带宽管理
本帮助主要介绍以下内容:
特性简介
带宽管理基于源/目的安全域、源/目的IP地址、用户、应用、服务、DSCP优先级和时间段等过滤条件,对通过设备的流量进行精细化的管理和控制。
带宽管理的典型应用场景如下:
企业内网用户所需的带宽远大于从运营商租用的出口带宽,这时网络出口就会存在带宽瓶颈的问题。
网络出口中P2P业务类型的数据流量消耗了绝大部分的带宽资源,致使企业的关键业务得不到带宽保证。
为了解决以上问题,可以在网络出口设备上部署带宽管理,针对不同的内网业务流量应用不同的带宽策略,实现合理分配出口带宽和保证关键业务正常运行的目的。带宽管理技术的出现,可以有效解决带宽资源浪费、关键业务受影响和网络性能下降等问题,提高网络出口带宽的利用率,保障关键业务的正常运行,提升整个企业内网的网络性能和用户体验。
图-1 带宽资源示意图
带宽管理实现流程
带宽策略可以对符合匹配条件的流量应用带宽通道,在带宽通道中可以配置带宽保证和带宽限制功能,进而提高带宽利用率以及在线路拥堵时保证关键业务的正常运行。
图-2 带宽管理实现流程图
带宽管理实现流程如下:
流量匹配上某个带宽策略后,如果此策略中引用了带宽通道,则流量继续进入相应的带宽通道进行后续的处理,否则设备不对该流量进行带宽管理。
流量进入带宽通道后,设备会根据此带宽通道中配置的带宽限制策略对流量进行相应的处理。
流量从出接口发送时受该接口带宽的限制。
带宽策略匹配原则
设备上可以配置多个带宽策略,这些策略用于定义匹配流量的匹配项以及流量控制的动作。不同策略之间的匹配顺序为:设备根据这些策略在设备上显示的顺序从上到下对流量进行匹配,一旦流量匹配上某个策略便结束此匹配过程,并根据该策略中指定的带宽通道对此流量进行处理;若流量没有匹配上任何策略,则设备不对该流量进行带宽管理。
一个带宽策略中可以配置多种类型的匹配项,例如源/目的安全域、源/目的IP地址和用户等。一个策略被匹配成功的条件是:策略中已配置的所有匹配项必须均被匹配成功。
每个匹配项中可以配置多个条件,比如源IP地址中可以指定多个IP地址等,一个匹配项被匹配成功的条件是:某匹配项中的任何一个条件被匹配成功即可。
带宽策略支持嵌套关系,目前支持配置四级带宽策略。即一个策略中可以指定一个父策略,最多支持嵌套四级。流量与存在父策略的带宽策略匹配时,遵守如下原则:
首先匹配父策略,如果父策略匹配上了再匹配子策略。如果父策略没有匹配上,也不会进行后续的子策略匹配,该匹配过程失败。
如果子策略匹配上了,先按照子策略中的带宽通道配置对流量进行控制,再按照父策略中的带宽通道配置对流量进行控制,如果父子策略对同一个参数进行限制,则按照最严格的限制对流量进行控制。如果子策略没有匹配上但父策略匹配上了则按照父策略中的带宽通道配置对流量进行控制。
带宽通道
带宽通道定义了具体的带宽资源,是进行带宽管理的基础。通过带宽通道,可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽通道,每个带宽通道中都可自定义带宽资源限制参数、流量优先级参数和带宽告警参数。目前,带宽通道中支持配置的参数如下表所示:
表-1 带宽通道参数说明表
参数 | 说明 |
限流方式 | 带宽通道中对流量的限制方式,包括如下两种:
|
引用方式 | 带宽通道被带宽策略引用的方式,包括如下两种:
|
整体的保证带宽 | 是指保证业务的最小带宽,在线路拥堵时,可以保证公司关键业务所需的带宽,确保此类业务不受影响 |
