《Power V配置-带宽管理》由会员分享,可在线阅读,更多相关《Power V配置-带宽管理(14页珍藏版)》请在金锄头文库上搜索。
1、背景由于可供用户使用的线路带宽总是有限的,为了协调资源,优先保障重要服务,有必要进行带宽控制。对于网络中的某些重要业务,网络管理员需要保证该类业务的带宽;对于网络中的某些流量,比如ftp,可以适当允许,但又不能让此类流量过大,需要加以限制。或者有时需要对内网某些网段主机进行带宽限制,此时就需要用到带宽管理功能。配置说明带宽策略列表可以定义三种类型的带宽资源,非共享带宽,共享带宽和贷款资源组,只有先定义了非共享带宽后,才可以定义共享带宽,而带宽资源组是不同接口下的共享带宽的组合。图 729带宽资源关系图定义的带宽资源组在“策略配置带宽管理”中被引用。非共享带宽非共享带宽列表非共享带宽维护带宽列表
2、维护元素表值域说明名称非共享带宽的名称接口非共享带宽限制的接口,同一个接口下可以建立多个非共享带宽,各个非共享带宽之间不可相互借用。不能修改已经定义好的一条带宽资源的接口.同一个接口下多个非共享带宽之和不能超过接口设备的带宽。最大带宽最大能够使用的带宽,范围为01048576K,必须大于保证带宽。共享带宽非共享带宽列表共享带宽维护带宽列表维护元素表值域说明名称共享带宽的名称优先级当各项服务竞争带宽资源时,总是首先保障优先级高的服务保证带宽保证带宽,范围为01048576K。所有父带宽引用同一个非共享带宽的共享带宽中的保证带宽之和不能超过父带宽的最大带宽。最大带宽最大能够使用的带宽,范围为010
3、48576K,必须大于保证带宽。父带宽在非共带宽中已经定义好的带宽资源,相同父带宽下的共享带宽可以相互借用带宽资源。带宽资源组带宽组列表带宽组维护带宽列表维护元素表值域说明名称带宽资源组名称,将在策略配置带宽管理中被引用,请保证名称不重复。接口下的带宽每个接口只能选择一个共享带宽作为组的成员。带宽管理防火墙的带宽限制是在数据包流出的网络接口上进行的限制,可以根据这里设置的带宽规则,进行带宽使用的保证和限制。带宽管理支持基于源IP地址,目的地址、服务、接口的带宽管理,支持VPN带宽的管理,能够对VPN中的封装信息进行基于IP地址、服务的带宽管理。每条带宽管理策略可以支持最小保证带宽,最大限制带宽
4、,可以支持带宽优先级的设定,不同的通讯具有不同的带宽使用优先级,优先级高的通讯可以最大量的获得防火墙空余的带宽。带宽管理规则带宽管理规则维护如图“带宽管理规则维护“图中的规则表示,此条规则名称是bandwidth3,规则表示防火墙会对符合规则定义的数据包进行带宽限制,数据包是从源地址10.50.10.0/255.255.255.0到目的地址d1(在“资源定义地址地址列表”中定义的地址)并且使用ftp_data服务(在“资源定义服务预定义服务”中定义的)并且从接口fe1(在“网络配置网络设备”中定义)流出的数据包,带宽管理的限制程度在上图中“带宽限制”指定为b2(b2在“资源定义带宽列表”中定义
5、)。添加和编辑时参数说明:域名说明规则名带宽管理规则的名字序号输入新增策略规则的序号。防火墙按规则序号顺序从小到大的顺序匹配规则并执行。序号为数字。若该数字与已定义的规则序号有重复,则防火墙会自动将原策略规则以及序号排在其后的所有规则自动后移一个数字,将新增策略规则的序号设为输入的序号。若不修改界面中序号,即为添加到最后。如果序号大于已有规则总数加1,即为添加到最后。源地址可选内容包括:“资源定义地址地址列表”和“资源定义地址地址组”中定义的所有资源,及”自定义”。当选择“自定义”,则下方的“IP地址”和“掩码”变为可输入状态,可直接在此指定IP和掩码。默认值IP为0.0.0.0,默认掩码为0
