带宽管理配置

已于 2025-03-07 13:16:06 修改
阅读量408 收藏 6
点赞数 5
分类专栏: 安全 文章标签: 网络
于 2025-03-05 17:01:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/z_ar_d/article/details/146036873
版权

文章目录

实验topo

在这里插入图片描述

配置流程

1、带宽通道:整体带宽、每个用户带宽、连接数、优先级信息 
2、带宽策略 
3、策略+通道,引用 
4、配置接口出入带宽

前置条件

SW1划分vlan

[SW1]vlan b 10 20 30 40
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk 
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[SW1-GigabitEthernet0/0/1]int g 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access 
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]int g 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access 
[SW1-GigabitEthernet0/0/3]port default vlan 20
[SW1-GigabitEthernet0/0/3]int g 0/0/4
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-GigabitEthernet0/0/4]port default vlan 30
[SW1-GigabitEthernet0/0/4]int g 0/0/5
[SW1-GigabitEthernet0/0/5]port link-type access 
[SW1-GigabitEthernet0/0/5]port default vlan 40

IP配置

[DIAN]int g 0/0/0
[DIAN-GigabitEthernet0/0/0]ip address 12.0.0.2 24

[LIAN]int g 0/0/0
[LIAN-GigabitEthernet0/0/0]ip address 13.0.0.2 24

[FW]int g 1/0/0
[FW-GigabitEthernet1/0/0]ip address 12.0.0.1 24
[FW-GigabitEthernet1/0/0]int g 1/0/1
[FW-GigabitEthernet1/0/1]ip address 13.0.0.1 24
[FW-GigabitEthernet1/0/1]int g 1/0/2.10
[FW-GigabitEthernet1/0/2.10]ip address 192.168.1.254 24
[FW-GigabitEthernet1/0/2.10]interface GigabitEthernet 1/0/2.20
[FW-GigabitEthernet1/0/2.20]ip address 192.168.2.254 24
[FW-GigabitEthernet1/0/2.20]int g 1/0/2.30
[FW-GigabitEthernet1/0/2.30]ip add 192.168.3.254 24
[FW-GigabitEthernet1/0/2.30]int g 1/0/2.40
[FW-GigabitEthernet1/0/2.40]ip add 192.168.4.254 24
[FW-GigabitEthernet1/0/2.40]interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3]ip add 10.1.1.254 24

路由配置

[FW]ip route-static 0.0.0.0 0 12.0.0.2
[FW]ip route-static 0.0.0.0 0 13.0.0.2

区域划分

[FW]firewall zone untrust 
[FW-zone-untrust]add int g 1/0/0
[FW-zone-untrust]add int g 1/0/1
[FW]firewall zone trust 
[FW-zone-trust]add int g 1/0/2.10
[FW-zone-trust]add int g 1/0/2.20
[FW-zone-trust]add int g 1/0/2.30
[FW-zone-trust]add int g 1/0/2.40
[FW]firewall zone dmz
[FW-zone-dmz]add int g 1/0/3

nat配置

[FW]nat-policy 
[FW-policy-nat]rule name 01
[FW-policy-nat-rule-01]source-zone trust 	
[FW-policy-nat-rule-01]action source-nat easy-ip

需求一

企业组织架构中存在部门A,部门A中存在销售组1和研发组2
销售部门--->业务Email、ERP服务
可以对部门A中的销售组进行带宽资源细分,保证销售员工的业务服务流量正常转发:
1、部门A的下行最大带宽不超过60M
 2、部门A中的销售组下行最大带宽不超过30M
 3、部门A中的销售组的Email、ERP业务下行最小带宽不低于20M
分析:需求之间存在父子关系
A部门带宽通道---最大60M
部门A销售组带宽通道最大30M
部门A销售组Email业务带宽通道---最小20M

