- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
带宽管理技术白皮书
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
带宽管理是一种网络管理技术,旨在对网络中的带宽资源进行合理分配和调度,以满足不同业务对带宽的需求,保障关键业务的正常运行,提高网络性能和用户体验。
由于企业内网用户所需的带宽远大于从运营商租用的出口带宽,导致网络出口存在带宽瓶颈的问题。在这种情况下,网络出口中P2P等业务类型的数据流量消耗了绝大部分的带宽资源,致使企业的关键业务得不到带宽保证。
图1-1 带宽资源示意图
因此,为了解决以上问题,带宽管理技术应运而生。通过在网络出口设备上部署带宽管理,针对不同的内网业务流量应用不同的带宽策略规则,实现合理分配出口带宽和保证关键业务正常运行的目的。带宽管理技术的出现,可以有效解决带宽资源浪费、关键业务受影响和网络性能下降等问题,提高网络出口带宽的利用率,保障关键业务的正常运行,提升整个企业内网的网络性能和用户体验。
通过带宽管理技术,可以解决企业内网用户所需的带宽远大于出口带宽、P2P等大流量业务占用带宽资源、关键业务得不到带宽保证等问题,从而提高网络出口带宽的利用率,保障关键业务的正常运行,提升整个企业内网的网络性能和用户体验。
带宽管理技术的优点包括:
· 合理分配带宽资源:带宽管理技术可以根据不同的业务需求,对带宽资源进行合理分配和调度,确保关键业务得到足够的带宽支持,提高网络出口带宽的利用率。
· 保障关键业务运行:通过带宽管理技术,可以对关键业务流量进行优先保障,避免大流量业务(如P2P)占用大量带宽资源,从而保证关键业务的正常运行。
· 提升网络性能:带宽管理技术可以有效控制网络出口的带宽使用,避免带宽瓶颈问题,提高网络的传输速度和稳定性,从而提升整个企业内网的网络性能和用户体验。
带宽管理基于SSID(Service Set Identifier,服务集标识符)、User Profile、源/目的安全域、源/目的IP地址、服务、用户/用户组、应用、DSCP优先级和时间段等过滤条件,对通过设备的流量进行精细化的管理和控制。
带宽管理主要由带宽通道和带宽策略规则组成:
· 带宽策略规则是针对不同业务流量进行匹配的规则。通过创建带宽策略规则,可以对不同业务流量进行过滤条件、动作、生效时间等配置,实现对不同业务流量的带宽管理。
· 带宽通道是对网络中的带宽资源进行管理和调度的通道。通过创建带宽通道,可以对网络中的带宽资源进行限流、检测和引用等配置,从而实现对带宽资源的有效管理和调度。
带宽策略决定了对经由设备转发的哪些网络流量进行管理,以及如何进行带宽管理。带宽策略由若干个带宽策略规则组成,每个规则中定义了若干报文过滤条件及一个报文处理动作。
图2-1 带宽策略规则
每条带宽策略规则中可以配置多种过滤条件,具体包括:SSID(Service Set Identifier,服务集标识符)、User Profile、源/目的安全域、源/目的IP地址、源/目的IP地址对象组、服务、用户/用户组、应用和DSCP优先级。每种过滤条件中均可以配置多个匹配项,比如应用过滤条件中可以指定多个应用等。
在带宽策略规则动作中引用带宽通道后,设备将根据此带宽通道对此流量进行限流。
带宽管理支持父子策略方式,即一条父策略规则下可以配置多条子策略规则。父、子策略规则所引用的带宽通道分别用于控制整体流量带宽和局部流量带宽。匹配父子策略规则的流量首先经子规则所引用的带宽通道处理后,再进入父规则所引用的带宽通道,按照各子通道最大带宽占比(例如下图所示1:2:3)分配父规则带宽通道的总体带宽资源。通过这种层级式带宽通道管理模式,既可以在业务种类较少时,保障单业务带宽需求,也可以在业务种类较多时,均衡分配总业务带宽资源,实现带宽资源的充分利用。
图2-2 父子带宽策略
流量与存在父规则的带宽策略规则进行匹配时,遵守如下原则:
(1) 首先匹配父规则,如果父规则匹配上了再匹配子规则。如果父规则没有匹配上,也不会进行后续的子规则匹配,该匹配过程失败。
(2) 如果子规则匹配上了,先执行子规则中指定的动作,再执行父规则中指定的动作,如果父子规则对同一个带宽资源限制参数或流量优先级参数进行限制,则执行最严格的动作。如果子规则没有匹配上但父规则匹配上了,则执行父规则中指定的动作。
带宽通道可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽通道。每个通道可自定义带宽资源限制和流量优先级参数,从而实现对带宽资源的精细化管理和控制。
图2-3 带宽通道
带宽通道中对流量的限制方式,包括如下两种:
· 分别设置上下行带宽:对带宽通道中的上下行流量分别限制。
· 设置总带宽:对带宽通道中的上下行流量整体限制。
每规则的保证带宽:保证业务的最小带宽,在线路拥堵时,可以保证公司关键业务所需的带宽,确保此类业务不受影响。
每规则的最大带宽:限制业务的最大带宽,比如限制网络中非关键业务占用的带宽资源,避免该类业务消耗大量的带宽,影响其他关键业务的正常运行。
每IP或每用户的保证带宽:设备除了支持配置每规则的保证带宽之外,还支持基于IP地址和用户的保证带宽,实现更加精细化的带宽管理。
每IP或每用户的最大带宽:设备除了支持配置每规则的最大带宽之外,还支持基于IP地址和用户的最大带宽,实现更加精细化的带宽管理。
