登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath 安全产品 用户FAQ(V7)-6W101

目录

20-带宽管理FAQ

本章节下载 20-带宽管理FAQ  (144.79 KB)

20-带宽管理FAQ

1 带宽管理FAQ

1.1  设备上长时间有流量经过,但是流量日志不更新?

观察设备是否报内存门限告警,设备一旦报内存门限,日志报表上面的数据就不会再更新,除非设备重启。

1.2  AVC带宽管理和DPI其它业务的异同?

·     不同点:AVC带宽管理不需要创建和引用app-profile,配置开启即生效。

·     AVC带宽管理traffic-policy是在系统视图下配置的,全局生效,不论端口类型,只与策略的匹配条件有关;AVC带宽管理策略和通道的条数不受限制,只与设备内存有关。

·     相同点:都与DIM(Deep Inspect Machine,深度检测引擎)有关,域间策略需引用开启深度检测inspect功能,AVC带宽管理以DIM的会话拓展信息来限速,此外,基于应用应用组的限速则需要DIM识别后才能成功限速。

1.3  配置了接口带宽,为什么不生效?

接口带宽供其它模块调用,并不单独生效,需要配置带宽策略才生效,且需开启带宽策略,空策略亦可。此外,接口带宽只在流量方向的出接口生效,意思就是在流量方向的出接口配置接口带宽才会生效,反向亦可。

1.4  带宽策略、接口带宽和Qos作用的先后顺序?

流量从入接口进入,首先受到入接口的默认接口带宽(如1G口默认接口带宽是1G,10G口是10G)的限制,接着受到入接口配置inbound方向qos的限制,然后根据带宽策略的匹配条件对流量进行筛选,筛选通过的流量进入对应的带宽通道,受到带宽通道的限速,如果出接口配置了接口带宽(如:bandwidth 100000,即100M接口带宽),会继续受到出接口的接口带宽限制,最终受到qos的outbound方向的限制。(一般情况下,DPI业务不与Qos配合使用,功能有重复,且Qos业务会影响到AVC带宽管理的一些配置)。

1.5  带宽策略里面的优先级和带宽通道里面转发优先级、重标记DSCP有什么用途和区别?

·     带宽策略下的优先级只是作为一个流量的匹配项,其实质就是检测报文中相应字段有没有DSCP的标记(如:af11、ef等),有则限速,无则不作处理。其用处和其它匹配项(如:源目的安全域、源目的地址等)相同。

·     带宽通道里面的转发优先级是针对带宽通道而言的,就是当链路发生阻塞时,优先转发优先级高的通道,这个是真正意义上的优先级,并不是带宽策略里面的优先级。

·     带宽通道里面的重标记DSCP和带宽策略里面优先级时对应的,它的作用就是改变初始报文中的DSCP标记,用来区分不同的流量,可通过抓包工具在IP层发现修改DSCP标记是否生效。

1.6  带宽策略里面不同匹配项之间“与”和“或”的关系?

带宽策略里面有多个匹配项,除了用户与用户组、应用于应用组之间是“或”的关系,其它匹配项之间是“与”的关系,意思就是用户和用户组只要匹配上至少一个即可,应用和应用组之间只要匹配上至少一个即可;此外,各匹配项自身可配置多个选项,自身多个选项只要匹配上至少一个,即此匹配项匹配成功。

1.7  带宽策略生效优先级和父子策略生效优先级?

带宽策略配置多条策略后,同时开启,最先配置的带宽策略先生效,从web和命令行直观就是从上到下,依次匹配;父子策略开启,先匹配父策略,父策略匹配上了才能继续匹配子策略,子策略匹配上了走子策略引用的带宽通道,子策略配置的带宽通道受父策略配置的带宽通道的限制。

1.8  打了流量好长时间,为什么流量报表和流量日志没有统计显示?

两个原因:

·     确保流量打通了,确确实实打到设备里面了

·     查看流量报表和流量日志,必须开启会话统计,就是必须敲“session statistics enable”这个命令,过一小段时间便会有流量统计。

1.9  配置基于每用户/每IP限速时,怎么限速不准确?

要学会计算整体限速,比如每用户限速是100kbps,10个用户就是1M;每IP限速100kbps,10个IP就是1M。如果限制了整体最大带宽,那么每用户限速*用户数量<整体最大带宽,同理,每IP限速*IP数量<整体最大带宽,意思就是如果每用户/每IP限速乘积大于整体带宽,显示的就是整体带宽的数值,而不是计算后的每用户/每IP限速。

1.10  为什么使用实时带宽查询命令显示不了当前连接数?

可以用display traffic-policy statistics connection-limit maximum per-rule all来统计显示每条策略CC(当前连接数)、RC(拒绝连接数)、CL(总连接数限制),目前版本需要先配置CL(总连接数限制)后,可在带宽通道“会话连接数限制-整体并发连接数”设置即可,才能查看到CC和RC;

此外,可以使用命令display traffic-policy statistics bandwidth rule all来统计显示每条策略生效时的实时带宽(目前版本暂不支持每用户、每IP的带宽限速显示)。

1.11  每用户和每IP最大带宽限速、并发连接数限制、新建速率限制?

针对带宽策略rule而言,最大带宽限速指的是整体最大带宽的限速,是每条rule的整体限速,而每用户、每IP最大带宽限速最终都要受到整体最大带宽的限制,且每用户和每IP相互排斥,只能选择其中一项;同理,并发连接数和新建速率也区分整体rule的和每用户、每IP的。

1.12  转发优先级和保证带宽谁的优先级高?

首先要明确两者使用的情况,转发优先级是配置即生效,而保证带宽只是在链路发生拥塞时确保关键业务不受影响才生效的。比如同样的两条关键业务的保证带宽同时生效,转发优先级高的通道就优先转发,两者不是一个时间段的概念。保证带宽只是确保它有一条最低的带宽供其占用,具体转发不转发在不配置转发优先级的情况下是自由竞争谁先转发,配置了转发优先级后,才明确谁具有优先转发的级别。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们