带宽管理配置实验
一、实验拓扑
配置流程:
1、带宽通道:整体带宽、每个用户带宽、连接数、优先级信息
2、带宽策略
3、策略+通道,引用
4、配置接口出入带宽
二、实验需求和配置
1、基础配置
接口配置
[dianxin]interface GigabitEthernet 0/0/0
[dianxin-GigabitEthernet0/0/0]ip add 12.0.0.2 24[liantong]interface GigabitEthernet 0/0/0
[liantong-GigabitEthernet0/0/0]ip add 13.0.0.2 24[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip add 12.0.0.1 24
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip add 13.0.0.1 24
[FW]int g 1/0/2.10
[FW-GigabitEthernet1/0/2.10]ip add 192.168.1.254 24
[FW]interface GigabitEthernet 1/0/2.20
[FW-GigabitEthernet1/0/2.20]int g 1/0/2.30
[FW-GigabitEthernet1/0/2.30]ip add 192.168.3.254 24
[FW-GigabitEthernet1/0/2.30]int g 1/0/2.40
[FW-GigabitEthernet1/0/2.40]ip add 192.168.4.254 24
[FW]interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3]ip add 10.1.1.254 24
配置VLAN并划分接口
[SW1]vlan batch 10 20 30 40
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[SW1]int g 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1]int g 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 20
[SW1]int g 0/0/4
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-GigabitEthernet0/0/4]port default vlan 30
[SW1]int g 0/0/5
[SW1-GigabitEthernet0/0/5]port link-type access
[SW1-GigabitEthernet0/0/5]port default vlan 40
划分安全区域
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/1firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/2.10
add interface GigabitEthernet1/0/2.20
add interface GigabitEthernet1/0/2.30
add interface GigabitEthernet1/0/2.40firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/3
配置路由
[FW]ip route-static 0.0.0.0 0 12.0.0.2
[FW]ip route-static 0.0.0.0 0 13.0.0.2
配置NAT策略
nat-policy
rule name 01
source-zone trust
action source-nat easy-ip
2、带宽管理配置
需求一
企业组织架构中存在部门A,部门A中存在销售组1和研发组2:
销售部门---->Email、ERP业务
可以对部门A中的销售组进行带宽资源细分,保证销售员工的业务流量正常转发:
1、部门A中的下行最大带宽不超过60M
2、部门A的销售组下行最大带宽不超过30M
3、部门A的销售组的Email业务下行最小带宽不低于20M分析:需求之间存在父子关系
A部门带宽通道---最大60M
部门A销售组带宽通道---最大30M
部门A销售组Email业务带宽通道---最小20M
带宽策略配置一
[FW]traffic-policy ---- 进入带宽策略配置视图
[FW-policy-traffic]profile 01 ----创建一个带宽通道,名称为01
[FW-policy-traffic-profile-01]bandwidth maximum-bandwidth whole downstream 60000 ----设定带宽,最大带宽,下行60M[FW]traffic-policy
[FW-policy-traffic]display this
rule name 01 ----策略名称
description A
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
source-address 192.168.2.0 mask 255.255.255.0
action qos profile 01 ----动作为限流,且调用带宽通道
[FW]traffic-policy
[FW-policy-traffic]profile 02
[FW-policy-traffic-profile-02]bandwidth maximum-bandwidth whole downstream 30000[FW]traffic-policy
[FW-policy-traffic]display this
rule name 02 parent 01
description A_xiaoshou
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
action qos profile 02
[FW]traffic-policy
[FW-policy-traffic]display this
profile 03
bandwidth guaranteed-bandwidth whole downstream 20000
rule name 03 parent 02
description A_xiaoshou_email
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
action qos profile 03
安全策略
[FW]security-policy
[FW-policy-security]dis th
security-policy
rule name 01
description 带宽策略(01)引入
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
source-address 192.168.2.0 mask 255.255.255.0
action permit
需求二
