防火墙的带宽管理
核心思想
1,带宽限制 --- 限制非关键业务流量占用带宽的比例
2,带宽保证 --- 这里需要保证的是我们关键业务流量;再业务繁忙时,确保关键业务不受影
响;
3,连接数的限制 --- 这也是一种限制手段,可以针对一些业务限制他们的链接数量,首先可
以降低该业务占用带宽,其次,可以节省设备的会话资源;
三种核心手段
1,接口带宽 --- 接口带宽调控的意义在于,如果本端按照较大的传输速率发送数据,对端接
受能力有限,不但起不到增加传输速率的效果,反而可能导致大量的数据包堵塞在链路中,所
以,可以区调控出接口的带宽。
2,带宽策略
带宽策略就是针对抓取到的流量执行两种动作
1,不限流
2,限流 --- 限流实质是将流量引入带宽通道中。
默认存在一条针对所有流量不做限流的策略,
3,带宽通道 --- 可以理解为是带宽策略中执行限流动作后的具体实施,也可以理解为是在真
实的物理带宽中,开辟了一些虚拟的流量通道,通过将流量引入这些虚拟的带宽通道中,来限
制或者保证业务的带宽。
传统的带宽限制手段 --- 数据丢包,这样可能导致数据包需要重传,造成冗余数据包的拥挤;
所以,类似深信服这样的厂商推行的是缓存不丢包,即将超出限制的数据包缓存之后发送,而
不是直接丢弃数据包。
在带宽通道中,主要完成两件事情,第一件是针对超出限制的数据包进行丢包,第二件是可以
针对数据包打上优先级的标签,方便数据包到出接口之后,进行队列调度 --- 根据 优先级高
低发送数据包
应用场景
企业在ISP处购买了100M宽带,在办公环境中,e-mail,erp等流量可以被认定为关键业
务流量;而P2P,在线视频类型的流量可以被认定为非关键业务流量;由于P2P,在线
视频等十分消耗带宽,导致该企业有限的带宽资源常年被此类流量占用,而E-mail,
ERP等关键业务流量无法保证,经常出现邮件发不出去,页面无法打开等情况,严重影
响了企业的正常工作;
企业为了改善以上情况,希望通过FW实现带宽管理的功能,实现以下需求:
1,为了不影响正常业务,在任何时间段内限制P2P,在线视频等最大带宽不超过30M,
为了更换好的对这些流量进行管控,限制他们的链接数不超过1000;
2,为了email,erp等应用在正常工作时间内不受影响,此类流量可以获得的最小带宽
不小于60M;
场景二:办公区用户通过NAT访问互联网,外网用户可以通过公网地址访问内网服务器,导致
在用网的高峰期,由于上网用户过多,占用带宽比较大,经常导致访问外部web服务器时出现
网页打不开的情况,用网体验下降
(备注:上行流量指的是匹配上我们策略的流量,下行流量指的是和策略相反方向的流
量)
需求:
1,从电信购买100M带宽,在上网高峰期时(15:00 - 18:00)上网用户的下行流量
不超过60M,外网用户的下行流量不超过40M
2,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
3,假设办公区上网用户30人,那我们总的下行带宽60M,则每个用户访问互联网的最
大下行带宽为2M
