选择区域语言: EN CN HK

H3C SecPath U系列统一威胁管理产品 UTM深度检测功能Web配置手册-5PW103

11-带宽管理

本章节下载  (487.67 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/TYWX/SecPath_U200/Configure/User_Manual/H3C_SecPath_U_UTM_SDJC_Web-5PW103/201207/749518_30005_0.htm

11-带宽管理


1 带宽管理

1.1  概述

1.1.1  带宽管理简介

网络流量按照其用途的不同划分成不同的服务类型,例如E-Mail服务、VoIP服务等,对不同的服务类型实施不同的管理控制行为,称为带宽管理。因此,带宽管理包括两个主要部分:服务和针对一个具体服务的控制行为。

l              服务既可以由系统缺省发布,也可以由用户手工创建。所有服务的定义通过一个树型结构组织,简称服务树,其中每个节点都表示了一个服务。

l              设备根据接收报文所属的应用协议和其IP地址信息决定报文属于哪个服务,再按用户在该服务的规则,执行相应的带宽管理的动作,可以完全阻断该服务的所有报文,也可以对报文进行限速。

l              另外,每个段可以基于不同的网段配置不同的带宽管理策略,从而达到对网络流量最灵活控制的目的。

带宽管理通过对各种应用进行灵活的带宽控制,限制非关键应用,并保证了客户网络上关键应用的带宽。

1.1.2  服务简介

服务是一组匹配规则的集合。凡是符合匹配规则的网络行为都属于该服务。

匹配规则由协议、节点和方向三部分组成:协议表示网络协议;节点表示某个设备或某个网段中的设备;方向表示探测的方向。三者共同确定了特定的设备(或特定网段中的设备)发起或接收某种协议报文时将会匹配这条规则。

服务本身不具备对网络的管理、控制功能。服务可以被系统中其他策略引用,配合其他策略完成对网络的各种管理和监控功能。

在系统中,服务是树形结构,只有一个根节点。除了根节点,任何一个服务都可以挂接在其他服务下,挂接的服务称为子服务,被挂接的服务称为父服务。

1.2  配置带宽管理

本节功能介绍图片均以设备无License举例

 

1.2.1  配置概述

带宽管理配置的推荐步骤如表1-1所示。

表1-1 带宽管理配置步骤

步骤

配置任务

说明

1

1.2.2  配置协议

可选

配置服务要使用的协议

2

1.2.3  配置服务

可选

配置带宽管理策略要使用的服务

3

1.2.4  创建并应用带宽管理策略

必选

创建带宽管理策略,配置策略中的规则,并在段上应用策略

缺省情况下,存在名为“Service Control Policy”的带宽管理策略,该策略可以修改和应用,但不允许删除

4

配置激活

必选

将协议、服务、策略、规则、策略应用等的配置激活,使配置生效

(1)      系统中有两类配置,配置完成后直接生效的为A类配置,配置完成后需要进行激活操作才能生效的为B类配置

(2)      所有B类配置的相关页面都有<激活>按钮,单击任何一个<激活>按钮,都会将所有的B类配置激活。建议用户完成所需的B类配置后,再单击<激活>按钮统一激活

 

1.2.2  配置协议

l          在协议树中,标有红色叹号的为系统预定义协议。

l          自定义协议文件的编写方法请参见“1.4  注意事项”中的相关介绍。

 

在导航栏中选择“带宽管理 > 协议管理”,进入如图1-1所示的页面,页面显示所有协议的信息。

图1-1 协议管理

 

l              单击<增加协议>按钮,可以进入增加协议的页面,配置用户自定义协议,如图1-2所示。自定义协议只能是应用层协议(指承载于TCP或UDP之上的协议)。

图1-2 增加协议

 

l              在协议树中选中某个自定义协议,单击<删除协议>按钮,可以将该协议删除。系统预定义协议不能删除。

l              在协议树中选中某个协议,在右边的页面中可以显示和修改该协议的详细信息。

l              如果用户修改了系统预定义应用层协议的状态或端口号,则可以通过单击<恢复初始状态>按钮,将其恢复到缺省时的状态。自定义协议和非应用层协议不支持此操作。

 

 

