防御保护11
带宽管理 --- 设备对自身的流量进行管理和控制,去提供带宽保证、带宽限制等等功能。
带宽限制
带宽保证
连接数限制
应用场景
实现带宽管理
带宽通道 --- 定义了被管理对象所能使用的带宽资源
整体的保证带宽和最大带宽;
SW1-SW2:VLAN 201 --- 10.20.1.0/24
SW1-R5:VLAN 105 --- 10.10.5.0/24
SW2-R6:VLAN 206 --- 10.20.6.0/24
R5-R6:10.56.0.0/24如果流量<保证带宽,这些流量直接发送。
如果流量>最大带宽,直接丢弃超出最大带宽的流量。
如果最大带宽>流量>保证带宽,会在出接口发送环节与其他带宽通道中的同类型流 量自由竞争。
流量优先级高,则优先获取出接口实际带宽的剩余带宽资源,然后发送流量,若无剩余资源获取,则丢弃流量。
每IP/每用户的保证带宽和最大带宽;--->相较于整体,更加精细。
连接数限制 --- 限制并发连接总数和新建连接速率(就是会话数)
限制P2P应用
防止DDoS攻击
DSCP优先级重标记
DSCP --- 差分服务代码点 --- 是一种用来标识网络流量优先级的字段。数值越大优先
级越高。 ---- 早期IP头部中TOS字段定义信息
7 --- 预留
6 --- 预留
5 --- 语音数据
4 --- 视频会议数据
3 --- 呼叫信号数据
2 --- 高优先级数据
1 --- 中优先级数据
0 --- 尽力服务数据
对于最大带宽、保证带宽和连接数限制而言,均具有下行和上行概念。
流量传输方向与策略方向相同,为上行
流量传输方向与策略方向相反,为下行
带宽复用 --- 多条流量进入同一个带宽通道后,带宽通道内带宽资源的动态分配方式。
当通道中某个流量没有使用带宽资源时,该空闲的资源可以被借用给其他流量使用。如
果有流量需要使用这部分带宽资源,可以压缩其他流量的带宽,从而将原有带宽抢占回
来。
带宽策略 --- 定义了被管理的对象和动作;需要引用带宽通道
工作方式
带宽独占 --- 带宽策略和带宽通道一一对应
带宽共享 --- 多个带宽策略使用相同的带宽通道,多对一
条件 + 动作
动作 --- 限流或不限流
条件 --- 安全区域、用户、应用、服务、时间段、DSCP优先级
默认情况下,FW上存在一条缺省的带宽策略,所有匹配条件为any,动作不限流。
多级策略 --- 在一条带宽策略下,可以继续配置多条带宽子策略。
对于该策略,流量先匹配父策略,在去匹配子策略,直到匹配到最后一级子策略为止。接口带宽 --- 定义了接口入方向和出方向的实际带宽
当流量发生拥塞时,启动队列调度机制
流量转发优先级
流量监管 --- 当某条流量超出带宽通道中设置的最大带宽,则报文被丢弃
流量整形 --- 通过队列机制,将超出的峰值流量和突发流量报文延迟传输,同时调整网络中流量的输出速率,使得报文以均匀的速率向外发送带宽通道可以匹配流量优先级
优先级 = 4 ,采用流量监管;默认采用该方式
优先级 ≠ 4 ,采用流量整形
优先级>4,优先发送;优先级<4,则延迟发送。
配额控制策略
用于控制用户的上网流量和上网时间,可以防止带宽滥用、上网时间过长影响工作效率等问题。
策略分为两部分
检测 --- 实时检测上网流量和时长;并且与用户的配额进行比对。
控制 --- 直接阻断或限制最大带宽。
存在三种配额方式
每日流量配额
每月流量配额
每日上网时长配额