流量控制配置实例

常见问题
5、带宽一直限制不住是什么原因？ 首先先查一下配置，流量通道、安全策略引用流量通道，配置没 有问题的话，再看一下流量是否能匹配安全策略，如果不能匹配 安全策略的话，肯定不能限制啦； 6、应用带宽限制不住是什么原因？ 要限制应用的带宽，首先要能识别这个应用，如果应用不能识别， 肯定是不能限制的。一个应用的特征有很多，在访问的时候也会 有很多流，不能全部识别的话，也是限制不准的，遇到这种情况， 建议升级特征库。
共享新建连接限制
• 在安全策略中引用，源地址为1-10，连接限制策略为“共享新建”
共享新建连接限制
• 接下来使用avalanche发起20000的新建请求，看一下到底每秒能新 建多少呢？先看一下没有限制的时时候新建，先把连接限制策略删除 ，看一下新建能不能达到20000
新建值
在不限制的时候，确实是20000
带宽保证最多可配置高中低三个级别，通道 必须属于同一个虚拟线路，优先保证高优先 级的，剩余带宽再给低优先级的
DSCP
• 在数据包的IP头中有一个DSCP值，默认为0，流量控制中的DSCP可 以修改IP头的这个DSCP值
下面是一个数据包的IP头，DSCP为0
DSCP
• 在刚才的配置基础上，将通道“张三”的DSCP值修改为5
20.1.1.79是张三同学，20.1.6.251是服务器
二、连接限制
共享新建连接限制 每IP新建连接限制 共享并发连接限制 每IP并发连接限制
共享新建连接限制
• 新建连接限制主要是限制连接建立速度，单位是每秒； • 连接限制使用PC进行测试不容易看出效果，可以使用测试工具或者测 试仪，下面就使用Avalanche测试仪来测试一下连接限制的功能吧。
流量控制基本配置说明
网御星云网关本部 2015.01
目录
一、流量控制 二、连接数限制 三、常见问题
一、流量控制
最大带宽限制 每IP带宽限制
应用带宽限制 带宽保证 DSCP
最大带宽限制
登录防火墙，在左侧菜单 防火墙下的二级菜单中， 有一个流量控制； 在流量控制下又分为 通道配置和连接限制
带宽保证
• 再添加一个源地址为张三的安全策略，流量通道引用“张三”
带宽保证
• 看一下配置好的安全策略，没有问题
带宽保证
• 接下来看一看效果
张三先开始下载文件，下载速度5M多，速度蛮快的
带宽保证
• 李四来了，李四也要下载东西
下载速度4M多点，怎么还没张三 那高呢，再看看张三的
带宽保证
• 再看张三的，下载速度在怎么只有1M多了，谁让你优先级低呢
谢 谢！！！
网御星云网关本部 2015.01
应用带宽限制
• 打开了上网行为管理的许可证之后，在流量通道菜单下，就可以看到 应用带宽了，否则的话，是没有应用带宽的配置项的
应用带宽限制
• 打开应用带宽新建，有应用、URL、文件；
顺便解释一下，子特征重置默认值的意思是：当前特征组下的每一个特征都设置为这个 值，比如说，设置为500KB，那么当前特征下所有子特征带宽限制值都是500KB
并发值
发了10W的请求，建立起来了50000，被限制住了
每IP并发连接限制
每IP并发值，将共享并发修改成每IP并发，下面给每个IP限制2000； 别忘了在安全策略中引用哦；
每IP并发连接限制
还是用avalanche，发起100000连接数请求，看一下能建立起来多少吧
并发值
只有20000连接建立起来了，10个IP，每 个IP有2000个连接，正好20000
DSCP
• 张三去下载文件，使用wireshark抓包
DSCP变成5了
DSCP
• 再改一个，将张三的DSCP修改成60
怎么不是60，不用怀疑，这是16进制 的，请转换成10进制，还是60 因为修改的是下行的DSCP，修改的是 服务器返回的数据包的DSCP，
DSCP
• 因为修改的是下行的DSCP，修改的是服务器返回的数据包的DSCP ，客户端向服务器发的包是不会修改的
带宽保证
• 在配置通道，李四的通道，最大带宽5M，保证带宽4M，所属虚拟线 路为“张三李四”高优先级
带宽保证
• 配置张三的通道，最大带宽5M，保证带宽1M，低优先级，所属虚拟 线路为“张三李四”
带宽保证
• 看一下配置好的通道
带宽保证
• 配置安全策略，先添加一个源地址为李四的安全策略，流量通道引用 “李四”
最大带宽限制
• 添加安全策略，源地址为“张三”，流量通道引用“张三”
最大带宽限制
• 到这里，最大带宽限制已经配置完了； • 在安全策略里面看不到流量通道？这个是自定义的，鼠标点击就可选 择
最大带宽限制
• 接下来我们看一看效果吧，用张三的电脑去下载东西；
HTTP下载和FTP下载，速度都能控制在1M左右，有误差是难免的，但 不会很大
最大带宽限制
• 如果有多个人都能匹配这个安全策略，那么这些人的下载速度加起来 不能超过1M，在地址中加入李四的地址，看看效果； 李四的地址是20.1.1.78，在安全策略中把张三李四都选上
最大带宽限制
• 张三和李四同时去下载东西，看一下效果
这是张三下载的 这是李四下载的
由上面两个图可以看到，张三李四同时进行下载时，每个人的下载速度都 在500KB左右，两个人加起来达到1M多点
