理論防火墻虛帶寬管理

交流群第1帶寬管理基本帶寬管理基本概提供帶寬保證提供帶寬限制提供連接數(shù)限制功能交流群第2Page帶寬保帶寬保交流群第3接口帶流流DBC入接BDAEA交流群第4接口帶EA出接DB帶寬通接口帶流流DBC入接BDAEA交流群第4接口帶EA出接DB帶寬通 帶寬策帶寬策略帶寬策略交流群第5帶寬策略原帶寬策略決定了對網(wǎng)絡中的哪些帶寬策略原帶寬策略決定了對網(wǎng)絡中的哪些流量進行帶寬管理，以及如何進帶寬管理包含動作帶寬策交流群第6 限 不限源地址/地區(qū)級口帶寬策略原理帶寬策略原理（續(xù)父子策略父子策略也稱為父子規(guī)則，指的是一條帶寬策略規(guī)則下還可以設置多條子規(guī)交流群第7 交流群第8交流群第9profilebandwidthip-carupstreammaximum-bandwidthper-ip1000bandwidthip-cardownstreammaximum-bandwidthper-ip1200rulenametestsource-zonetrustactionqosprofiletest6對每條流進行連接數(shù)限制（對每條流進行連接數(shù)限制（包含父子策略對每條流進行速率限制（包含父子策略重新標記優(yōu)先級帶寬保證(交流群第10對對每條流首先進行父策略(每IP/User)匹配，進行連接數(shù)限制對每條流進行父策略整體連接數(shù)限父策略通過以后進行子策略處理對每條流首先進行子策略(每IP/User)匹配，進行連接數(shù)限制對每條流進行子策略整體連接數(shù)限交流群第11 理，再進行子策略處理交流群第12優(yōu)先發(fā)送通道的保證速率接口最大帶寬設置為100Mbps,如果當時保證帶寬80Mbps，剩余的20Mbps,，就發(fā)送剩余帶寬交流群第13帶寬復帶寬復。多條流量匹配到了同一個帶寬策略，多條流量之間可以實現(xiàn)帶寬復用多個帶寬策略以策略共享的方式引用帶寬通道，則匹配了帶寬策略的多條流量之間可以實現(xiàn)帶寬復用。匹配了父子策略中的多個子策略的多條流量之間可以實現(xiàn)帶寬復用交流群第14交流群第15帶寬管理配置—帶寬管理配置—帶寬通交流群第16[NGFW-traffice-policy]profiletest 帶寬管理配置—帶寬通帶寬管理配置—帶寬通交流群第17[NGFW-traffice-policy-profile-test]bandwidthreference-modepre-[NGFW-traffice-policy-profile-test]bandwidthupstreamguaranteed-bandwidth10000[NGFW-traffice-policy-profile-test]bandwidthupstreammaximum-bandwidth400000[NGFW-traffice-policy-profile-test]bandwidthpriority1帶寬管理配置—帶寬通帶寬管理配置—帶寬通交流群第18[NGFW-traffice-policy-profile-test]bandwidthip-carupstreammaximum-bandwidthper-ip帶寬管理配置—帶帶寬管理配置—帶寬通交流群第19[NGFW-traffice-policy-profile-test]remarkdscpdefault帶寬管理配置—帶寬策帶寬管理配置—帶寬策置將覆蓋之前的配置為“限時需交流群第20帶寬管理配置—接帶寬管理配置—接口帶交流群第21[NGFW]interfaceGigabitEthernet[NGFW-GigabitEthernet1/0/1]bandwidthegress交流群第22內(nèi)網(wǎng)用戶訪問Internet內(nèi)網(wǎng)用戶訪問Internet時，所需的帶寬大于出口帶P2P業(yè)務類型的流量消耗了絕大部分的帶寬資大量Internet用戶訪問內(nèi)網(wǎng)服務器，導致服務器性能降低交流群第23場景一：場景一：網(wǎng)絡邊界安全防護的場針對上述問題，提供帶寬管理功能，實現(xiàn)如下目的交流群第24設備作為內(nèi)網(wǎng)管控設備，部設備作為內(nèi)網(wǎng)管控設備，部署在大中型企業(yè)的內(nèi)部網(wǎng)絡在該場景中，內(nèi)部網(wǎng)絡中的流量也會影響帶寬資源的合理使用，主要體現(xiàn)在市場網(wǎng)生產(chǎn)網(wǎng)營銷網(wǎng)研發(fā)網(wǎng)絡出口網(wǎng)研發(fā)網(wǎng)絡交流群第25場景二場景二：內(nèi)網(wǎng)管控的場交流群第26數(shù)據(jù)中心 Center，IDC）為中數(shù)據(jù)中心 Center，IDC）為中小型企業(yè)或個人客戶提供服務器托、虛擬域名空間等服務。