策略一

[FW]traffic-policy                  ---进入带宽策略配置视图
[FW-policy-traffic]profile 01 		---创建一个带宽通道
[FW-policy-traffic-profile-01]bandwidth maximum-bandwidth whole downstream 60000
---设定带宽

[FW-policy-traffic]rule name 01
[FW-policy-traffic-rule-01]source-zone trust
[FW-policy-traffic-rule-01]destination-zone untrust 
[FW-policy-traffic-rule-01]source-address 192.168.1.0 24
[FW-policy-traffic-rule-01]source-address 192.168.2.0 24
[FW-policy-traffic-rule-01]action qos profile 01   ---限流,调用带宽

策略二

销售

[FW-policy-traffic]profile 02
[FW-policy-traffic-profile-02]bandwidth maximum-bandwidth whole downstream 30000
[FW-policy-traffic-profile-02]q
[FW-policy-traffic]rule name 02 parent 01
[FW-policy-traffic-rule-02]source-zone trust 
[FW-policy-traffic-rule-02]destination-zone untrust
[FW-policy-traffic-rule-02]source-address 192.168.1.0 mask 255.255.255.0
[FW-policy-traffic-rule-02]action qos profile 02

策略三

[FW-policy-traffic] profile 03
[FW-policy-traffic-profile-03]  bandwidth guaranteed-bandwidth whole downstream 
20000
[FW-policy-traffic-profile-03]rule name 03 parent 02
[FW-policy-traffic-rule-03]description A_xiaoshou_email
[FW-policy-traffic-rule-03]source-zone trust
[FW-policy-traffic-rule-03]destination-zone untrust
[FW-policy-traffic-rule-03]source-address 192.168.1.0 mask 255.255.255.0
[FW-policy-traffic-rule-03]action qos profile 03

安全策略

[FW]security-policy
[FW-policy-security]rule name 01
[FW-policy-security-rule-01]source-zone trust
[FW-policy-security-rule-01]destination-zone untrust
[FW-policy-security-rule-01]source-address 192.168.1.0 mask 255.255.255.0
[FW-policy-security-rule-01]source-address 192.168.2.0 mask 255.255.255.0
[FW-policy-security-rule-01]action permit

总览

在这里插入图片描述

需求二

给部门A和部门B划分可使用的带宽资源。要避免P2P业务占据较多的带宽,还需要限制部门A和部门B使用
P2P业务的带宽总和。
1、部门A下行最大带宽60M
2、部门B下行最大带宽40M
3、部门A和部门B的P2P业务下行最大带宽不超过80M
4、P2P流量需要计算到各自部门的总流量中

限制P2P

[FW]traffic-policy
[FW-policy-traffic]profile 05_P2P
[FW-policy-traffic-profile-05_P2P]bandwidth reference-mode rule-shared
[FW-policy-traffic-profile-05_P2P]bandwidth maximum-bandwidth whole downstream 80000

[FW-policy-traffic]rule name 05 parent 01
[FW-policy-traffic-rule-05]description A_P2P
[FW-policy-traffic-rule-05]source-zone trust
[FW-policy-traffic-rule-05]destination-zone untrust
[FW-policy-traffic-rule-05]source-address 192.168.1.0 mask 255.255.255.0
[FW-policy-traffic-rule-05]source-address 192.168.2.0 mask 255.255.255.0
[FW-policy-traffic-rule-05]application app Oracle_MySQL
[FW-policy-traffic-rule-05]rule name 04
[FW-policy-traffic-rule-04]description B
[FW-policy-traffic-rule-04]source-zone trust
[FW-policy-traffic-rule-04]destination-zone untrust
[FW-policy-traffic-rule-04]source-address 192.168.3.0 mask 255.255.255.0
[FW-policy-traffic-rule-04]source-address 192.168.4.0 mask 255.255.255.0
[FW-policy-traffic-rule-04]action qos profile 04
 Error: The specified object 04 does not exist.
[FW-policy-traffic-rule-04]rule name 06 parent 04
[FW-policy-traffic-rule-06]description B_P2P
[FW-policy-traffic-rule-06]source-zone trust
[FW-policy-traffic-rule-06]destination-zone untrust
[FW-policy-traffic-rule-06]source-address 192.168.3.0 mask 255.255.255.0
[FW-policy-traffic-rule-06]source-address 192.168.4.0 mask 255.255.255.0
[FW-policy-traffic-rule-06]application app Oracle_MySQL
[FW-policy-traffic-rule-06]action qos profile 05_P2P

