防火墙带宽管理三大功能:
?带宽保证
?带宽限制
?连接数限制
FW通过带宽策略、带宽通道和接口带宽来实现带宽管理功能。
带宽管理相关概念:
带宽通道
带宽策略
最大带宽/每IP或者用户最大带宽
保证带宽/每IP或者用户保证带宽
连接数限制/每IP或者用户连接数限制
策略独占
策略共享
带宽复用
父子策略
DSCP、IP优先级
上行、下行
流量监管
流量整形
? 带宽通道
? ? ? ? 带宽通道定义了被管理的对象所能够使用的带宽资源,将被带宽策略引用。流量匹配带宽策略后进入带宽通道,带宽通道定义了具体的带宽资源,是进行带宽管理的基础。通过带宽通道,可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽资源。带宽通道使用多个参数来对带宽资源进行描述和控制,包括整体的保证带宽和最大带宽、每IP/每用户的最大带宽、连接数限制和DSCP优先级重标记。此外,带宽通道还可以实现带宽资源的闲时复用。
? 带宽策略
带宽策略定义了被管理的对象和动作,并引用带宽通道。
? 接口带宽
接口带宽定义了接口入方向和出方向的实际带宽,流量发生拥塞时,启用队列调度机制。
带宽管理总体流程
整体的处理流程如下:
1.流量匹配带宽策略,经过带宽策略的分流后,进入相应的带宽通道进行处理。带宽通道的处理包括:
1. 丢弃超过了预先定义的最大带宽的流量。
2. 限制业务的连接数。
3. 标记流量的优先级,作为后续队列调度的依据。
2.受入接口带宽的限制,如果流量大于入接口带宽,将根据带宽通道中设置的转发优先级对流量进行队列调度,保证高优先
级的报文被优先发送。
3.流量最终从出接口发送时,受出接口带宽的限制。如果流量大于出接口带宽,将根据转发优先级对流量进行队列调度,保
证高优先级的报文被优先发送。
整体的保证带宽和最大带宽
? ? ? ?整体的保证带宽是指进入带宽通道的流量可获得的最小带宽资源,整体的最大带宽是指进入
带宽通道的流量可获得的最大带宽资源。流量进入带宽通道后,FW将当前流量与带宽通道中
设置的保证带宽/最大带宽进行比较,采取不同的处理方式:
? 如果流量小于保证带宽,这部分流量在出接口发送环节能够确保被转发。
? 如果流量大于最大带宽,则直接丢弃超出最大带宽的流量。
? 超出保证带宽的流量,在出接口发送环节将会与其它带宽通道中同类型的流量自由竞争带
宽资源。带宽通道的优先级越高,就会更优先获得剩余带宽资源。获得带宽资源后发送流
量,否则丢弃流量。
每IP/每用户的保证带宽和最大带宽
? ? ? ?除了设置整体的保证带宽和最大带宽之外,还可以在带宽通道中定义针对IP或用户的保证带宽
和最大带宽,实现粒度更加细化的带宽限制。
当带宽通道被带宽策略引用后,FW会基于IP地址或用户,对符合带宽策略匹配条件的流量进
行统计,每IP/每用户的保证带宽和最大带宽的作用与整体带宽类似,只是作用范围细化至每
IP/用户范围。
连接数限制(并发连接总数限制和新建连接速率限制)
? ? ? ? 通信双方建立的连接在FW上体现为会话,一条会话对应一个连接。FW通过限制自身生成的
会话数量,来实现连接数限制功能,主要作用包括:
? P2P(Point to Point)业务会产生大量的连接,限制其连接数有利于减少P2P业务的流量,
降低带宽占用。
? 在部署了内网服务器的场景中,连接数限制功能可以辅助FW防范针对内网服务器的DDoS
(Distributed Denial Of Service)攻击。
? 节省FW上的会话资源。
? ? ? 带宽通道中可以配置整体的最大连接数,也可以配置针对源IP或用户的最大连接数,实现更加
细化的连接数限制。
上下行带宽独立控制和整体控制
在上面提到的最大带宽、保证带宽和连接数限制均支持上下行分别配置。在带宽通道中,上
下行代表的含义跟带宽策略本身有关:流量传输方向与带宽策略同向时,定义为上行;与带
宽策略反向时,定义为下行。换言之,流量命中带宽策略,定义为上行流量;将带宽策略中
的源和目的互换进行反向查询,命中的流量定义为下行流量。
例如,如果需要限制trust到untrust的流量,可以有以下两种方式:
? 带宽策略的源区域为trust,目的区域为untrust,带宽通道中配置对上行带宽进行管控
(与带宽策略同向)。
? 带宽策略的源区域为untrust,目的区域为trust,带宽通道中配置对下行带宽进行管控
(与带宽策略反向)。
此外,除了上下行带宽独立控制这种细粒度的管控方式,FW还提供了基于上行和下行流量之
和的带宽管控方式,大大增加了管理的灵活度。
DSCP优先级重标记
DSCP优先级重标记是指修改报文中DSCP(Differentiated Services Code Point)字段的值。
DSCP字段也称为DSCP优先级,是网络设备进行流量分类的依据。位于报文传输路径上的各
个网络设备,可以通过DSCP优先级来区分流量,进而对不同DSCP优先级的流量采取差异化
