带宽管理指的是设备基于源地址、目的地址、源安全区域/入接口、目的安全区域/出接口、服务、用户和应用等信息,对通过自身的流量进行管理和控制,可以提供带宽保证、带宽限制和连接数限制功能,可以提高带宽利用率,避免带宽耗尽。帮助网络管理员合理分配带宽资源,从而提升网络运营质量。
带宽管理功能
• 带宽保证:保证网络中关键业务所需的带宽,当线路繁忙时,确保此类业务不受影响。
• 带宽限制:限制网络中非关键业务占用的带宽,避免此类业务消耗大量带宽资源,影响其它业务。
• 连接数限制:限制业务的连接数,有利于降低该业务占用的带宽,还可以节省设备的会话资源。
• 在企业日常办公环境中,Email、ERP等流量可以认为是关键业务流量;而P2P、在线视频等流量可以认为是非关键业务流量。管理员经常面临企业的有限带宽长时间被非关键业务流量占据,而关键业务的流量却无法得到保证,导致正常业务受到影响,引起投诉。
• 防火墙提供的整体最大带宽限制和整体带宽保证功能,可以有效限制企业非关键业务流量占用的带宽,而且可以针对关键业务的流量进行保证,确保可以在流量高峰时段正常转发。同时,通过最大连接数限制,也可以在P2P流量控制过程中起到辅助作用。
• 同时,企业内网员工通过经常源NAT方式访问互联网,同时企业内网服务器使用NAT Server方式对外提供访问服务。带宽管理功能,在源NAT或者服务器映射(NAT Server)场景下,可以配置每个员工能够使用的最大带宽资源或者每服务器对外可提供的最大带宽资源,从而实现细粒度的带宽管控。
• 通过共享带宽通道,对同一对象实施多维度带宽管理。
企业下划分部门A和部门B。现需要对部门A和部门B分别进行带宽管控。同时,由于该企业的P2P应用带宽较大,还需要对部门A和部门B共用的P2P应用带宽之和进行限制。防火墙提供的带宽管理功能,管理员可以通过配置共享型的带宽通道,既能让各个部门拥有独立的带宽策略,又能跨部门对P2P流量进行带宽限制,实现多维度的带宽管理。
• 动态均分方式,为每个用户平均分配带宽
管理员可以为所有员工配置整体最大带宽,再根据在线IP数或者用户数动态计算每用户可获得的最大带宽资源。
• 还有多级策略对部门及部门下制定员工和业务实施带宽管理。
带宽管理
带宽管理处理流程
在该处理流程中,各步骤的简单解释如下:
• 带宽通道:带宽通道定义了被管理的对象所能够使用的带宽资源,例如用户能使用的最大带宽及全网用户能建立的最大连接数等,将被带宽策略引用。
• 带宽策略:带宽策略定义了被管理的对象和动作,并引用带宽通道。例如源IP地址网段或时间段。
• 接口带宽:接口带宽定义了接口入方向和出方向的实际带宽,出方向上的流量发生拥塞时,启用队列调度机制。
• 带宽管理的整体处理流程如下:
• 流量匹配带宽策略,经过带宽策略的分流后,进入相应的带宽通道进行处理。带宽通道的处理包括:
o 丢弃超过了预先定义的最大带宽的流量。
o 限制业务的连接数。
o 标记流量的优先级,作为后续队列调度的依据。
• 受入接口带宽的限制,如果流量大于入接口带宽,将根据带宽通道中设置的转发优先级对流量进行队列调度,保证高优先级的报文被优先发送。
• 流量最终从出接口发送时,受出接口带宽的限制。如果流量大于出接口带宽,将根据转发优先级对流量进行队列调度,保证高优先级的报文被优先发送。
带宽通道的功能
• 在上面提到的最大带宽、保证带宽和连接数限制均支持上下行分别配置。在带宽通道中,上下行代表的含义跟带宽策略本身有关:流量传输方向与带宽策略同向时,定义为上行;与带宽策略反向时,定义为下行。换言之,流量命中带宽策略,定义为上行流量;将带宽策略中的源和目的互换进行反向查询,命中的流量定义为下行流量。
• 例如,如果需要限制trust到untrust的流量,可以有以下两种方式:
• 带宽策略的源区域为trust,目的区域为untrust,带宽通道中配置对上行带宽进行管控(与带宽策略同向)。