在这里插入图片描述
在这里插入图片描述

需求三

在不影响正常用户上网和web服务器正常提供对外服务的情况下,实现以下功能
1、将从ISP购买的100M带宽进行划分
上网高峰期(工作日下午3点-6点),上网用户下行带宽60M(U-T),外用用户下行带宽40M(D-U)
2、2台Web服务器,限制每一台Web服务器对外提供的最大下行带宽不超过20M
3、假设,总共30个上网用户,在上网高峰期,限制每个用户访问Internet的最大下行带宽不超过2M

[FW-policy-traffic]profile 06
[FW-policy-traffic-profile-06]bandwidth maximum-bandwidth whole downstream 60000
[FW-policy-traffic-profile-06]bandwidth maximum-bandwidth per-ip downstream 2000
[FW-policy-traffic-profile-06]rule name 07
[FW-policy-traffic-rule-07]source-zone trust
[FW-policy-traffic-rule-07]destination-zone untrust
[FW-policy-traffic-rule-07]source-address 192.168.0.0 mask 255.255.0.0
[FW-policy-traffic-rule-07]time-range time_01
[FW-policy-traffic-rule-07]action qos profile 06

在这里插入图片描述
在这里插入图片描述

[FW-policy-traffic]profile 07
[FW-policy-traffic-profile-07]bandwidth maximum-bandwidth whole downstream 40000
[FW-policy-traffic-profile-07]bandwidth maximum-bandwidth per-ip downstream 2000
0
[FW-policy-traffic-profile-07]rule name 08
[FW-policy-traffic-rule-08]source-zone untrust
[FW-policy-traffic-rule-08]destination-zone dmz
[FW-policy-traffic-rule-08]destination-address 10.1.1.0 mask 255.255.255.0
[FW-policy-traffic-rule-08]action qos profile 07

在这里插入图片描述

需求四

部门A的上网用户数量不固定,为了让用户公平的使用带宽,根据实际在线上网用户数量,平均分配带宽
1、部门A的下行最大带宽60M
2、根据实时的上网用户数量,对部门A的60M带宽资源进行均分

动态均分功能:在配置了整体最大带宽的前提下,FW根据在线IP/用户的个数和带宽使用率,动态的对每一个IP/用户能够使用的最大带宽进行平均分配。
计算方式:每个IP/用户最大带宽=MAX(带宽最小值,整体最大带宽/IP用户数*平均分配系数)

平均分配系数—与带宽使用率存在反比关系
0
<70%
1
2
3
4

[FW-policy-traffic]profile 08
[FW-policy-traffic-profile-08]  bandwidth maximum-bandwidth whole downstream 600
00
[FW-policy-traffic-profile-08]  bandwidth average per-ip manual multiplier 1 min
imum 1000
Mar  5 2025 08:34:05 FW DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3.
1 configurations have been changed. The current change number is 125, the change
 loop count is 0, and the maximum number of records is 4095.
[FW-policy-traffic-profile-08]  bandwidth average per-ip manual multiplier 1 min
imum 1000

在这里插入图片描述

[FW-policy-traffic]rule name 09
[FW-policy-traffic-rule-09]
Mar  5 2025 08:37:15 FW DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3.
1 configurations have been changed. The current change number is 127, the change
 loop count is 0, and the maximum number of records is 4095.
[FW-policy-traffic-rule-09]source-zone trust
[FW-policy-traffic-rule-09]  destination-zone untrust
[FW-policy-traffic-rule-09]  source-address 192.168.1.0 mask 255.255.255.0
[FW-policy-traffic-rule-09]  source-address 192.168.2.0 mask 255.255.255.0
[FW-policy-traffic-rule-09]  action qos profile 08