协议的详细配置如表1-2所示。

表1-2 协议的详细配置

配置项

说明

名称

设置协议名称,用于标识一个协议

描述

设置协议的描述,便于用户记忆不同的协议

类型

设置承载该协议的传输层协议类型,包括TCP和UDP

端口号列表

设置该协议使用的TCP或UDP端口号

 

 

可点击返回“表1-1 带宽管理配置步骤”。

1.2.3  配置服务

在导航栏中选择“带宽管理 > 服务管理”,进入如图1-3所示的页面,页面显示所有服务的信息。

图1-3 服务管理

 

l              在服务树中选中服务A,直接拖动至服务B下,则服务A将挂接在服务B下,成为服务B的子服务。

l              在服务树中选中某个服务作为要添加服务的父服务,单击<添加服务>按钮,可以进入添加服务的页面,配置用户自定义服务,如图1-4所示。

l              在服务树中选中某个用户自定义服务,单击<删除服务>按钮,可以将该服务删除。系统预定义服务不能删除。

l              在服务树中选中某个服务,在右边的页面中可以显示和修改该服务的详细信息。单击<添加匹配规则>按钮,进入该服务的匹配规则管理页面,如图1-5所示。

l          已被带宽管理策略规则引用的服务不能被删除。

l          当服务的匹配规则中引用的协议被删除时,该匹配规则也会同时被删除。

 

图1-4 增加服务

 

图1-5 匹配规则管理

 

服务的详细配置如表1-3所示。

表1-3 服务的详细配置

配置项

说明

父服务

显示待创建服务的父服务

在单击<添加服务>按钮之前在服务结构树中选择,此处不能修改

服务名

设置服务的名称,用于标识一个服务

描述

设置服务的描述,便于用户记忆不同的服务

会话使用日志标志

设置是否对匹配该服务的会话记录流日志

(3)      此配置项目前只有U200-M、U200-A、U200-CA支持

(4)      对于已经存在的父服务,可以在其服务信息页面修改其会话使用日志标志,并可以选择是否将该父服务的会话使用日志标志的配置应用到其所有的子服务中

(5)      要实现对匹配服务的会话记录流日志的功能,还需要在“日志管理 > 流日志 > 流日志配置”中使能会话使用日志记录功能,详细配置请参见“UTM深度检测功能Web配置手册  日志管理

 

匹配规则的详细配置如表1-4所示。    

表1-4 匹配规则的详细配置

配置项

说明

服务名

显示待配置的服务名称

协议名

设置网络协议

先选择协议为IP后,会出现选择具体协议的下拉框,之后即可选择具体的网络协议

服务器IP地址

设置IP地址和掩码来确定服务器(或主机)的IP地址或网段

l      如果设置为192.168.1.1/24,表示192.168.1.0/24这个网段的所有服务器(或主机)

l      如果不输入表示所有的服务器(或主机)

发起方向

设置协议报文的发起方向,包括:

l      内部:表示协议报文是从内部域发起的

l      外部:表示协议报文是从外部域发起的

l      双向:表示协议报文是从内部域或外部域发起的

 

可点击返回“表1-1 带宽管理配置步骤”。

1.2.4  创建并应用带宽管理策略

在导航栏中选择“带宽管理 > 策略管理”,进入带宽管理策略的显示页面,如图1-6所示。单击<创建策略应用>按钮,进入创建策略应用的配置页面,如图1-7所示。

图1-6 策略管理

 

图1-7 创建策略应用

 

创建策略应用的详细配置如表1-5所示。

表1-5 创建策略应用的详细配置

配置项

说明

创建策略

名称

设置要创建的带宽管理策略的名称

描述

描述策略的详细信息,如策略的用途等

策略工作模式

设置带宽管理策略的工作模式:

l      组模式:表示对符合策略的所有用户的带宽之和进行控制

l      用户模式:表示对符合策略的单个用户的带宽进行独立地控制

本组规则总流量的上行带宽

设置匹配该策略的所有上行流量的总带宽

本组规则总流量的下行带宽

设置匹配该策略的所有下行流量的总带宽

规则配置

设置该带宽管理策略下的规则,详细配置请参见“1.2.4  1. 规则配置

缺省情况下,存在一条针对Default服务的规则,该规则不允许删除

策略应用范围

设置该带宽管理策略的应用范围,详细配置请参见“1.2.4  2. 策略应用范围

 

