防火墙带宽管理

原创于 2025-08-22 11:07:19 发布 · 788 阅读

13 ·

CC 4.0 BY-SA版权

文章标签：

#服务器 #网络 #运维

拓扑

配置

IP和接口配置

fw1

[fw]interface GigabitEthernet 0/0/0
[fw-GigabitEthernet0/0/0]service-manage all permit ---开启web服务
[fw]interface GigabitEthernet 1/0/0
[fw-GigabitEthernet1/0/0]ip address 12.0.0.1 24
[fw]interface GigabitEthernet 1/0/1
[fw-GigabitEthernet1/0/1]ip address 13.0.0.1 24
[fw]interface GigabitEthernet 1/0/3
[fw-GigabitEthernet1/0/3]ip address 10.1.1.254 24
[fw]interface GigabitEthernet 1/0/2.1
[fw-GigabitEthernet1/0/2.1]ip address 10.1.1.254 2
[fw-GigabitEthernet1/0/2.1]vlan-type dot1q 10
[fw-GigabitEthernet1/0/2.1]interface GigabitEthernet 1/0/2.2
[fw-GigabitEthernet1/0/2.2]ip address 192.168.2.254 24
[fw-GigabitEthernet1/0/2.2]vlan-type dot1q 20
[fw-GigabitEthernet1/0/2.2]interface GigabitEthernet 1/0/2.3
[fw-GigabitEthernet1/0/2.3]ip address 192.168.3.254 24
[fw-GigabitEthernet1/0/2.3]vlan-type dot1q 30
[fw-GigabitEthernet1/0/2.3]interface GigabitEthernet 1/0/2.4
[fw-GigabitEthernet1/0/2.4]ip address 192.168.4.254 24
[fw-GigabitEthernet1/0/2.4]vlan-type dot1q 40

防火墙区域划分

[fw]firewall zone trust
[fw-zone-trust]add interface GigabitEthernet 1/0/2.1
[fw-zone-trust]add interface GigabitEthernet 1/0/2.2
[fw-zone-trust]add interface GigabitEthernet 1/0/2.3
[fw-zone-trust]add interface GigabitEthernet 1/0/2.4
[fw]firewall zone dmz
[fw-zone-dmz]add interface GigabitEthernet 1/0/3
[fw]firewall zone untrust
[fw-zone-untrust]add interface GigabitEthernet 1/0/1
[fw-zone-untrust]add interface GigabitEthernet 1/0/0

电信

[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 12.0.0.2 24

联通

[liantong]interface GigabitEthernet 0/0/0
[liantong-GigabitEthernet0/0/0]ip address 13.0.0.3 24

sw1

[sw1]vlan batch 10 20 30 40
[sw1-GigabitEthernet0/0/1]port link-type trunk
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[sw1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 10
[sw1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw1-GigabitEthernet0/0/3]port link-type access
[sw1-GigabitEthernet0/0/3]port default vlan 20
[sw1-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4
[sw1-GigabitEthernet0/0/4]port link-type access
[sw1-GigabitEthernet0/0/4]port default vlan 30
[sw1-GigabitEthernet0/0/4]interface GigabitEthernet 0/0/5
[sw1-GigabitEthernet0/0/5]port link-type access
[sw1-GigabitEthernet0/0/5]port default vlan 40

需求一
企业组织架构中存在部门A，部门A中存在销售组1和研发组2

销售部门--->业务Email、ERP服务

可以对部门A中的销售组进行带宽资源细分，保证销售员工的业务服务流量正常转发：

1、部门A的下行最大带宽不超过60M

2、部门A中的销售组下行最大带宽不超过30M

3、部门A中的销售组的Email、ERP业务下行最小带宽不低于20M

分析：需求之间存在父子关系

1:A部门带宽通道---最大60M

2:部门A销售组带宽通道最大30M

3:部门A销售组Email业务带宽通道---最小20M

[fw]traffic-policy
[fw-policy-traffic-profile-01]bandwidth maximum-bandwidth whole downstream 60000
[fw-policy-traffic-profile-01]q
[fw-policy-traffic]rule name 01
[fw-policy-traffic-rule-01]source-zone trust
[fw-policy-traffic-rule-01]destination-zone untrust
[fw-policy-traffic-rule-01]source-address 192.168.1.0 24
[fw-policy-traffic-rule-01]source-address 192.168.2.0 24
[fw-policy-traffic-rule-01]action qos profile 01