的处理。
FW支持在带宽策略中配置DSCP作为匹配条件,也可以在带宽通道中对符合条件的报文修改
其DSCP字段值,便于FW的上下行设备根据修改后的DSCP优先级来区分流量。
策略独占和策略共享
带宽通道被带宽策略引用后,整体最大带宽、整体保证带宽和整体最大连接数就会在带宽策
略中起作用,其工作方式包括策略独占和策略共享两种:
? 策略独占
每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束,即符合该带宽策略匹配条
件的流量,独享最大带宽资源。
? 策略共享
所有引用带宽通道的带宽策略都共同受到该带宽通道的约束,即符合多条带宽策略匹配条
件的流量,共享最大带宽资源。
带宽复用
带宽复用是带宽通道的重要特征,指的是多条流量进入同一个带宽通道后,带宽通道内带宽
资源的动态分配方式。当带宽通道中某一条流量没有使用带宽资源时,该空闲的带宽资源可
以借给其它流量使用;如果有流量需要使用带宽资源时,可以压缩其它流量的带宽,从而将
带宽资源抢占回来。
带宽复用包括下面几种情况:
? 多条流量匹配到了同一个带宽策略,多条流量之间可以实现带宽复用。
? 多个带宽策略以策略共享的方式引用带宽通道,则匹配了带宽策略的多条流量之间可以实
现带宽复用。
? 匹配了父子策略中的多个子策略的多条流量之间可以实现带宽复用。
流量转发优先级
FW支持为带宽通道配置流量转发优先级。
? 当流量转发优先级配置为“中(4)”时,
默认采用流量监管(Traffic Policing)的
方式进行带宽限制;
? 当带宽通道中的流量转发优先级不为“中
(4)”时,默认采用流量整形(Traffic
Shaping)的方式进行带宽限制。
此时,超过带宽上限值的峰值流量和突发流
量报文的转发优先级会被修改,优先级大于4
的报文会被优先发送,优先级小于4的报文则
会被延后发送。
流量监管(Traffic Policing)通过CAR机制限制网络中的峰值流量和突发流量,若某个连接的报文流
量超过带宽通道中设置的带宽上限值,则报文会被直接丢弃。
? 流量整形(Traffic Shaping)则通过队列机制,将超过带宽上限值的峰值流量和突发流量报文延迟传
输,在限制网络中突发流量的同时调整流量的输出速率,使报文以比较均匀的速度向外发送。
带宽策略决定了对网络中的哪些流量进行带宽管理,以及如何进行带宽管理。
带宽策略中引用带宽通道,所有符合带宽策略匹配条件的流量,都只能使用该带宽通道所定
义的带宽资源。
规则的组成信息
带宽策略是多个带宽策略规则的集合,带宽策略规则由条件和动作组成。
条件指的是FW匹配报文的依据,包括:
? 源安全区域/入接口
? 目的安全区域/出接口
? 源地址/地区
? 目的地址/地区
? 用户
? 服务
? 应用
? URL分类
? 时间段
? DSCP优先级
动作指的是FW对报文采取的处理方式,包括:
? 限流
对符合条件的流量进行管理。当动作为限流时,还需在带宽策略中引用带宽通道,对流量的具体管理措
施由该带宽通道决定。
? 不限流
对符合条件的流量不进行管理。
默认情况下,FW上存在一条缺省的带宽策略,所有匹配条件均为任意(any),动作为不限流。
多级策略
? ? ? ?FW的带宽策略功能支持多级配置方式,即在一条带宽策略下,还可以继续配置多条带宽子策略。目前FW支持四级策略,对于多条同级策略,FW按照界面上的排列顺序从上到下依次匹配,只要匹配了一条策略的所有条件,则执行带宽通道的动作,不再继续匹配剩下的规则;对于多级策略,流量先匹配父策略,再去匹配子策略,直到匹配到最后一级可以匹配到的子策略为止。
? ? ? ? ? 在进行带宽限制时使用多级策略,与使用独立的带宽策略相比,可以达到更好的带宽复用效果。例如,部门A中包括三个项目组:项目组1、项目组2和项目组3,使用父策略限制部门A的最大带宽,同时使用三条子策略限制三个项目组的最大带宽
假设项目组3(子策略3)中只有1M的流量,项目组1(子策略1)和项目组2(子策略2)就可以复用部门A(父策略)中剩余的3M带宽资源。如果不使用多级策略,而使用三条引用了不同带宽通道的独立的带宽策略,这三条带宽策略之间无法共用带宽通道,三个项目组之间也就无法实现带宽资源的复用。
配置接口带宽,限制FW的接口在入方向和出方向上能够使用的带宽资源。
FW作为大中型企业的出口网关时,企业向运营商申请的带宽资源一般都小于FW出接口的物
理带宽。如果FW无法感知出接口上所能够使用的最大带宽资源,导致发出去的流量到达对端
设备后产生拥塞,严重的话将会造成丢包。
通过配置接口出方向上的带宽限制功能,可以使出接口的实际带宽与运营商所提供的带宽资
源相匹配。当流量超过接口可以使用的实际带宽时,FW可以感知拥塞,触发队列调度机制,
优先转发关键业务的流量。
此外,也可以配置接口入方向上的实际带宽,当FW接收其它设备发送的流量时,限制进入接
口的流量。