6、.0.0.0,以此来表示任意地址。目的地址形式同源地址源端口源端口可以用英文逗号分割表示多个端口,或用英文冒号分割表示端口段。两种分割方式不能同时使用。如果资源定义中定义的服务资源也包含了源端口,则以此处规则定义的源端口为准。流入网口限制网络数据包的流入网口,可以防止IP欺骗。可选内容包括:any和所有已激活的网口。 默认值为any,表示不限制接收网口。如果工作在透明模式,必须选择相应的物理网口如fe1如果不能确定流入网口或工作在混合模式,建议选择any时间调度生效的安全规则在指定的时间段内为生效状态,在其它时间段为失效状态,可选内容包括:“资源时间时间列表”和“资源时间时间组”中定义的所有资
7、源。服务可选内容包括:any,在“资源定义服务服务列表”中配置的基本服务、ICMP服务、动态服务,以及“资源定义服务服务组”。默认值为any,表示源端口任意、目的端口任意、协议任意。P2P过滤对满足条件的数据包进行BT过滤,Emule和Edonkey过滤带宽组资源从资源定义带宽列表带宽资源组中选取,匹配上述条件的数据流受带宽资源的限制。备注规则注释在同一个网络接口上定义并且启用的带宽规则的保证带宽之和不能超过该接口的最大带宽,超过了就不能继续添加。重要解释资源定义中带宽列表各项的逻辑关系图 设备上设置的数值,是设备可以控制的最大带宽,是带宽资源控制树的根。 非共享带宽是树的一级根,非共享带宽的
8、带宽和不能超过设备设置的最大带宽,而且非共享带宽的兄弟之间不能共享带宽。 共享带宽是带宽资源控制树的叶子,共享带宽设置保证带宽和最大带宽,共享带宽资源兄弟之间可以共享带宽资源。举个例子,设备A口实际带宽为100Mbps,下面一个非共享带宽A1的最大带宽设置为20Mbps。非共享带宽A1下面的共享带宽资源A1-1的保证带宽设置为10Mbps,最大带宽设置为20Mbps;而共享带宽资源A1-2的保证带宽设置为5Mbps,最大带宽设置为20Mbps。当共享带宽资源A1-1实际利用的带宽很少的时候,比如仅为3Mbps时,共享带宽资源A1-2所需的实际带宽很大的时候,超出保证带宽10Mbps,由于A1-
9、1的保证带宽没有完全用完,此时A1-2可以借用A1-1的带宽,实际带宽最高可以达到17Mbps。小结一下,如果其共享带宽资源A1-1的保证带宽没有用完时,可以被其它共享带宽资源借用,此为共享带宽的概念之一。如果共享带宽资源A1所包含连接的数据包相应出口的连接流量上来时,比如流量达到10Mbps时;此时首先要保证共享带宽资源A1-1和A1-2的保证带宽,然后再共享在保证带宽之外的剩余的带宽(20-10-5=5)。所以共享带宽资源A1-1的流量为10Mbps时,共享带宽资源A1-2的流量应该降至10M,即A1-2在其保证带宽5Mbps基础上,还使用了保证带宽之外的剩余的带宽5Mbps。如果共享带宽
10、资源A1-1、A1-2的流量均超出对应的保证带宽,即A1-1超出10Mbps,A1-2超出5Mbps。首先均保证两者的保证带宽,然后A1-1和A1-2根据优先级共享和分配在保证带宽之外的剩余的带宽5Mbps。这部分带宽就在A1-1和A1-2之间互相借用及共享,即共享带宽的概念概念之二。 带宽资源组里包含不同设备的共享带宽定义,被规则引用资源组时,匹配规则的流量在设备A为出口时,引用A设备的带宽控制定义,匹配规则的流量在设备B为出口时,引用B设备的带宽控制定义。 最终需在带宽管理规则中引用。注意事项 下规则填写源、目的IP时注意方向性。注意源、目的IP填写的应该基于连接的建立方向进行填写。即决定