给部门A和部门B划分可使用的带宽资源。要避免P2P业务占据较多的带宽,还需要限制部门A和部门B使用P2P业务的带宽总和。
1、部门A下行最大带宽60M
2、部门B下行最大带宽40M
3、部门A和部门B的P2P业务下行最大带宽不超过80M
4、P2P流量需要计算到各自部门的总流量中
带宽策略配置二
P2P带宽通道:
traffic-policy
profile 05_P2P
bandwidth reference-mode rule-shared
bandwidth maximum-bandwidth whole downstream 80000
[FW]traffic-policy
[FW-policy-traffic]dis th
rule name 05 parent 01
description A_P2P业务
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
source-address 192.168.2.0 mask 255.255.255.0
application app Oracle_MySQL
action qos profile 05_P2P
rule name 04
description B
source-zone trust
destination-zone untrust
source-address 192.168.3.0 mask 255.255.255.0
source-address 192.168.4.0 mask 255.255.255.0
action qos profile 04
rule name 06 parent 04
description B_P2P业务
source-zone trust
destination-zone untrust
source-address 192.168.3.0 mask 255.255.255.0
source-address 192.168.4.0 mask 255.255.255.0
application app Oracle_MySQL
action qos profile 05_P2P
需求三
在不影响正常用户上网和web服务器正常提供对外服务的情况下,实现以下功能:
1、将从ISP购买的100M带宽进行划分
上网高峰期(工作日下午3点-6点),上网用户下行带宽60M(U-T),外用用户下行带宽40M(D-U)
2、2台web服务器,限制每一台web服务器对外提供的最大下行带宽不超过20M
3、假设,总共30个上网用户,在上网高峰期,限制每个用户访问Internet的最大下行带宽不超过2M
新建时间段:
带宽策略配置三
profile 06
bandwidth maximum-bandwidth whole downstream 60000
bandwidth maximum-bandwidth per-ip downstream 2000
rule name 07
description 企业上网用户策略
source-zone trust
destination-zone untrust
source-address 192.168.0.0 mask 255.255.0.0
time-range time_01
action qos profile 06
profile 07
bandwidth maximum-bandwidth whole downstream 40000
bandwidth maximum-bandwidth per-ip downstream 20000
rule name 08
description 外网用户访问服务器
source-zone untrust
destination-zone dmz
destination-address 10.1.1.0 mask 255.255.255.0
action qos profile 07
需求四
部门A的上网用户数量不固定,为了让用户公平的使用带宽,根据实际在线上网用户数量,平均分配带宽:
1、部门A的下行最大带宽60M
2、根据实时的上网用户数量,对部门A的60M带宽资源进行均分
动态均分功能:在配置了整体最大带宽的前提下,FW根据在线IP/用户的个数和带宽使用率,动态的对每一个IP/用户能够使用的最大带宽进行平均分配。
计算方式:每个IP/用户最大带宽=MAX(带宽最小值,整体最大带宽/IP用户数*平均分配系数)。
带宽通道:
profile 08
bandwidth maximum-bandwidth whole downstream 60000
bandwidth average per-ip manual multiplier 1 minimum 1000
平均分配系数----与带宽使用率存在反比关系
0 <70%
1 70-75%
2 75-80%
3
4
带宽策略配置四
rule name 09
description A_用户带宽分配
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
source-address 192.168.2.0 mask 255.255.255.0
action qos profile 08
需求五
设定出入接口带宽:
电信购买带宽100M
联通购买带宽50M
需求六–配额策略
运营商--->流量套餐--->对中小企业500G/月,超出部分,额外计费
限额--->每一个员工规定上网时长
1、员工40人,10名管理人员+30名牛马
高管-->20G/月
牛马-->10G/月
2、牛马--->4h/日,流量500M/日
3、超额后限制
牛马--->禁止上网
高管--->超过配额后最大带宽限定为800K
[FW]quota-policy ----进入配额策略视图
[FW-policy-quota]profile niuma -----创建配额通道
[FW-policy-quota-profile-niuma]stream-daily 500 -----每日流量限额
[FW-policy-quota-profile-niuma]stream-monthly 10240 ----每月流量配额
[FW-policy-quota-profile-niuma]time-daily 240 ------设定上网时长
[FW-policy-quota-profile-niuma]limit-bandwidth 0 -----超出配额后的限制带宽为0[FW-policy-quota]rule name niuma
[FW-policy-quota-rule-niuma]user user-group /default/niuma -----策略应用用户
[FW-policy-quota-rule-niuma]action quota profile niuma
quota-policy
profile gaoguan
stream-monthly 20480
limit-bandwidth 800
rule name gaoguan
description 高管
user user-group /default/gaoguan
action quota profile gaoguan
需求七—流量整形和流量监管
无法在web界面实现。
流量监管:对进入接口的,超出限制速率的报文进行丢弃。
流量整形:对接口发送的,超出限制速率的报文先进行缓存,等待流量不超出速率时发送。