防火墙的带宽管理
核心思想
- 带宽限制---限制非关键流量占用带宽的比列
- 带宽保证---这里需要保证我们关键业务的流量,在业务繁忙时,确保关键业务不受影响。
- 连接数的限制---这也是一种限制手段,可以针对一些业务限制它们连接数量,首先可以降低该业务占用带宽,其次可以节省设备的会话资源;
三种核心手段
- 接口带宽---接口带宽调节的意义在于,如果本端按照较大的传输速率来传输数据,对端接受能力有限,不但起不到增加传输速率的效果,反而可能大量的数据包堵在链路中,所以可以调控出接口的带宽。
带宽策略
带宽策略就是针对抓取到的流量执行两种动作:
-
- 不限流
(2)限流—限流就是将流量引入带宽通道中。
注意:默认存在有一条针对所有流量不做限流策略。
- 带宽通道---可以理解是贷款策略中执行限流动作之后的具体实施,也可以理解是在真实的物理带宽中,开辟了一些虚拟的流量通道,通过将流量引入这些虚拟的带宽通道中中,来限制或者保证业务贷款。
传统的带宽限制手段—数据丢包,这样可能造成数据包需要重传,造成冗余数据包的拥挤,所以类似深信服这样的厂商推行的是缓行不丢包,即超出限制的数据包缓存之后发送,而不是直接丢弃数据包。
在带宽通道中。主要完成两件事,第一件是针对超出限制的数据包进行丢包,第二件是可以针对数据包打上优先级标签,方便数据包到出接口之后。进行队列调度—根据优先级高低进行传输数据包。
应用场景
企业在ISP处购买了100M宽带,在办公环境中,e-mail,erp等流量可以被认定为关键业
务流量;而P2P,在线视频类型的流量可以被认定为非关键业务流量;由于P2P,在线
视频等十分消耗带宽,导致该企业有限的带宽资源常年被此类流量占用,而E-mail,
ERP等关键业务流量无法保证,经常出现邮件发不出去,页面无法打开等情况,严重影
响了企业的正常工作;
企业为了改善以上情况,希望通过FW实现带宽管理的功能,实现以下需求:
1,为了不影响正常业务,在任何时间段内限制P2P,在线视频等最大带宽不超过30M,
为了更换好的对这些流量进行管控,限制他们的链接数不超过1000;
2,为了email,erp等应用在正常工作时间内不受影响,此类流量可以获得的最小带宽
不小于60M
策略独占---每个带宽策略调用这个通道,都按照通道中的设定执行。
策略共享----所有贷款策略都调用这个通道,都按照通道中的设定执行。
场景二:办公区用户通过NAT访问互联网,外网用户可以通过公网地址访问内网服务器,导致
在用网的高峰期,由于上网用户过多,占用带宽比较大,经常导致访问外部web服务器时出现
网页打不开的情况,用网体验下降
(备注:上行流量指的是匹配上我们策略的流量,下行流量指的是和策略相反方向的流
量)
需求:
1,从电信购买100M带宽,在上网高峰期时(15:00 - 18:00)上网用户的下行流量不超过60M,外网用户的下行流量不超过40M
2,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
3,假设办公区上网用户30人,那我们总的下行带宽60M,则每个用户访问互联网的最
大下行带宽为2M
如果开启了动态均分,则根据在线用户或则IP数量来分配总流量。
场景三:
父子策略 --- 父策略下面可以添加子策略,父策略匹配后,将继续匹配子策略,直到匹
配到最后一级子策略 ---- 比较适合应用在需要进行层次化管理的场景。
