防火墙带宽管理实验
一、实验拓扑图
二、实验要求
需求一:
企业组织架构中存在部门A ,部门 A 中存在销售组 1 和研发组 2
销售部门---> 业务 Email 、 ERP 服务
可以对部门A 中的销售组进行带宽资源细分,保证销售员工的业务服务流量正常转发:
1、部门 A 的下行最大带宽不超过 60M
2、部门 A 中的销售组下行最大带宽不超过 30M
3、 部门 A 中的销售组的可发邮件和数据库 业务下行最小带宽不低于 20M
需求分析:需求之间存在父子关系
A部门带宽通道 --- 最大 60M
部门A 销售组带宽通道最大 30M
部门A 销售组 Email 业务带宽通道 --- 最小 20M
需求二:
给部门A 和部门 B 划分可使用的带宽资源。要避免 P2P 业务占据较多的带宽,还需要限制部门 A 和部门 B 使用
P2P业务的带宽总和。
1、部门 A 下行最大带宽 60M
2、部门 B 下行最大带宽 40M
3、部门 A 和部门 B 的 P2P 业务下行最大带宽不超过 80M
4、 P2P 流量需要计算到各自部门的总流量中
需求分析:
如需求一的分析类同,存在父子关系并且需要P2P的服务设置。
需求三:
在不影响正常用户上网和web 服务器正常提供对外服务的情况下,实现以下功能
1、将从ISP 购买的 100M 带宽进行划分
上网高峰期(工作日下午3 点 -6 点),上网用户下行带宽 60M(U-T) ,外用用户下行带宽 40M(D-U)
2、 2 台 Web 服务器,限制每一台 Web 服务器对外提供的最大下行带宽不超过 20M
需求分析:
使用ISP的流量监控,在防火墙上进行流量的设置,对100M的流量划分,在时间的设置使用web界面进行时间的设置,在3中的需求,使用web界面进行带宽的设置。
需求四:
部门A 的上网用户数量不固定,为了让用户公平的使用带宽,根据实际在线上网用户数量,平均分配带宽
1、部门 A 的下行最大带宽 60M
2、根据实时的上网用户数量,对部门 A 的 60M 带宽资源进行均分 。
三、交换机配置
[SW1]vlan batch 10 20 30 40
[SW1]int g 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]int g 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 20
[SW1-GigabitEthernet0/0/3]int g 0/0/4
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-GigabitEthernet0/0/4]port default vlan 30
[SW1-GigabitEthernet0/0/4]int g 0/0/5
[SW1-GigabitEthernet0/0/5]port link-type access
[SW1-GigabitEthernet0/0/5]port default vlan 40
[SW1-GigabitEthernet0/0/5]q
[SW1]int g 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[FW-policy-traffic-profile-01]traffic-policy
[FW-policy-traffic]rule name 01
[FW-policy-traffic-rule-01]source-zone trust
[FW-policy-traffic-rule-01]destination-zone trust
[FW-policy-traffic-rule-01]source-address 192.168.1.0 24
[FW-policy-traffic-rule-01]source-address 192.168.2.0 24
[FW-policy-traffic-rule-01]action qos profile 01
需求二
需求三
需求四
需求五
需求六-配额策略
需求七—流量整形和流量监管
流量监管:对进入接口的,超出限制速率的报文进行丢弃。
流量整形:对接口发送的,超出限制速率的报文先进行缓存,等待流量不超出速率时发送。