【无标题】

拓扑：

IP和接口配置:
fw1

[fw]interface GigabitEthernet 0/0/0    
[fw-GigabitEthernet0/0/0]service-manage all permit   ---开启web服务

[fw]interface GigabitEthernet 1/0/0
[fw-GigabitEthernet1/0/0]ip address 12.0.0.1 24

[fw]interface GigabitEthernet 1/0/1
[fw-GigabitEthernet1/0/1]ip address 13.0.0.1 24

[fw]interface GigabitEthernet 1/0/3
[fw-GigabitEthernet1/0/3]ip address 10.1.1.254 24

[fw]interface GigabitEthernet 1/0/2.1
[fw-GigabitEthernet1/0/2.1]ip address 10.1.1.254 2
[fw-GigabitEthernet1/0/2.1]vlan-type dot1q 10

[fw-GigabitEthernet1/0/2.1]interface GigabitEthernet 1/0/2.2
[fw-GigabitEthernet1/0/2.2]ip address 192.168.2.254 24
[fw-GigabitEthernet1/0/2.2]vlan-type dot1q 20

[fw-GigabitEthernet1/0/2.2]interface GigabitEthernet 1/0/2.3
[fw-GigabitEthernet1/0/2.3]ip address 192.168.3.254 24
[fw-GigabitEthernet1/0/2.3]vlan-type dot1q 30

[fw-GigabitEthernet1/0/2.3]interface GigabitEthernet 1/0/2.4
[fw-GigabitEthernet1/0/2.4]ip address 192.168.4.254 24
[fw-GigabitEthernet1/0/2.4]vlan-type dot1q 40

防火墙区域划分
[fw]firewall zone trust 
[fw-zone-trust]add interface GigabitEthernet 1/0/2.1
[fw-zone-trust]add interface GigabitEthernet 1/0/2.2
[fw-zone-trust]add interface GigabitEthernet 1/0/2.3
[fw-zone-trust]add interface GigabitEthernet 1/0/2.4

[fw]firewall zone dmz 
[fw-zone-dmz]add interface GigabitEthernet 1/0/3

[fw]firewall zone untrust 
[fw-zone-untrust]add interface GigabitEthernet 1/0/1
[fw-zone-untrust]add interface GigabitEthernet 1/0/0

 电信

[Huawei]interface GigabitEthernet 0/0/0    
[Huawei-GigabitEthernet0/0/0]ip address 12.0.0.2 24

联通

[liantong]interface GigabitEthernet 0/0/0    
[liantong-GigabitEthernet0/0/0]ip address 13.0.0.3 24

sw1

[sw1]vlan batch 10 20 30 40

[sw1-GigabitEthernet0/0/1]port link-type trunk 
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40

[sw1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[sw1-GigabitEthernet0/0/2]port link-type access 
[sw1-GigabitEthernet0/0/2]port default vlan 10

[sw1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw1-GigabitEthernet0/0/3]port link-type access
[sw1-GigabitEthernet0/0/3]port default vlan 20

[sw1-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4
[sw1-GigabitEthernet0/0/4]port link-type access
[sw1-GigabitEthernet0/0/4]port default vlan 30

[sw1-GigabitEthernet0/0/4]interface GigabitEthernet 0/0/5
[sw1-GigabitEthernet0/0/5]port link-type access
[sw1-GigabitEthernet0/0/5]port default vlan 40

需求一

企业组织架构中存在部门A，部门A中存在销售组1和研发组2 

销售部门--->业务Email、ERP服务 

可以对部门A中的销售组进行带宽资源细分，保证销售员工的业务服务流量正常转发： 

1、部门A的下行最大带宽不超过60M 

2、部门A中的销售组下行最大带宽不超过30M 

3、部门A中的销售组的Email、ERP业务下行最小带宽不低于20M 

分析：需求之间存在父子关系 

1:A部门带宽通道---最大60M 

    2:部门A销售组带宽通道最大30M 

        3:部门A销售组Email业务带宽通道---最小20M

fw:

1是2的父

2是3的父

[fw]traffic-policy   ---进入视图
[fw-policy-traffic-profile-01]bandwidth maximum-bandwidth whole downstream 60000   ---创建通道01，设定带宽，最大带宽，下行60M
[fw-policy-traffic-profile-01]q  ---退出

[fw-policy-traffic]rule name 01  ---创建策略01
[fw-policy-traffic-rule-01]source-zone trust  --源区域
[fw-policy-traffic-rule-01]destination-zone untrust  ---目的区域     
[fw-policy-traffic-rule-01]source-address 192.168.1.0 24 -源IP
[fw-policy-traffic-rule-01]source-address 192.168.2.0 24 -源IP
[fw-policy-traffic-rule-01]action qos profile 01  ---动作为限流，且调用带宽通道01

部门A销售组带宽通道最大30M

web界面：1，2

3:部门A销售组Email业务带宽通道---最小20M
web;3,4

[fw-policy-traffic-profile-03]display  this 
2025-03-01 15:38:29.070 
#
 profile 03
  bandwidth guaranteed-bandwidth whole downstream 20000
#----设置最小带宽20m
return
[fw-policy-traffic-profile-03]