三、常见问题
常见问题解决
1、流量控制的单位要怎么选择？ 流量控制的单位可以选GB/s、MB/s、KB/s，单位可以自动转换的， 不会对限制精确度有影响。 2、流量控制最大可设置多少； 流控最大可设置10G，不过设置10G的话，貌似没有什么用处。 3、为什么每次测试开始的时候总会限制不住？ 如果最开始有突发流量超过限制值，会尽量保证不丢包，全部放过， 所以会看到超过了限制值，后续流量仍然超过限制值，将会做限制 处理，每秒只放过部分报文； 4、流控的限制是不是每秒只放过部分报文，其它的报文就丢弃？ 不是的，流控不会把报文丢弃，而是做队列处理，一次性来的大量 报文，每秒放过一部分，最终还是会把所有报文放过去；
每IP带宽限制
• 现在我们看一下效果，先让张三去下载东西
下载速度在1M左右，有误差不会很大，可以接受
每IP带宽限制
• 现在让张三李四同时去下载
张三的下载
李四的来自百度文库载
可以看到，张三李四同时去下载，每个人的下载速度都在 1M左右，互不影响
应用带宽限制
• 应用带宽限制，可以根据应用识别、URL、文件类型进行带宽限制， 要想使用应用带宽限制，首先要把上网行为管理的许可证打开； • 上网行为管理的许可证包含协议控制、应用识别和URL过滤；
共享新建连接限制
• 把连接限制策略加上，使用avalanche发起20000的新建请求，看一 下到底每秒能新建多少呢？
新建值
这张图告诉我们，新建值只有10002，比限制的值多2个， 可以接受吧
每IP新建连接限制
• 每IP新建连接限制，只需要将共享新建连接限制修改成每IP新建连接 限制就可以了；每IP限制500个
最大带宽限制
• 在通道配置下，新建一个虚拟线路，虚拟线路是定义一个带宽的最大 值，不是限制值，比如分配给测试部门20M带宽，虚拟线路就设置 20M； • 限制的单位可选GB/s、MB/s、KB/s；
最大带宽限制
• 接下来是配置通道，通道是包含在虚拟线路内的，配置通道时，必须选 择所属虚拟线路；通道中配置的带宽值不能超过虚拟线路的带宽值，下 面配置一个给张三限制下载速度1M。
共享并发连接限制
• 修改测试仪配置为测试并发连接数，最大并发设置为100000。 • 先不在安全策略中引用连接限制策略，看一下并发能不能达到10W
并发值
最大并发值可以达到100000
共享并发连接限制
接下来在安全策略中 引用并发连接限制策 略
共享并发连接限制
再看一下avalanche能建立多少连接吧
测试拓扑如下，防火墙透明模式，avalanche两个接口 分别模拟客户端和服务器
Client 10.1.1.1— 10.1.1.10 eth4 FW Bridge
Server 10.1.1.11
eth5
共享新建连接限制
• 配置连接限制，共享新建连接限制10000
共享新建连接限制
• 配置地址列表，源地址为avalanche模拟的客户端10.1.1.1-10.1.1.10 ，共10个IP地址
每IP带宽限制
• 下面看一下每IP带宽限制，接着上面的配置来看，在虚拟线路 “ceshi”下面加一个通道，配置每IP带宽1M
在这里配置每 IP带宽1M， 单位也可选 KB/s
每IP带宽限制
• 看一下通道的配置
每IP带宽限制
• 在安全策略中引用“张三李四”这个通道，安全策略源地址为张三、 李四，流量通道选择张三李四
应用带宽限制
• 刚才只限制了迅雷，我们试一下其它没有被限制的的，比如QQ旋风；
网速还不错，下载速度最高达到了5.6M
带宽保证
• 测试部的李四最近需要进行视频会议，给他做个带宽保证，如果张三 要用的话，优先给使用
张三和李四两个人共有5M带宽，给李四保证4M，剩下的给张三 先配置一个虚拟线路，上下行带宽5M
应用带宽限制
• 依然是张三同学，限制他迅雷下载500KB
应用带宽限制
• 在通道中引用刚才建立的应用带宽
应用带宽限制
• 在安全策略中引用流量通道“张三”
应用带宽限制
• 接下来看一看效果，张三用迅雷下载一个文件，看一下下载速度，被 限制在500KB左右
迅雷更新很快的，如果限制不住的话，有可 能是迅雷软件版本比较新，我们的特征不能 完全识别，出现这种情况，建议使用稍微旧 点的迅雷或者其他应用进行测试
下行最大带 宽1M，这里 的百分比是 根据所属虚 拟线路来自 动计算的， 单位也可以 选择KB/s， 会自动换算
最大带宽限制
虚拟线路和通道都配置好之后如下图： 测试部限制20M，测试部的张三限制1M
最大带宽限制
• 接下来在配置安全策略，首先添加张三的IP地址，张三的IP地址是 20.1.1.79
每IP新建连接限制
• 依然是用avalanche，还是10个源地址，发起20000个新建连接请求 ，看一下能建立起来多少吧
新建值
新建值5003,10个源IP，每IP限制500，总共是5000新建
共享并发连接限制
• 并发连接是限制源地址的最大连接数上限；
继续使用avalanche测试仪，测试拓扑与新建连接一样，只需要修改连接限 制策略就可以了，将连接限制策略修改成共享并发连接限制50000