整体的最大带宽 | 是指限制业务的最大带宽,比如限制网络中非关键业务占用的带宽资源,避免该类业务消耗大量的带宽,影响其他关键业务的正常运行 |
IP间带宽分配策略 | 基于整体的最大带宽和在线的IP数量,为每一个IP动态的均分带宽,充分利用了闲置的带宽资源 |
每IP或每用户的保证带宽 | 设备除了支持配置整体的保证带宽之外,还支持基于IP地址和用户的保证带宽,实现更加精细化的带宽管理 |
每IP或每用户的最大带宽 | 设备除了支持配置整体的最大带宽之外,还支持基于IP地址和用户的最大带宽,实现更加精细化的带宽管理 |
连接数限制 | 带宽通道中的连接数限制策略可以对设备上建立的连接数进行统计和限制。带宽通道中的连接数限制即可以基于带宽策略整体限制会话的最大连接数和最大新建连接速率,又可以基于每IP、每用户限制会话的最大连接数和最大新建连接速率 |
每IP流量限额 | 设备支持基于IP地址,对每月总流量进行限制 配置本功能后,可到“每IP流量限额统计”页签查看流量统计值 |
月限额 | 每IP每月的流量使用上限值 |
转发优先级 | 当多个带宽通道中的流量同时从某个接口发送时,如果此接口发生阻塞,则优先级高的流量优先被发送。优先级相同的流量将会自由竞争出接口的带宽资源 |
重标记DSCP优先级 | 是指修改报文中DSCP(Differentiated Services Code Point)字段的值,是网络设备进行流量分类的依据。位于报文传输路径上的各个网络设备,可以通过DSCP优先级来区分流量,进而对不同DSCP优先级的流量采取差异化的处理 |
TCP MSS | 带宽通道的TCP最大报文段长度 |
带宽检测功能 | 开启本功能后,设备将基于源IP地址对经过设备的流量带宽进行实时检测 |
静态阈值 | 用户手工配置的固定带宽阈值,包括最大静态阈值和最小静态阈值 当设备检测到流量带宽阈值超过最大静态阈值或者低于最小静态阈值后,将以快速日志输出的方式向用户的日志主机发送日志进行告警 |
动态阈值学习功能 | 在不了解网络正常流量大小的情况下,无法正确配置固定的带宽阈值上下限,可通过开启本功能,让设备自动学习网络中流量的带宽,将学习到的带宽基线值结合最大最小容忍度得到带宽阈值上下限,该上下限的优先级高于静态阈值 可到“策略 > 带宽管理 > 带宽阈值学习”页面查看学习结果 |
学习时长 | 设备自动学习网络中流量带宽的时长。开启动态阈值学习功能后,系统会在学习时长内自动统计流量的带宽值。建议学习时长设置大于1440分钟(24小时),以确保设备学习到一整天的流量。如果在学习过程中修改了该值,系统将会以新的时长为准重新进行学习 |
学习容忍度 | 当设备通过动态阈值学习功能学习到带宽基线值后,可使用该值分别乘以最小和最大容忍度得到动态带宽阈值的上限和下限值 如果未配置最小容忍度,则表示对带宽的下限值不关心;如果未配置最大容忍度,则表示对带宽的上限值不关心。因此,最大和最小容忍度至少需要配置其中一个 |
带宽策略加速功能
为了提高报文对带宽策略的匹配速度,设备支持带宽策略加速功能。当设备上包含大量的带宽策略时,此功能可以实现报文对带宽策略的快速匹配。若带宽策略加速功能失败,变化后的带宽策略不生效,系统继续使用原来的带宽策略进行快速匹配。
激活带宽策略的加速功能包括如下方式:
手动激活:是指带宽策略发生变化后,单击<立即加速>按钮使这些策略立即加速。