[fw-policy-traffic-rule-03]display this 
2025-03-01 15:37:57.010 
#
 rule name 03 parent 02  ---设置03的父为02
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  application label Sends-Mail  ---设置应用--发送邮件
  application label Supports-IM ---即使通讯
  action qos profile 03
#
return
[fw-policy-traffic-rule-03]

安全策略：7

这里将默认改为允许方便测试

用client1去ping电信看是否有流量：5，6

需求二

给部门A和部门B划分可使用的带宽资源。要避免P2P业务占据较多的带宽，还需要限制部门A和部门B使用 P2P业务的带宽总和。 

1、部门A下行最大带宽60M 

2、部门B下行最大带宽40M 

3、部门A和部门B的P2P业务下行最大带宽不超过80M 

4、P2P流量需要计算到各自部门的总流量中 

fw

2、部门B下行最大带宽40M 
web:8,9

3、部门A和部门B的P2P业务下行最大带宽不超过80M 
4、P2P流量需要计算到各自部门的总流量中 
web:10,11,12

需求三
在不影响正常用户上网和web服务器正常提供对外服务的情况下，实现以下功能 

1、将从ISP购买的100M带宽进行划分 

上网高峰期（工作日下午3点-6点），上网用户下行带宽60M(U-T)，外用用户下行带宽40M(D-U) 

2、2台Web服务器，限制每一台Web服务器对外提供的最大下行带宽不超过20M 

3、假设，总共30个上网用户，在上网高峰期，限制每个用户访问Internet的最大下行带宽不超过2M

fw

上网高峰期（工作日下午3点-6点），上网用户下行带宽60M(U-T)， 3、假设，总共30个上网用户，在上网高峰期，限制每个用户访问Internet的最大下行带宽不超过2M
 
新建时间段：13

新建带宽通道：14

策略：15

外用用户下行带宽40M(D-U) 
2、2台Web服务器，限制每一台Web服务器对外提供的最大下行带宽不超过20M 
新建带宽通道：16

策略：17

然后我们发现07和前面的带宽策略冲突目的都是untrust，将07移至顶部，吧01-06的目的区域改为any

测试：
用client1去ping 10.1.1.1：（服务器）
：18，19

 ping 12.0.0.2 外网  ---这里为了方便测试将时间改为any
 ：20，21 

需求四
部门A的上网用户数量不固定，为了让用户公平的使用带宽，根据实际在线上网用户数量，平均分配带宽

1、部门A的下行最大带宽60M

2、根据实时的上网用户数量，对部门A的60M带宽资源进行均分

动态均分功能：在配置了整体最大带宽的前提下，FW根据在线IP/用户的个数和带宽使用率，动态的对每一个IP/用户能够使用的最大带宽进行平均分配。

每个IP/用户最大带宽 = MAX（带宽最小值，整体最大带宽/IP用户数平均分配系数）。*

平均分配系数---与带宽使用率存在反比关系 

0 ＜70% 

1 70-75 

2 75-80 

3

fw

平均分配:web
页面直接勾选动态均分
[fw-policy-traffic-profile-08]display this 
2025-03-03 12:37:44.330 
#
 profile 08
  bandwidth maximum-bandwidth whole downstream 60000
  bandwidth average per-ip manual multiplier 1 minimum 1000
                            方式    手动     系数：1   最小带宽：1m
：22，23

需求五
在对应的链路接口处配置
电信购买带宽100M 
：24

[fw-GigabitEthernet1/0/0]display this 
2025-03-03 12:48:25.800 
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 12.0.0.1 255.255.255.0
 bandwidth ingress 100000
 bandwidth egress 100000

联通购买带宽50M 
;25

优先级的修改 ：26

**需求六-配额策略**
运营商--->流量套餐--->对中小企业500G/月，超出部分，额外计费，1G/100元。 

限额--->每一个员工规定上网时长 

1、员工40人，10名管理人员+30名牛马 

高管-->20G/月 

牛马-->10G/月 

2、牛马--->4h/日，流量500M/日
    高管-->12/日

3、超额后限制 

牛马--->禁止上网 

高管--->超过配额后最大带宽限定为800K 

fw

新建用户组：27

[FW]quota-policy ---进入配额策略视图 

[FW-policy-quota]profile niuma ---创建配额通道 

[FW-policy-quota-profile-niuma]stream-daily 500 ---每日流量配额 500m

[FW-policy-quota-profile-niuma]stream-monthly 10240 --每月流量配额 10g/10240m

[FW-policy-quota-profile-niuma]time-daily 240 ---设定上网时长 4h/240min

[FW-policy-quota-profile-niuma]limit-bandwidth 0 ---超出配额后的限制带宽为0   

[FW-policy-quota]rule name niuma  ---策略

[FW-policy-quota-rule-niuma]user user-group /default/niuma ---策略应用用户组

[FW-policy-quota-rule-niuma]action quota profile niuma  ---调用niuma配额通道

:28

[fw-policy-quota]profile gaoguan
[fw-policy-quota-profile-gaoguan]stream-monthly 20480 
[fw-policy-quota-profile-gaoguan]limit-bandwidth 800

[fw-policy-quota]rule name gaoguan
[fw-policy-quota-rule-gaoguan]user user-group /default/gaoguan    
[fw-policy-quota-rule-gaoguan]action quota profile gaoguan

：29

需求七---流量整形和流量监管**

无法在web界面实现；

nat策略：30

安全策略：31