每规则、每IP或每用户的最大连接数和最大新建连接速率限制:通常在出现以下两类网络问题的组网环境中需要在设备上配置最大连接数和最大新建连接速率限制:某内网用户在短时间内经过设备向外部网络发起大量连接,导致设备系统资源迅速消耗,其它内网用户无法正常使用网络资源;某内部服务器在短时间内接收到大量的连接请求,导致该服务器忙于处理这些连接请求,以至于不能再接受其它客户端的正常连接请求。
流量优先级:DSCP优先级是网络设备进行流量分类的依据。当多个带宽通道中的流量同时从某个接口发送时,如果此接口发生阻塞,则优先级高的流量优先被发送。优先级相同的流量将会自由竞争出接口的带宽资源。
重标记报文的DSCP优先级:重新配置报文DSCP(Differentiated Services Code Point)字段的值。在报文传输路径上的网络设备,能够通过DSCP优先级来区分流量,因此可以便于上下行设备依据修改后的DSCP优先级对流量采取差异化处理。
带宽策略可以对符合匹配条件的流量应用带宽通道,在带宽通道中可以配置带宽保证和带宽限制功能,进而提高带宽利用率以及在线路拥堵时保证关键业务的正常运行。
图2-4 带宽管理实现流程图
带宽管理实现流程如下:
(1) 将报文的属性信息与带宽策略规则中的过滤条件进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此条过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此条过滤条件匹配失败。
(2) 若报文与某条带宽策略规则中的所有过滤条件都匹配成功(用户与用户组、应用与应用组各匹配一项即可),则报文与此条带宽策略规则匹配成功。若有一个过滤条件不匹配,则报文与此条带宽策略规则匹配失败,报文继续匹配下一条带宽策略规则。以此类推,直到最后一条带宽策略规则,若报文还未与规则匹配成功,则不对报文进行带宽管理。
(3) 报文与某条带宽策略规则匹配成功后便结束此匹配过程。对成功匹配规则的报文执行规则中配置的动作。
¡ 阻断:直接丢弃报文。
¡ 限流:将报文引入到规则引用的带宽通道中,经带宽通道处理后,未超过带宽限额的报文从出接口转发。
¡ 不限流:放行报文,报文不经过带宽通道直接从出接口转发。
(4) 流量进入带宽通道后,设备会根据此带宽通道中配置的带宽限制策略对流量进行相应的处理。
(5) 如果出接口出方向上应用了QoS业务,则对流量先进行带宽策略处理,再进行QoS业务处理。
(6) 流量从出接口发送时受该接口带宽的限制。
带宽管理的应用场景如下:
· 企业内网用户所需的带宽远大于从运营商租用的出口带宽,这时网络出口就会存在带宽瓶颈的问题。
· 网络出口中P2P业务类型的数据流量消耗了绝大部分的带宽资源,致使企业的关键业务得不到带宽保证。
为了解决以上问题,可以在网络出口设备上部署带宽管理,针对不同的内网业务流量应用不同的带宽策略规则,实现合理分配出口带宽和保证关键业务正常运行的目的。
· 配置带宽管理策略时,请按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
· 接口期望带宽的缺省值较小时,在流量较大的情况下,很容易出现丢包现象,这时可以将此接口的期望带宽值调大。
· 在支持部署多块安全业务板的设备上,带宽通道中配置的相关阈值参数对报文的限制都是在每块安全业务板上独立计算的。在这种情况下,设备实际对报文的带宽限制结果会大于管理员配置的阈值。请管理员根据设备上部署的安全业务板数量和整机的目标带宽限制需求,合理配置带宽通道中的相关阈值参数以达到预期效果。例如,设备上部署了三块安全业务板,同时希望设备整体上行最大带宽为30000kbps,这时需要在带宽通道中设置上行最大带宽为10000kbps。
如图3-1所示,内网主机通过Device与外网相连,通过在Device上配置带宽管理功能,实现当内网流量的出口发生拥塞时优先保证FTP业务的需求。具体要求如下:
· 限制内网用户,访问外网爱奇艺(iQiYiPPS)应用流量的上行最大带宽和下行最大带宽均为30720kbps。
· 保证内网用户,访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30720kbps。
· 限制外网出接口的最大带宽为102400kbps。
如图3-2所示,内网主机通过Device与外网相连,通过在Device上配置带宽管理功能,实现当内网流量发生拥塞时优先保证FTP业务的需求。具体要求如下:
· 限制内网用户,访问外网爱奇艺(iQiYiPPS)应用流量的上行最大带宽和下行最大带宽均为30720kbps。
· 保证内网用户,访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30720kbps。
· 限制内网用户的最大带宽为40960kbps。
如图3-3所示,内网有两个用户组,分别为教师组teacher和学生组student。teacher组有教师2名,student组有学生5名。通过在Device上配置带宽管理功能,实现基于用户进行限速带宽管理的功能。具体需求如下:
· 学生组student1~student5的IP地址依次为10.1.1.2/24~10.1.1.6/24;教师组teacher1~teacher2的IP地址依次为10.1.1.21/24~10.1.1.22/24。
· 每个教师绑定一个IP地址,上行和下行均限速10000kbps,每用户的最大连接数不超过10000。教师使用的带宽通道转发优先级为较低。
· 每个学生绑定一个IP地址,上行和下行均限速2000kbps,每用户的最大连接数不超过10000。学生使用的带宽通道转发优先级为最低。
支持
