目录
一、组网需求
某单位针对内网不同使用者进行流量管理。出口带宽是有限的20兆
领导: 192.168.1.10不做任何限制
员工: 192.168.1.50-100总带宽不超过15Mbps,每个人的流量不超过1Mbps。
Ip电话,视频:192.168.1.20,3M带宽,保证视频流畅
二、组网拓扑
三、配置要点
1、接口,路由基本上网配置
2、针对需要限制的用户地址段,定义相应的地址对象
3、定义流量整形器
4、配置策略,启用流量控制功能
说明:如需要分别对”上传“、”下载“进行流控,则需要启用”反向控制“;反向流向控制:为下载方向的流控控制。启用该功能后,上行和下行流量独立控制
四、配置步骤
1、接口、路由基本上网配置
配置详细过程请参照 “防火墙功能--单线上网--静态地址线路上网“一节
接口ip配置如下:
2、针对需要限制的用户地址段,定义相应的地址对象
定义三个地址对象:
manager: 192.168.1.10
sip: 192.168.1.20
staff:192.168.1.50-100
菜单: 防火墙--地址--地址页面,点击”新建“
1)定义领导ip地址,名称为"manager",ip地址为192.168.1.10
2)定义sip的ip地址,名称为"sip",ip地址为192.168.1.20
3)定义员工ip地址,名称为"staff",ip地址为192.168.1.50-100
2、定义流量整形器
进入菜单:防火墙--流量整形器--共享的,点击"新建"按钮
1)创建15M共享流量整形器
名字:自定义,用于标识。
应用控制: 设置该流控脚本如何被策略应用
每条策略: 每个使用该整形器的策略独立进行流控。比如有10条策略引用了15M的流控脚本,那么每条策略均可以使用15M的带宽。
所有使用这个流量控制的策略:所有使用该脚本的策略共同进行流控。比如有10条策略引用了15M的流控脚本,那么所有策略内的用户共同使用这15M的带宽,
即这10条策略流量加起来不会超过15M
流量优先级:
防火墙接口上定义了6个FIFO队列,0-5,0为最高优先级,5为最低。
0 队列用于防火墙的管理,vpn协商等,所有由防火墙发起,或者到达防火墙的流量会自动被放入队列0中,最优先被转发。
对于防火墙转发的在策略中使用traffic shaper功能的流量,其优先级可以分为高、中、低三个级别,级别高的流量会优先被防火墙转发。分别对应于转发队列的1,2,3,即:
高(队列1)、中(队列2)、低(队列3)
可以根据业务类型进行分类,将VOIP等业务设置为高优先级,http, pop3,sntp,OA系统等配置为中优先级,其他的业务放入低优先级。
如果策略中未指定任何级别的优先级,则默认被放入高优先级。
最大带宽:
该策略所能达到的最大带宽,单位kbps。当流量超过该闸值的时候,超过流量的数据包会被丢弃。配置为0 ,则意味着最大带宽不受限制。
保证带宽:
该策略能够得到的保证带宽。当流量低于该值的时候,数据包会被放入到队列0 中,也就是获得最优先的转发,保证该业务占用的最少带宽数量。不建议对非关键业务配置该参数。
当策略占用带宽介于最大带宽和保证带宽之间的时候,则按照策略内定义的优先级进行转发。
DSCP:是否使用DSCP差分服务代码点,其用于整个网络中配置端点到端点的QOS服务。
2)为语音视频创建3M的流量整形器
3)创建1M 每IP流量整形器
进入菜单:防火墙--流量整形--Per-IP
名字: 自定义
最大带宽:策略内的每个ip所能够使用的最大带宽,为上行和下行流量总和。1000,单位Kbps
最大并发连接数: 匹配该策略的每个用户所能够发起的最大连接数。超过该连接数后,用户无法建立新的连接。根据需要配置。
正向DSCP:是否使用DSCP差分服务代码点,用于整个网络中配置端点到端点的QOS服务
反向DSCP:是否使用DSCP差分服务代码点,用于整个网络中配置端点到端点的QOS服务
3、配置策略,启用流量控制功能
1)添加领导策略,不做任何限制
2)添加SIP策略,引用流量整形策略
3)员工上网策略
说明:反向流向控制:为下载方向的流控控制。启用该功能后,上行和下行流量独立控制,上先行速率各15M,关闭该功能,上下行速率之和和15M。
五、配置验证
可以使用FTP下载观察速率。
如果启用的per-ip的会话限制,超过的会话,限制后无法继续使用网络。
未开启per-ip会话限制,网速为4M-6M
开启per-ip会话限制后,网速下降为1M左右
六、注意事项
问:perip不支持区分上行、下行分别限速?实际使用,会不会有问题?
答:不分上下行的,一般来说没什么问题。上诉案例即没有区分上下行实现;