目录
一、带宽管理技术介绍
1.1 基本概念:
1.2 带宽管理原理介绍:
1.3 接口带宽原理:
1.4 带宽策略原理:
1.5 带宽通道原理
1.6 带宽复用
二、带宽管理实验
一、带宽管理技术介绍
1.1 基本概念:
带宽管理对通过自身的流量进行管理和控制:提供带宽保证。 提供带宽限制。 提供连接数限制功能。 总之,带宽管理主要作用是在有限的带宽条件下 ,
可以提高带宽利用率,保证关键业务正常运营。
带宽管理主要提供一下三个功能点:
1.2 带宽管理原理介绍:
NGFW通过带宽策略、带宽通道和接口带宽来实现带宽管理的功能,防火墙对数据流的带宽管理流程如图所示:
1.3 接口带宽原理:
接口带宽用于限制防火漆那个的接口在入方向和出方向上能够使用带宽资源。
1.4 带宽策略原理:
带宽策略决定了对网络中的哪些流量进行带宽管理,以及如何热进行带宽管理。
-
父子策略:
-
父子策略也称为父子规则,指的是一条带宽策略规则下还可以设置多条子规则。
-
对于多条同级策略,NGFW按照界面上的排列顺序从上到下依次匹配,只要匹配了一条策略的所有条件,则执行带宽通道的动作,不再继续匹配剩下的规则。
-
对于父子策略,流量先匹配父策略,再去匹配子策略,直到匹配到最后一级可以匹配到的子策略为止。
-
1.5 带宽通道原理
带宽通道:流量匹配了带宽策略后便进入带宽通道,带宽通道定义了具体的带宽策略,是进行带宽管理的基础
上下行处理:
带宽通道处理流程:
对每条流进行连接数限制(包含父子策略)
-
先进行父策略;
-
再进行子策略。
对每条流进行速率限制(包含父子策略)
-
先进行父策略;
-
再进行子策略。
重新标记优先级。
带宽保证:
-
最后在接口发送报文时,进行带宽保证处理,在有限的带宽条件下,优先保证优先级高的报文发送出去。
对于每条流进行连接数限制:
-
对每条流首先进行父策略(每IP/User)匹配,进行连接数限制。
-
对每条流进行父策略整体连接数限制。
-
父策略通过以后进行子策略处理。
-
对每条流首先进行子策略(每IP/User)匹配,进行连接数限制。
-
对每条流进行子策略整体连接数限制。
带宽保证:
-
首先根据报文所属通道的优先级入不同队列。
-
优先发送通道的保证速率。
-
如带宽有空余,再发送最大带宽队列。
举例:接口最大带宽设置为100Mbps,如果当时保证带宽80Mbps,剩余的 20Mbps,就由各个队列来随机抢占。优先发送保证带宽,保证发送完以后有空余的带宽,就发送剩余带宽。
1.6 带宽复用
带宽复用是带宽通道的重要特征,指的是多条流量进入同一个带宽通道后,带宽通道内带宽资源的动态分配方式。当带宽通道中某一条流量没有使用带宽资源时,该空闲的带宽资源可以借给其它流量使用;如果有流量需要使用带宽资源时,可以压缩其它流量的带宽,从而将带宽资源抢占回来。
带宽复用包括下面几种情况:
-
多条流量匹配到了同一个带宽策略,多条流量之间可以实现带宽复用。
-
多个带宽策略以策略共享的方式引用带宽通道,则匹配了带宽策略的多条流量之间可以实现带宽复用。
-
匹配了父子策略中的多个子策略的多条流量之间可以实现带宽复用。
二、带宽管理实验
实验拓扑:
1、为FW2的0/0/0和1/0/0配置接口ip
0/0/0:192.168.159.100/24
1/0/0:192.168.186.100/24
2、登录到FW中进行策略设置
将FW上的接口分别设置为trust和untrust区域
制定策略:
3、上传资源(用于查看下载速度)
找到clould的网卡为其添加网关,网关为防火墙接口ip
登录:
4、使用路由器尝试访问该资源:
这时候的下载速度大概是1% 一秒;
5、制定带宽管理策略
5.1新建带宽通道
5.2新建带宽策略
6、这时候再进行下载:
7、对比限流前后的下载资源速度: