SecPathACG带宽管理QoS典型配置

《SecPathACG带宽管理QoS典型配置》由会员分享，可在线阅读，更多相关《SecPathACG带宽管理QoS典型配置（15页珍藏版）》请在金锄头文库上搜索。

1、SecPathACG带宽管理+QoS典型配置应用环境拓扑用户需求用户由于内网迅雷下载、pplive在线视频应用过多，导致出口经常拥塞，经常出现访问外部网络延迟较大问题，不能正常浏览网站和收发邮件，对正常的工作产生了较大的影响。前期采用的方式是扩充出口带宽，出口从最初的10M扩大至100M后，仍然不能从根本上解决问题，因此，用户提出试用我司的SecPathIPS/ACG设备，同时，他提出了如下要求：1 .单个用户要进行一定的流量控制；2 .某些特定的应用：P2P/流媒体等应用要进行总体的限制3 .要保证HTTP的正常使用从用户的要求来讲，基本可以确定后期的配置思路：ACG带宽管理策略+QoS策略

2、同时使用，通过带宽管理制定“用户模式”的控制策略，对单IP进行一定数量的限制；同时，在QoS策略中，对整体的P2P和流媒体流量进行限制。经验介绍：1. 关于整体流量限速这块，建议网络中的10%流量给P2P和流媒体的应用；同时，考虑到1:4这两类业务的特殊性：下载流量较多，上传的较少，所以，可以将上下行流量按照来分配流量；2. 对于对未识别的流量，尽量控制到网络总出口的15%；3. 如果重点是考虑网络用户的体验，建议将HTTP流量进行足够的保障，建议使用40%；同时，还需要考虑的是DNS流量，这部分流量统一划分到了“网络管理”服务中；4. 带宽管理建议使用“用户模式”，对单个用户进行限速；正常应

3、用的话，800Kbps即可；5. 同时，在单个用户的带宽管理策略中，还应对P2P、流媒体和未知流量进行限制，限速的大小建议200kbps。综上所述，就这个组网来看，整个策略的配置就是：带宽管理：个人800Kbps带宽，并对P2P、流媒体和未知流量进行200Kbps的限速；Qos策略：整体带宽的通道是100M、其中“HTTP+网络管理”为40M、“P2P+流媒体”为上行2.5M下行10M、“TCP/UDP”为15M,剩下的“Default”为15M。组网模式1. SecPathIPS/ACG属于全透明部署方式设备，接入网络中的两个接口工作在一个网桥中，割接的话不会对现有网络运行有任何影响；2.

4、由于需要对网流进行识别和控制，所以，SecPathIPS/ACG选择串入的部署方式；3. 出于日志审计方面考虑，建议SecPathIPS/ACG部署在NAT设备内侧，以免流经IPS/ACG设备的数据流源地址发生改变。配置流程1. 准备相应的版本：建议到公司FTP中取当前最新软件的版本，为设备申请license,并升级IPS的特征库/ACG的协议库到最新版本；2. 登陆IPS/ACG的web管理界面，进行初始化配置：包括接口添加到安全域、基于安全域新建段；3. 为各项应用分别新建两个“应用带宽控制”限速动作组：200Kbps和800Kbps，并将200kbps分别与“P2P”、“流媒体”和“TC

5、P/UDP”服务绑定，以达到对每用户进行应用控制的目的；同时，将“Default”服务与800Kbps的动作绑定，限制每个用户的最大带宽；4. 配置QoS策略，将父通道上下行设置为100Mbps，子通道“HTTP+网络管理”40M，“P2P+流媒体”上行2.5M/下彳厅10M,“TCP/UDP”为15M,子通道中的“Default15M;5.将配置的策略下发到段上并激活;6.保存配置并退出。详细配置1.登陆IPS/ACG的web管理界面，进行初始化配置：包括接口添加到安全域、基于安全域新建段；在菜单“系统管理网络管理安全区域”下，点击“创建安全域”按钮，进入“创建安全区域”页面，将接口“Eth

6、0/3”添加到区域“LAN中”，将接口“Eth0/2”添加到区域“ WAN ”中。安全区域配置完成后，在菜单“系统管理按钮，为两个安全域新建一个段：网络管理 段配置”下，点击“新建段”i出卬取EU 一 V W*(Plim卜bee.定 |工*耍L EFJ KtaS.Jk3oiMa族2.将P2P、在线视频和TCP/UDP服务分别与相应的限速动作组进行绑定：（仅以200K与P2P服务绑定为例）在“带宽管理BWC管理应用带宽控制列表”菜单下，点击“增加带宽控制”按钮，配置一个200K的应用带宽速率。200K速率配置完成后，在“系统管理动作管理限速动作列表”菜单下，点击“添加限速动作”按钮，新建一个限速