1. 规则配置

图1-7所示,在“规则配置”中显示该策略下的所有规则,可以直接在列表中对规则的参数进行修改。

l              单击<添加>按钮为该策略新添加一条规则,列表中将新增一条表项,如图1-8所示。

l              单击图标,弹出针对相应服务的“带宽规则高级配置”页面,如图1-9所示。

“规则配置”页面与“带宽规则高级配置”页面的区别:

l          在“带宽规则高级配置”页面可以为相应的服务添加或删除时间表和动作集的对应关系;而在“规则配置”页面则不能。

 

l          在“规则配置”页面可以修改规则所匹配的服务,可以创建新的时间表以供选择;而在“带宽规则高级配置”页面则不能。

 

图1-8 规则配置

 

图1-9 带宽规则高级配置

 

规则的详细配置如表1-6所示。

表1-6 规则的详细配置

配置项

说明

服务

设置规则所匹配的服务

在“规则配置”的列表中单击图标,弹出“选择服务”页面,可以选择一个所需的服务。不同的服务按照层次以不同的颜色和缩进组成一个树状结构,超过三层的服务将不再区分颜色

(6)      一个策略中,不同规则所匹配的服务不能相同

(7)      规则对服务采取精确匹配的原则,即如果同时配置了针对某个子服务和其父服务的规则,则以针对子服务的规则为准

使能状态

设置规则的使能状态

当规则被禁止时,匹配该服务的报文执行系统缺省的规则“Default”的内容;当缺省规则也被禁止时,报文会直接通过设备

时间表

设置匹配该服务的流量在不同的时间段内触发不同的动作集

在“带宽规则高级配置”页面单击图标,可以新增一条时间表-动作集的表项,每条规则最多可以设置6条时间表-动作集表项

(8)      在“规则配置”的列表中单击图标,弹出“创建时间表”页面,可以新创建一个时间表以供选择。详细配置与在“系统管理 > 时间表管理”中相同,请参见“UTM深度检测功能Web配置手册  时间表管理”

(9)      若指定的多个时间表中所定义的时间段有重叠,则执行列表中排在最前面的时间表对应的动作集

(10)  可选的动作集在“系统管理 > 动作管理 > 动作集列表”中配置;当选择动作集为“Rate Limit”时,可以且必须设置具体的限速参数

动作集

上行带宽

设置在指定时间段内匹配该服务的上行流量的最大带宽

当选择动作集为“Rate Limit”时,可以设置这两个配置项,并且必须至少设置上行带宽、下行带宽中的一项

下行带宽

设置在指定时间段内匹配该服务的下行流量的最大带宽

 

2. 策略应用范围

图1-7所示,在“策略应用范围”中显示该策略的所有应用范围,可以直接在列表中对应用范围的参数进行修改。

l              单击<添加>按钮为该策略新添加一条应用范围,列表中将新增一条表项,如图1-10所示,可以指定策略所应用的段和管理区域。

l              单击图标,弹出相应表项的高级配置页面,如图1-11所示,除了可以指定策略所应用的段和管理区域,还可以指定内/外部域的IP地址和例外IP地址等高级参数。

图1-10 策略应用范围

 

图1-11 策略应用范围高级配置

 

 

策略应用范围的详细配置如表1-7所示。

表1-7 策略应用范围的详细配置

配置项

说明

设置要应用策略的段ID

可选的段在“系统管理 > 网络管理 > 段配置”中配置

一个策略中,不同策略应用范围表项中选择的段不能相同

管理区域

设置应用带宽管理策略的段的区域,包括内部域、外部域

内部域IP地址配置

设置策略只对内部域中属于IP地址列表,且不属于例外IP地址列表的IP地址有效

内部域例外IP地址必须包含在内部域IP地址列表中

如果不配置此项,则策略对整个内部域都有效

内部域例外IP地址配置

外部域IP地址配置

设置策略只对外部域中属于IP地址列表,且不属于例外IP地址列表的IP地址有效

外部域例外IP地址必须包含在外部域IP地址列表中

如果不配置此项,则策略对整个外部域都有效

外部域例外IP地址配置

 