需求五

电信购买带宽100M
联通购买带宽50M

电信

在这里插入图片描述

联通

在这里插入图片描述

需求六

运营商—>流量套餐—>对中小企业500G/月,超出部分,额外计费,1G/100元。
限额—>每一个员工规定上网时长
1、员工40人,10名管理人员+30名牛马
高管–>20G/月
牛马–>10G/月
2、牛马—>4h/日,流量500M/日
3、超额后限制
牛马—>禁止上网
高管—>超过配额后最大带宽限定为800K

在这里插入图片描述

牛马

[FW]quota-policy   
[FW-policy-quota]profile niuma 
[FW-policy-quota-profile-niuma]stream-daily 500     
[FW-policy-quota-profile-niuma]stream-monthly 10240        
[FW-policy-quota-profile-niuma]time-daily 240     
[FW-policy-quota-profile-niuma]limit-bandwidth 0  

[FW-policy-quota]rule name niuma
[FW-policy-quota-rule-niuma]user user-group /default/niuma   
[FW-policy-quota-rule-niuma]action quota profile niuma

在这里插入图片描述

高管

在这里插入图片描述

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙
防火墙技术专栏
01-16 1949
公司有两条宽带用来上网,一条电信,一条联通,访问常用的某些网站速度时快时慢。领导要求,根据上网流量的目标运营商IP归属,将流量送到相应的运营商出口去,避免跨运营商上网。那么应该怎么做?
带宽管理组网实验
firshman_start的博客
03-01 266
企业组织架构中存在部门A,部门A中存在销售组1和研发组2销售部门--->业务EmailERP服务可以对部门A中的销售组进行带宽资源细分,保证销售员工的业务服务流量正常转发:1、部门A的下行最大带宽不超过60M2、部门A中的销售组下行最大带宽不超过30M3、部门A中的销售组的EmailERP业务下行最小带宽不低于20M。
防护墙接口带宽管理+实验测试
代码其实很简单
07-16 1060
防火墙的带宽管理核心思想 1,带宽限制 --- 限制非关键业务流量占用带宽的比例 2,带宽保证 --- 这里需要保证的是我们关键业务流量;再业务繁忙时,确保关键业务不受影响; 3,连接数的限制 --- 这也是一种限制手段,可以针对一些业务限制他们的链接数量,首先可以降低该业务占用带宽,其次,可以节省设备的会话资源;三种核心手段 1,接口带宽2,带宽策略
防御保护---防火墙的带宽管理
zhoutong2323的博客
02-15 1048
带宽管理是指限制网络流量的速率或控制网络流量的优先级,以确保网络的性能和可用性。带宽限制:限制非关键业务的流量减少其占用带宽的比例。带宽保证:保证关键业务的流量。连接数限制:限制非关键业务的连接数量减少会话资源从而达到带宽限制的目的。防火墙可以通过以下方式进行带宽管理:接口带宽管理:它决定了防火墙能够处理的网络流量的容量。如果接口带宽太低,防火墙可能无法处理高流量负载,导致网络延迟或性能下降。另一方面,如果接口带宽过高,可能会造成资源浪。
华为Eudemon1000防火墙-详细配置
热门推荐
11-27 2万+
配置各接口IP地址、网络参数、缺省路由。 Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域,因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数,从而实现Eudemon网络层与其他设备互通。 # 配置Eudemon防火墙Ethernet0/0/0接口的IP地址。 [Eudemon] interface ethernet 0/0/0 [Eudemon-Ethe
Quidway 防火墙 Eudemon 1000E 开局指导书
11-24