NGFW作為數(shù)據(jù)中心邊界防護設備，對外部網(wǎng)絡訪問數(shù)中心的流量進行控制Web服務個人客郵件服務文件服務企業(yè)客在該場景中，通過帶寬管理功能可以實現(xiàn)如下目基于IP和應用的流量控制，確保服務器穩(wěn)定運行，避免網(wǎng)絡出口擁塞限制外部用戶訪問服務器的連接數(shù)，保證服務器正常運行，同時還可以輔助DDoS攻擊交流群第27交流群第28某企業(yè)將NGFW作為出口網(wǎng)關部署在網(wǎng)絡邊界處，并從運營商租用了上下行均100M帶寬的專線，使內(nèi)部網(wǎng)絡中的用戶可以訪問Internet該網(wǎng)絡環(huán)境中，內(nèi)部用戶訪問Internet的流量以及Internet上的用戶訪問內(nèi)部服務器的流量，都將占用100M的帶寬資源，容易產(chǎn)生擁塞。為此，網(wǎng)絡管理員希望利用NFW的帶寬管理功能，實現(xiàn)如下需求：高級管理者訪問Internet時可以獲得20M的保證帶寬，但最大帶寬不能超過30M交流群第29Page郵件服務郵件服務高級管研發(fā)部市場部員交流群第30在網(wǎng)絡邊界安全場景中實施帶寬管在網(wǎng)絡邊界安全場景中實施帶寬管配置接口1/0/1的接口帶寬，與運營商提供的帶寬資源相匹配當發(fā)生擁塞時，能夠優(yōu)先處理關鍵業(yè)務的流量對于網(wǎng)絡中的P2P業(yè)務，定義其能夠使用的最大帶寬，使用帶寬策略進行流量制對于高級管理者，定義其能夠使用的保證帶寬和最大帶寬，使用帶寬策略實寬管理對于研發(fā)部員工，使用父子策略來限制研發(fā)部以及產(chǎn)品組1和產(chǎn)品組2能夠使的最大帶寬資源對于市場部員工，定義其能夠使用的整體最大帶寬，并基于每用戶來限制單戶的帶寬資源配置連接數(shù)限制功能，限制目的地址為Web服務器和郵件服務器的會話數(shù)交流群第31配置接口帶配置接口帶選擇“網(wǎng)絡接口接口列表”單擊編輯GE1/0/1，按如下參數(shù)配置單擊“確定”交流群第32針對P2P業(yè)務針對P2P業(yè)務進行帶寬管選擇“策略帶寬管理>帶寬通道”。單擊“確定”交流群第33針對P2P業(yè)務針對P2P業(yè)務進行帶寬管理選擇“策帶寬帶寬策略”。單擊“確定”交流群第34針對高級管針對高級管理者進行帶寬管選擇“策帶寬帶寬通道”。單擊“確定”交流群第35針對高級管針對高級管理者進行帶寬管選擇“策帶寬管理>帶寬策略”。單擊“確定”交流群第36針對研發(fā)針對研發(fā)部/市場部進行帶寬管交流群第37針對內(nèi)網(wǎng)針對內(nèi)網(wǎng)服務器的并發(fā)連接數(shù)進行限選擇“策略>帶寬管帶寬通道”。單擊“確定”交流群第38針對內(nèi)網(wǎng)服針對內(nèi)網(wǎng)服務器的并發(fā)連接數(shù)進行限選擇“策帶寬管理>帶寬策略”。單擊“確定”交流群第39針對內(nèi)網(wǎng)服針對內(nèi)網(wǎng)服務器的并發(fā)連接數(shù)進行限選擇“策帶寬管理>帶寬策略”。單擊“確定”交流群第40交流群第41交流群交流群第42查看對應的帶寬策略是查看對應的帶寬策略是否命交流群第4311:44:382015/10/23RULEIDRULE no- 保證帶寬和連接保證帶寬和連接數(shù)限制是否生交流群第4416:19:122015/10/23#interfaceipaddressbandwidthegress#通過命令行查看帶寬通過命令行查看帶寬統(tǒng)displaytraffic-policystatistic{bandwidth{upstream|downstream|total}|connection-limit{upstream|downstream|total}}{per-ip[ip-addressip-address][rulerule-name]|per-user[useruser-name][rulerule-name]|rule{rule-name|all}displaytraffic-policystatisticbandwidthvsysvsys-交流群第45<NGFW>displaytraffic-policystatisticbandwidthupst