nèi)網(wǎng)服務(wù)器的并發(fā)連接數(shù)進(jìn)行限選擇“策帶寬管理>帶寬策略”。單擊“確定”交流群第40交流群第41交流群交流群第42查看對(duì)應(yīng)的帶寬策略是查看對(duì)應(yīng)的帶寬策略是否命交流群第4311:44:382015/10/23RULEIDRULE no- 保證帶寬和連接保證帶寬和連接數(shù)限制是否生交流群第4416:19:122015/10/23#interfaceipaddressbandwidthegress#通過(guò)命令行查看帶寬通過(guò)命令行查看帶寬統(tǒng)displaytraffic-policystatistic{bandwidth{upstream|downstream|total}|connection-limit{upstream|downstream|total}}{per-ip[ip-addressip-address][rulerule-name]|per-user[useruser-name][rulerule-name]|rule{rule-name|all}displaytraffic-policystatisticbandwidthvsysvsys-交流群第45<NGFW>displaytraffic-policystatisticbandwidthupst