华为 Quidway 防火墙 Eudemon 1000E 开局指导书
天融信防火墙配置案例(带宽管理).pdf
11-03
天融信防火墙配置案例(带宽管理).pdf
带宽管理技术白皮书-6W100-整本手册.pdf
最新发布
03-06
带宽管理技术的实现主要依赖于带宽策略规则的制定与执行,以及带宽通道的合理配置带宽策略规则是制定带宽管理策略的基础,它可以定义带宽的分配原则、优先级以及限速措施等,以适应不同业务对带宽需求的差异。...
Jan16公司局域网带宽提升方案-链路聚合配置
12-19
本文将详细介绍Jan16公司是如何通过链路聚合技术提升局域网带宽的具体实施案例,以及在配置过程中涉及到的VLAN设置、交换机配置等关键技术点。 首先,Jan16公司面临的问题是两台二层网管交换机之间的通信延迟和卡顿...
Linux的带宽管理系统.pdf
09-07
例如,一个简单的Linux路由器配置可能会针对两个接口(eth0和eth1)设定不同的带宽管理策略,eth0可能连接公司的内部网络,eth1连接ISP。通过TC,可以限制从eth1进入的流量速率,确保内部网络的稳定,同时在特定时间...
Nginx配置统计流量带宽请求及记录实时请求状态的方法
09-30
在本文中,将介绍Nginx如何配置统计流量带宽请求及记录实时请求状态的方法,重点讲解了两个模块:ngx_req_status和ngx_realtime_request。 首先,我们关注的是ngx_req_status模块,该模块的主要功能是展示nginx请求...
华为eudemon1000E防火墙web管理
06-18
web方式安装配置防火墙,大量图片说明,简明易懂。
华为USG系列防火墙配置-带宽管理
月球挖掘机
10-26 4879
新建带宽通道 设置每个通道允许放行的最大带宽和设备带宽分配策略 新建带宽策略 新建WIFI限速带宽策略,源类型和目的类型分别选择接口 入接口为AC连接的上行接口,出接口为Wlan接口 勾选限流,并选择带宽通道 点击确认,完成设置。点击右上角的保存,保存设置。 ...
网络设备常见的部署模式
qq_44217534的博客
05-23 277
比如你买一台空调,你得安排放在你家哪里最后,需要部署。
华为流量统计的2种配置方法
IT技术
11-19 1561
华为流量统计的2种配置方法
华为防火墙Edumon1000E配置
weixin_34379433的博客
04-27 1185
华为防火墙Edumon1000E,配置有四个光电互斥接口,为千兆状态防火墙。默认情况下所有区域之间不允许有流量经过。 本文为Edumon1000E的基本配置,该基本配置适用一般企业级单机接入情况。 配置一台防火墙主要包含以下几个步骤: 1、配置端口IP,并将指定端口加入Untrust/trust/DMZ区域; 2、配置默认路由指向公网; 3、配置NAT,允许内部用户...
学习笔记:防火墙带宽管理
TKE_yinian的博客
03-03 4694
FW带宽管理带宽管理功能带宽管理带宽管理处理流程带宽通道的功能带宽策略规则多级策略带宽复用接口带宽管理 带宽管理指的是设备基于源地址、目的地址、源安全区域/入接口、目的安全区域/出接口、服务、用户和应用等信息,对通过自身的流量进行管理和控制,可以提供带宽保证、带宽限制和连接数限制功能,可以提高带宽利用率,避免带宽耗尽。帮助网络管理员合理分配带宽资源,从而提升网络运营质量。 带宽管理功能 • 带宽保...
华为Eudemon1000E配置实例
weixin_34249367的博客
03-10 5140
sysname Eudemon1000E#l2tp enablel2tp domain suffix-separator @#firewall packet-filter default permit interzone local trust direction inboundfirewall packet-filter default permit interz...
【防火墙QOS 基于策略的带宽控制】
yuxue_cn的博客
06-15 1941
防火墙流控功能使用,配置带宽策略限制上传下载速度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值