自动激活:是指系统按照固定时间间隔进行周期性判断是否需要带宽策略加速,在一个时间间隔内若带宽策略发生变化,则间隔时间到达后会进行带宽策略加速,否则,不会进行加速。当带宽策略小于等于100条时,此时间间隔为2秒;当带宽策略大于100条时,此时间间隔为20秒。
IPv6全数据流带宽管理功能
缺省情况下,带宽管理仅对ICMP、ICMPv6协议的数据流以及四层协议为TCP、UDP的数据流生效。开启本功能后,对于IPv4流量无影响。对于IPv6流量,带宽管理功能对ICMPv6协议的数据流以及所有四层协议的数据流生效。
在“带宽策略”页面功能按钮区,单击<高级设置>按钮,选择启用或禁用“IPv6全数据流带宽管理功能”,可配置带宽管理功能管控数据流的范围。
源NAT带宽管理功能/目的NAT带宽管理功能
缺省情况下,带宽策略使用报文经过NAT源/目的地址转换前的IP地址、服务端口号及VRF匹配带宽策略过滤条件。
如果需要控制NAT源/目的地址转换后的IP地址的带宽,请在“带宽策略”页面功能按钮区,单击<高级设置>按钮,选择启用“源NAT带宽管理功能”/“目的NAT带宽管理功能”。
实时流量趋势展示功能
实时流量趋势展示功能用来对匹配带宽策略的流量使用情况进行统计,并使用折线图的形式向用户展示流量使用趋势。方便管理员识别流量的使用趋势,例如哪个时段会有更多的访问量,以及这些流量变化是否具备重复性,并基于流量情况进行精细化的管理和控制,有助于更好地分配带宽资源、管控用户的上网行为。
管理员可在“带宽策略”页面,单击实时监控栏下的“实时监控”按钮,查看不同带宽策略的实时流量趋势。
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
配置父子策略使用限制和注意事项
子策略引用的带宽通道中的最大带宽不能大于父策略引用的带宽通道中的最大带宽。
父策略引用的带宽通道中的保证带宽不能小于子策略引用的带宽通道中的保证带宽。
子策略与父策略不能引用同一个带宽通道。
父子策略下,设备仅对子策略进行带宽检测以及动态阈值学习。
如果被复制的带宽策略中含有子带宽策略,则只会复制父带宽策略的内容。
只能在创建带宽策略时指定带宽策略的父策略,不能为已存在的带宽策略添加或修改父策略。
父子策略引用的带宽通道的限流方式必须一致。
父策略不支持IP动态均分带宽功能。
配置带宽通道使用限制和注意事项
在支持部署多块安全业务板的设备上,带宽通道中配置的相关阈值参数对报文的限制都是在每块安全业务板上独立计算的。在这种情况下,设备实际对报文的带宽限制结果会大于管理员配置的阈值。请管理员根据设备上部署的安全业务板数量和整机的目标带宽限制需求,合理配置带宽通道中的相关阈值参数以达到预期效果。例如,设备上部署了三块安全业务板,同时希望设备整体上行最大带宽为30000kbps,这时需要在带宽通道中设置上行最大带宽为10000kbps。
如果同时配置了接口的TCP MSS,则以更小的MSS值为准。
如果要开启带宽检测功能,需要保证引用本带宽通道的带宽策略规则中配置了作为带宽策略规则过滤条件的IP地址或地址对象组,否则带宽检测功能不生效。
带宽策略规则中配置的IP地址或地址对象组不同,会有以下情况:
带宽策略规则中配置了源IP地址或源IP地址对象组:设备根据源IP地址对流量进行检测。
带宽策略规则中配置了目的IP地址或目的IP地址对象组:设备根据目的IP地址对流量进行检测。
带宽策略规则中同时配置了源和目的IP地址(包含地址对象组):设备根据源IP地址对流量进行检测。
如果报文同时匹配代理策略规则和带宽管理规则,则以接口下的MSS值为准。
配置接口带宽使用限制和注意事项