11、对哪些连接的数据包(包括回包)进行匹配控制。此处不针对流量的方向进行匹配,(如果填入了源、目的IP,则是针对连接的方向进行匹配),只匹配那些特定连接的数据包。源、目的地址为A-B时,其实是指A-B的连接的所有数据包(包括回包)。 只对规则生效后新建的连接起作用,对规则生效前建立的连接无效。测试时应先下好规则后,然后对所要测试的服务需进行测试。 带宽管理是针对新建立的连接来做限制,对于已经建立的连接不能限制。如:某PC机已经穿过防火墙,开始通过某服务传输数据,然后防火墙再下规则去禁止传输或者是对其做流量控制,那是不可行的。必须等待连接超时或者手动清除已经建立的连接后(可以在防火墙后台使用file
12、terconfig state remove清除所有连接),新下的禁止和带宽管理的规则才会生效 针对出口流量进行带宽控制,必须需要在出口的设备上启用带宽控制。即在带宽管理规则中带宽组资源应该引用流量的出口的相对应的那个物理接口,而不是连接的建立方向的物理接口。即对匹配规则的数据包(包括回包)进行相应方向的流量限制。 对于p2p的带宽管理,如果要对某类型p2p流量进行过滤则是在相应的p2p过滤中选择bt过滤还是emule,edonkey过滤。注意带宽管理规则中所谓的某类p2p过滤指的是对该类p2p流量进行带宽管理。有关对bt等p2p做带宽限制的注意事项,如果同时选择了服务,只有那些可能是BT连接
13、的服务,比如tcp_any才可能进行BT过滤,而ftp这样不可能是BT的服务则不会进行BT过滤。如果服务类型不包括BT/eMule时,同时又选择了p2p过滤,该规则不仅对BT/eMule不生效,对所选的服务也不会生效。如图,该带宽管理规则配置不当案例拓扑配置防火墙带宽管理功能,可控制PC1访问外网的带宽大小,此拓扑以PC2来标识外网PC 配置1 按照拓扑配置好IP地址,PC1和PC2网关分别都指向防火墙。此图采用混合模式,内网口Fe4属于桥Brg0。防火墙配置允许PC1访问PC2的包过滤规则。在未启用带宽管理前,PC1从PC2ftp下载一个文件,观察速度可达到几十M。以下为启用带宽管理的步骤2
14、 此拓扑中,Fe4是透明模式,它捆绑在桥Brg0上,桥IP是192.168.0.1。注意:带宽管理只能在相应的物理设备上启用,不能在桥设备上启用。 并且带宽管理对各接口流量的限制是针对各接口的出口进行限制。故若要限制PC1访问外网的下行带宽(注意是下行带宽),即拓扑中PC1访问PC2的ftp下载,需在Fe4口上启用带宽管理并使用带宽管理规则进行限制。 下图是在Fe4口启用带宽管理 需先自动检测一下该网口的带宽,然后点击开启带宽管理,然后确认。3 接着在资源定义带宽列表中定义比如要求PC1的下载带宽不超过500Kbpsa 首先定义非共享带宽列表 非共享带宽在Fe4口不妨设置为1000Kbps b 共享带宽为非共享带宽一子带宽,最大带宽设定为500Kbps。如果需保证此连接即ftp服务的带宽需要大于300Kbps,可以在保证带宽中将保证带宽设置为300Kbps。此处对保证带宽没要求为多少,不妨设置成一样也为500Kbps。c 把上述设定的共享带宽,绑定到带宽资源组中。附注:有时在多个接口上启用带宽管理,并可以在一个带宽组中组合;而现在这个带宽组只绑定了一个接口4 带宽管理规则的配置注意:这是对匹配图示规则的数据包都做带宽限制 我们前面的要求是要只对PC1的ftp下载做带宽限制,此条规则的源、目的地址匹配是基于连接的,由于ftp下