可点击返回“表1-1 带宽管理配置步骤”。

1.3  带宽管理典型配置举例

1. 组网需求

某公司的内网网段为192.168.10.0/24。在Device上配置带宽管理策略,对该公司的用户(除IP地址为192.168.10.50的主机外)发送和接收的流量所涉及的服务执行相应的动作:

l              对Gnutella服务执行Block动作。

l              对BitTorrent服务执行限速动作。

图1-12 带宽管理配置组网图

 

 

2. 配置步骤

# 配置缺省带宽管理策略“Service Control Policy”的规则,并在段0上应用该策略。

l              在导航栏中选择“带宽管理 > 策略管理”,单击“Service Control Policy”对应的图标。

l              在“规则配置”中单击<添加>按钮,单击新增表项的图标,在弹出的页面中选中“Gnutella”服务,单击<确定>按钮完成设置。

l              在“规则配置”中单击<添加>按钮,单击新增表项的图标,在弹出的页面中选中“BitTorrent”服务,单击<确定>按钮完成设置。

l              在“规则配置”中选择Gnutella服务对应的动作集为“Block”。

l              在“规则配置”中选择BitTorrent服务对应的动作集为“Rate Limit”,输入上行带宽和下行带宽均为“1500”kbps。

l              在“策略应用范围”中单击<添加>按钮,单击新增表项的图标,弹出策略应用范围高级配置页面,进行如下配置,如图1-13所示

图1-13 策略应用范围高级配置

 

 

l              选择段为“0”。

l              选择管理区域为“内部域”。

l              在内部域IP地址列表中添加IP地址为“192.168.10.0/24”。

l              在内部域例外IP地址列表中添加IP地址为“192.168.10.50/32”。

l              单击<确定>按钮完成设置。

l              完成上述设置后的带宽管理策略应用页面如图1-14所示,单击<确定>按钮完成操作。

图1-14 带宽管理策略应用

 

# 将配置激活。

l              完成上述配置后,页面跳转到带宽管理的策略应用显示页面,如图1-15所示。单击<激活>按钮,弹出确认对话框。

l              在确认对话框中单击<确定>按钮后,将配置激活。

图1-15 配置激活

 

1.4  注意事项

配置带宽管理时需要注意如下事项:

(1)        已经应用到段上的带宽管理策略不能直接删除。此时,在带宽管理策略显示页面上对其进行删除操作时,删除的是其策略应用。

(2)        一个报文在一个段上只能匹配一条带宽管理段策略。当一个段上应用了多个带宽管理策略,则系统在对报文进行匹配时,会根据段策略中指定的IP地址范围的精确程度,越精确的(即IP地址范围越小的)段策略越优先匹配;当有多个段策略的IP地址范围精确程度相同时,则先配置的段策略优先匹配。

(3)        导入到设备的自定义协议文件必须按照一定的格式要求来编写,否则无法成功导入到设备。一个自定义协议的编写实例如下所示:

Protocol_begin

Protocol_name=protocol

Protocol_description=the description of the protocol

Protocol_type=TCP

Protocol_status=enable

Protocol_port=457-666,45

Protocol_string=test protocol string

Protocol_regex=test protocol regex

Protocol_end

表1-8 自定义协议中参数的详细说明

参数

说明

可选/必选

Protocol_begin

自定义协议的起始行

每个自定义协议都必须以“Protocol_begin”开头

必选

Protocol_name

自定义协议的名称

取值范围为1~255个字符,不包括字符串前后的空格

必选

Protocol_description

自定义协议的描述信息

取值范围为1~255个字符,不包括字符串前后的空格

可选

Protocol_type

自定义协议的类型

可以指定为“TCP”或“UDP”

必选

Protocol_status

自定义协议的状态

可以指定为“enable”或“disable”

必选

Protocol_port

自定义协议的端口号范围

端口号的取值范围为0~65535;连续的端口号范围可以用“-”表示;最多可以指定8个端口号范围,以“,”隔开。例如:“0,2,5,10,1021-30,8080,9000-9005,9010”

二者必选其一

Protocol_string

自定义协议的特征字符串

取值范围为8~255个字符,不包括字符串前后的空格

Protocol_regex

自定义协议的正则表达式,以对匹配固定字符串的报文进行进一步筛选

取值范围为8~255个字符,不包括字符串前后的空格

可选

Protocol_end

自定义协议的结束行

每个自定义协议都必须以“Protocol_end”结尾

必选

 


不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!