接口期望带宽的缺省值较小时,在流量较大的情况下,很容易出现丢包现象,这时可以将此接口的期望带宽值调大。比如Tunnel口的默认带宽是64kbps,流量比较大的情况下,易出现丢包现象,这时可将Tunnel接口的期望带宽值调大。
带宽策略管理使用限制和注意事项
通过复制创建的新带宽策略紧跟在被复制的带宽策略之后。
配置指南
配置思路
带宽管理策略功能的配置思路如下图所示:
图-3 带宽管理策略配置指导图
配置准备
在配置本特性之前,需要完成以下任务:
单通道模式带宽管理
对于流量分类较为简单的网络环境,管理员可通过单通道模式带宽管理配置对通道上的所有流量进行统一的带宽限制和优先级设置。
配置带宽通道
带宽通道是对网络中的带宽资源进行管理和调度的通道。通过创建带宽通道,可以对网络中的带宽资源进行限流、检测和引用等配置,从而实现对带宽资源的有效管理和调度。
配置带宽通道具体步骤如下:
选择“策略 > 带宽管理 > 带宽通道”。
在“带宽通道”页面单击<新建>按钮,进入“新建带宽通道”页面。
图-4 新建带宽通道
图-5 新建带宽通道页面
配置带宽通道,具体配置内容如下表所示:
表-2 带宽通道配置参数表
参数
说明
名称
配置带宽通道的名称
限流方式
带宽通道中对流量的限制的方式,包括分别设置上下行带宽和设置总带宽两种
整体带宽引用方式
带宽通道被带宽策略引用的方式,包括策略独占和策略共享两种
整体的最大上行带宽
配置带宽通道整体的最大上行带宽值
整体的保证上行带宽
配置带宽通道整体的保证上行带宽值
整体的最大下行带宽
配置带宽通道整体的最大下行带宽值
整体的保证下行带宽
配置带宽通道整体的保证下行带宽值
转发优先级
配置带宽通道中流量的转发优先级,数值越大优先级越高
IP间带宽分配策略
基于整体的最大带宽和在线的IP数量,为每一个IP动态的均分带宽,充分利用了闲置的带宽资源
每IP的最大上行带宽
配置带宽通道中每IP的最大上行带宽值
每IP的最大下行带宽
配置带宽通道中每IP的最大下行带宽值
每用户的最大上行带宽
配置带宽通道中每用户的最大上行带宽值
每用户的最大下行带宽
配置带宽通道中每用户的最大下行带宽值
整体新建连接数
配置带宽通道中整体新建会话连接数的最大值
每IP/每用户连接数
配置带宽通道中每IP/用户新建会话连接数的最大值
整体新建连接速率
配置带宽通道中整体的最大新建会话连接速率值
每IP/每用户新建连接速率
配置带宽通道中每IP/用户的最大新建会话连接速率值
月限额
配置带宽通道中每个IP地址每月允许使用流量的最大值
重标记DSCP优先级
修改报文中DSCP(Differentiated Services Code Point)字段的值
TCP MSS
配置带宽通道的TCP最大报文段长度
单击<确定>按钮,新建带宽通道成功,并会在带宽通道页面中显示。
配置带宽策略
带宽策略是针对不同业务流量进行匹配的规则。通过创建带宽策略,可以对不同业务流量进行过滤条件、动作、生效时间等配置,实现对不同业务流量的带宽管理。
选择“策略 > 带宽管理> 带宽策略”。
在“带宽策略”页面单击<新建>按钮,进入“新建带宽策略”页面。
图-6 新建带宽策略
图-7 新建带宽策略页面
新建带宽策略,具体配置内容如下表所示:
表-3 带宽策略配置参数表
参数
说明
名称
配置带宽策略的名称
源安全域
配置源安全域作为带宽策略的过滤条件
目的安全域
配置目的安全域作为带宽策略的过滤条件
源地址对象组
配置源IP地址对象组作为带宽策略的过滤条件
目的地址对象组