部门A销售组带宽通道最大30M

测试

用client1去ping电信看是否有流量

需求二

给部门A和部门B划分可使用的带宽资源。要避免P2P业务占据较多的带宽，还需要限制部门A和部门B使用 P2P业务的带宽总和。

1、部门A下行最大带宽60M

2、部门B下行最大带宽40M

3、部门A和部门B的P2P业务下行最大带宽不超过80M

4、P2P流量需要计算到各自部门的总流量中

部门B下行最大带宽40M

限流方式

给部门a写p2p策略，绑定带宽通道05-p2p

给部门b写p2p策略，绑定带宽通道05-p2p

需求三
在不影响正常用户上网和web服务器正常提供对外服务的情况下，实现以下功能

1、将从ISP购买的100M带宽进行划分

上网高峰期（工作日下午3点-6点），上网用户下行带宽60M(U-T)，外用用户下行带宽40M(D-U)

2、2台Web服务器，限制每一台Web服务器对外提供的最大下行带宽不超过20M

3、假设，总共30个上网用户，在上网高峰期，限制每个用户访问Internet的最大下行带宽不超过2M

最上方命令选择策略，左方命令选择带宽管理下的带宽通道，在最上方命令的下下方选择新建，按要求新建06带宽通道，填写内容下行带宽带宽通保证通道60M，在限流对象选择每ip，下行带宽最大2mb

最上方命令选择策略，左方命令选择带宽管理下的带宽策略，在最上方命令的下下方选择新建，按要求新建07带宽策略，填写内容

将第7条策略移动到所以策略前面

需求四

部门A的上网用户数量不固定，为了让用户公平的使用带宽，根据实际在线上网用户数量，平均分配带宽

1、部门A的下行最大带宽60M

2、根据实时的上网用户数量，对部门A的60M带宽资源进行均分

需求五

电信购买带宽100M

在最上面选择网络，左边选择接口，找到接口1/0/0编辑，在最下面的接口带宽中入方向带宽和出方向带宽填写

联通购买带宽50M

在最上面选择网络，左边选择接口，找到接口1/0/1编辑，在最下面的接口带宽中入方向带宽和出方向带宽填写

在最上面选择策略，左边选择带宽管理下的接口带宽，想让哪条通道的流量在拥塞状态下优先转发，就进入哪条通道，在通道最下面的高级设置里面有重点标记DSCP优先级，可在里面选择转发的顺序

需求六
运营商--->流量套餐--->对中小企业500G/月，超出部分，额外计费，1G/100元。

限额--->每一个员工规定上网时长

1、员工40人，10名管理人员+30名员工

高管-->20G/月

员工-->10G/月

2、员工--->4h/日，流量500M/日

3、超额后限制

员工--->禁止上网

高管--->超过配额后最大带宽限定为800K

先创建两个个用户组，高管和员工

在最上面选择对象，在最左边选择用户，用户下面的default，左边选择新建接口填写内容

[FW]quota-policy
[FW-policy-quota]profile niuma
[FW-policy-quota-profile-niuma]stream-daily 500
[FW-policy-quota-profile-niuma]stream-monthly 10240
[FW-policy-quota-profile-niuma]time-daily 240
[FW-policy-quota-profile-niuma]limit-bandwidth 0
[FW-policy-quota]rule name niuma
[FW-policy-quota-rule-niuma]user user-group /default/niuma
[FW-policy-quota-rule-niuma]action quota profile niuma