• 带宽策略的源区域为untrust,目的区域为trust,带宽通道中配置对下行带宽进行管控(与带宽策略反向)。
• 此外,除了上下行带宽独立控制这种细粒度的管控方式,防火墙还提供了基于上行和下行流量之和的带宽管控方式,大大增加了管理的灵活度。
• DSCP优先级重标记是指修改报文中DSCP(Differentiated Services Code Point)字段的值。DSCP字段也称为DSCP优先级,是网络设备进行流量分类的依据。位于报文传输路径上的各个网络设备,可以通过DSCP优先级来区分流量,进而对不同DSCP优先级的流量采取差异化的处理。
带宽策略规则
• 带宽策略决定了对网络中的哪些流量进行带宽管理,以及如何进行带宽管理。策略包括,出入接口/区域,源/目的地址,用户,应用,服务,时间,DSCP优先级等
动作指的是防火墙对报文采取的处理方式,包括:
• 限流:对符合条件的流量进行管理。当动作为限流时,还需在带宽策略中引用带宽通道,对流量的具体管理措施由该带宽通道决定。
• 不限流:对符合条件的流量不进行管理。
默认情况下,防火墙上存在一条缺省的带宽策略,所有匹配条件均为任意(any),动作为不限流。
多级策略
• 对于多条同级策略,防火墙按照界面上的排列顺序从上到下依次匹配,只要匹配了一条策略的所有条件,则执行带宽通道的动作,不再继续匹配剩下的规则。
• 在一条带宽策略下,可以继续配置多条带宽子策略。对于多级策略,流量先匹配父策略,再去匹配子策略,直到匹配到最后一级可以匹配到的子策略为止。在进行带宽限制时使用多级策略,与使用独立的带宽策略相比,可以达到更好的带宽复用效果。部门A中包括三个项目组:项目组1、项目组2和项目组3,使用父策略限制部门A的最大带宽,同时使用三条子策略限制三个项目组的最大带宽。
• 假设项目组3(子策略3)中只有1M的流量,项目组1(子策略1)和项目组2(子策略2)就可以复用部门A(父策略)中剩余的3M带宽资源。如果不使用多级策略,而使用三条引用了不同带宽通道的独立的带宽策略,这三条带宽策略之间无法共用带宽通道,三个项目组之间也就无法实现带宽资源的复用。
带宽复用
• 带宽复用是带宽通道的重要特征,指的是多条流量进入同一个带宽通道后,带宽通道内带宽资源的动态分配方式。当带宽通道中某一条流量没有使用带宽资源时,该空闲的带宽资源可以借给其它流量使用;如果有流量需要使用带宽资源时,可以压缩其它流量的带宽,从而将带宽资源抢占回来。
• 带宽复用包括下面几种情况:
• 多条流量匹配到了同一个带宽策略,多条流量之间可以实现带宽复用。
• 多个带宽策略以策略共享的方式引用带宽通道,则匹配了带宽策略的多条流量之间可以实现带宽复用。
• 匹配了父子策略中的多个子策略的多条流量之间可以实现带宽复用。
• 带宽通道被带宽策略引用后,整体最大带宽、整体保证带宽和整体最大连接数就会在带宽策略中起作用,其工作方式包括两种:
宽带独占:每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束,即符合该带宽策略匹配条件的流量,独享最大带宽资源。
宽带共享:所有引用带宽通道的带宽策略都共同受到该带宽通道的约束,即符合多条带宽策略匹配条件的流量,共享最大带宽资源。
接口带宽管理
• 防火墙作为大中型企业的出口网关时,企业向运营商申请的带宽资源一般都小于防火墙出接口的物理带宽。如果防火墙无法感知出接口上所能够使用的最大带宽资源,导致发出去的流量到达对端设备后产生拥塞,严重的话将会造成丢包。
• 通过配置接口出方向上的带宽限制功能,可以使出接口的实际带宽与运营商所提供的带宽资源相匹配。当流量超过接口可以使用的实际带宽时,防火墙可以感知拥塞,触发队列调度机制,优先转发关键业务的流量。此外,也可以配置接口入方向上的实际带宽,当防火墙接收其它设备发送的流量时,限制进入接口的流量。