配置目的IP地址对象组作为带宽策略的过滤条件
源IP地址
配置源IP地址作为带宽策略的过滤条件
目的IP地址
配置目的IP地址作为带宽策略的过滤条件
用户
配置身份识别用户或用户组作为带宽策略的过滤条件
应用
配置应用或应用组作为带宽策略的过滤条件
服务
配置服务作为带宽策略的过滤条件
时间段
配置带宽策略生效的时间段
DSCP优先级
配置DSCP优先级作为带宽策略的过滤条件
IPv6报文头流标签
配置IPv6报文头流标签作为带宽策略的过滤条件
IPv6扩展报文头
配置IPv6扩展报文头作为带宽策略的过滤条件
终端
配置终端或终端组作为带宽策略的过滤条件
VRF
配置VPN实例作为带宽策略的过滤条件
动作
配置带宽策略执行的动作,取值包括:
限流:通过引用带宽通道,对符合带宽策略过滤条件的报文进行限制
不限流:对符合带宽策略过滤条件的报文不进行限制
阻断:对符合带宽策略过滤条件的报文进行阻断
带宽通道
引用带宽通道对符合带宽策略过滤条件的报文进行带宽管理
单击<确定>按钮,新建带宽策略成功,并会在带宽策略列表页面中显示。
带宽策略配置变更之后如需立即生效,请单击<立即加速>按钮。
图-8 立即加速
配置接口带宽
配置接口带宽的具体步骤如下:
选择“策略 > 带宽管理> 接口带宽”。
在“接口带宽”页面单击<新建>按钮,进入“新建接口带宽”页面。
图-9 新建接口带宽
图-10 新建接口带宽页面
新建接口带宽,具体配置内容如下表所示:
表-4 接口带宽配置参数表
参数
说明
接口名称
选择需要带宽管理的接口
期望带宽
配置接口的最大期望带宽值
单击<确定>按钮,新建接口带宽成功,并会在接口带宽页面中显示。
父子通道模式带宽管理
对于流量分类复杂且需要对特定应用、用户组或设备细分带宽的网络环境,管理员可通过父子通道模式带宽管理配置对流量进行精细化划分,保障各自的网络需求。
配置带宽通道
配置带宽通道的具体步骤请参见“
配置带宽策略
配置带宽策略的具体步骤如下:
配置带宽策略,具体配置内容请参见“
配置带宽策略 ”章节。在“新建带宽策略”页面,配置带宽策略的父带宽策略。
图-11 配置带宽策略的父带宽策略
单击<确定>按钮,新建带宽策略成功,并会在带宽策略列表页面中显示。
配置接口带宽
配置接口带宽的具体步骤请参见“
带宽告警功能
开启带宽告警功能后,设备可基于IP地址对进入带宽通道的流量进行实时的带宽阈值(包括最大值和最小值)检测。当带宽超过配置的阈值时,设备将以快速日志输出的方式向用户发送日志进行告警。
配置带宽通道
配置带宽通道具体步骤如下:
配置带宽通道,具体配置内容请参见“配置带宽通道”章节。
在“新建带宽通道”页面,配置带宽告警功能,具体配置内容如下所示:
图-12 配置带宽告警功能
表-5 带宽告警配置参数表
参数
说明
开启带宽检测功能
开启本功能后,设备基于每个IP地址对经过设备的流量带宽进行实时检测
最大静态阈值
用户手工配置的固定带宽阈值上限
最小静态阈值
用户手工配置的固定带宽阈值下限
开启动态阈值学习功能
开启本功能后,设备将自动学习网络中流量的带宽,并统计带宽基线值
学习时长
设备自动学习网络中流量带宽的时长
最大学习容忍度
当设备通过动态阈值学习功能学习到带宽基线值后,可使用基线值乘以最大容忍度得到动态带宽阈值的上限
最小学习容忍度
当设备通过动态阈值学习功能学习到带宽基线值后,可使用基线值乘以最小容忍度得到动态带宽阈值的下限
配置带宽策略
配置带宽策略的具体步骤请参见“
配置接口带宽
配置接口带宽的具体步骤请参见“