7、动作，并引用此前配置完成的限速速率；动作组配置完成后，在“系统管理动作管理动作集列表”菜单下，点击“添加动作集”按钮，新建一个限速动作组，并引用此前配置完成的限速速率；名肿纪字罚武：:支占三个宇普fidt加打于芾TOitft乒谭jsifit*4iJT*1tf*aIlJII-MT1?Jk-BT-ffl*tflaWiftT*flWf加WtMK-理口口序制c#g4由a* .FtnrwKHalO理 F MWi LO1 , Fatt.柞 打 悭ft:佳SHMN 2 用yI印EI曲FllfctNdlr“口|、Hni*rarirjqTrsM里自皿党同作勺ilFjnnni ini:JCi 吊哂 ft/gFTa

8、z*如电. iff 1M 的上“ T-ffl O *SK曲it看理才事新建一个安全策略，工作模式选择“用户模式”，并将将策略中的P2P服务与200K的限速动作组进行绑定，达到对P2P应用限速的目的:同理，可以配置“流媒体”服务与200K的限速组绑定。3.为带宽管理策略新建一个“应用带宽控制”限速动作：800Kbps,并与整个安全策略绑定；整个过程与步骤2的操作完全相同，唯一不同的就是动作组创建好后，需要与Default服务向绑定：T不可马巾申工国三1手喝0rt4.将配置好的策略下发到段上并激活;完成限速的配置后，在“对象管理段管理段策略管理”菜单下，点击“新建段策略”按钮，将建好的策略下发到段

9、上。完成策略下发的配置后，“内部域例外IP”和“上下行（策略段）”列表中看到如下图红色区域的内容，通过点击“激活”按钮，将整个策略激活。WiridowbInternetEnplorer钟indu曾、InternetEpl你确定要进行诵活吗？系统激活成功?取消5 .完成带宽管理的配置后，接下来的工作就是完成QoS的配置。QoS功能是ACG产品新近增加的一个功能，旨在为用户更加细腻的控制策略，其核心思想就是通过定义QoS通道的方式，对相应的应用流量进行保障；QoS与带宽管理是相互独立的两个模块；从限速的方式来看，QoS的工作机制有点类似于带宽管理的“组模式”，所以，在实际开局中，QoS整体流量控制

10、+带宽管理的用户模式控制形成互补的局面，可以达到较好的限速效果，并同时保障用户的上网体验。6 .在菜单“QoS分层QoS”下，点击“新建通道”按钮，进入“新建通道”页面，创建一个名称为“Default”的QoS父通道：通道的服务选择为“Default”服务；7 .点击“确定”按钮后会弹出“修改QoS策略”对话框；点击“开启”前面的选项卡以激活整个QoS策略，然后在“上行带宽”和“下行带宽”的“保证”一栏中输入相应的出口带宽参数：这里录入的是总出口的100M带宽。PS：带宽借用不要使用。8 .点击已经创建好的“Default”QoS父通道的“新建子通道”按钮，以对各项应用的带宽进行分配。迪道名誉

11、P剧去型总列表时同表上町:审供破网a保证.性也尸03rooDoojiaptnalOoaDortoaDoo*9 .以保障“HTTP+网络管理”带宽为例；在“服务列表”选项中选择并增加“Internet和“网络管理”服务：10 .点击“确定”按钮后会弹出“修改QoS策略”对话框；点击“开启”前面的选项卡以激活整个QoS策略，然后在“上行带宽”和“下行带宽”的“保证”一栏中输入相应的出口带宽参数：这里录入的是对“HTTP+网络管理”保障的40M带宽。PS：带宽借用不要使用。痔电,上行时口邮10用才.下中殖 w -叫* |n到w用.工在二图硼K的号有国第T的嬴品说第1疗5f直番净片于霞I印“ K Jm

12、mt千igtNUmpfa户J k0源科曰口 .4 耳窗11.点击“确定”按钮后即可返回“分层QoS”菜单，系统会显示出当前所有的QoS配置通道：可以显示出刚才已经配置完成的40M “HTTP+网络管理” QoS子通道。12 .按照步骤8-11,完成“P2P+流媒体”、“TCP+UDP”的QoS父通道配置；完成后，QoS应该会有如下显示:第名生1D映表*表联ifjMCktWil优任，整俯TfjKCklJW；ftGEttfi-ftOefault11U吐ut期第悯1UULHJJ-JLWJ-i.uu.unu.uw6l，f10广盛回邑民展hikuN骷砒M40000(400004COOOMDOODZM+亦

13、必时QE2L即百町司?2600/26001CCCH/1DOOD8,沪(1Trn.np所型国1annor15000HdCWJI5叩丁13 .由于父通道Default策略定义的是所有的服务，这样，在子通道中，还需要增加一条策略，来匹配除了已经定义的服务之外的服务，这条策略匹配的服务集是“Default”服务。上任芾圮33 3J14 .这样就完成了QoS的所有配置；此时，“分层QoS”会显示如下配置信息:祖道S当UKIP3IS罩新网表hlkbTGCWjpsJ保渣,埠站屋征，道ftfl所三uraDy=0!,0)0；/100：001031X)011D03C0Zi*用耳Ottp-河一0陶女酎疽340D00j4C00O10DDOJ4QDOO/jt*Owp弗率0里耳刃P市爵信斫玄可闻5F3f妁ElODDOJIODOO*jB备hL：F/U匚0KE!EyfWQ315C-OOMSOOO1SOOOJ15DOQy/缺A流坛H