D-Link DFL防火墙流量控制.docx

流量控制设置简介一、防火墙流量控制简介、功能说明及适用环境。防火墙可实现带宽控制功能，通过创建不同的管道（Pipes）并设置其优先级别以实现对数据流量的控制。由于tcp/ip原生不具有QOS功能，QOS能为指定的用户或服务提供预设好的带宽，防火墙的Diffserv设计目的就是用于解决此类QOS问题的。防火墙的流量整形功能不会为穿过防火墙的数据包增加新的标识，流量整形只会在防火墙的内部完成。流量控制的功能1.当使用带宽超出所设定的上限时，将会在带宽有空闲时再传送。2.当数据包缓冲满了，数据包将会掉弃。3.按优先权处理数据包。通信满负荷时，低优先权的通信会为高优先权的让出带宽。4.带宽保证。适用环境：用于对带宽管理有较高要求的、注重互联网安全的中小企业。二、基于服务流量控制实例的拓扑图、说明及配置方法基于服务的流量控制实例的拓扑图：拓扑说明：DFL-860E以路由模式接入到网络中。路由器LAN连到防火墙的wan1上，路由器ip为52/24.。防火墙wan口的ip为4/24，防火墙的lan通过交换机连接pc，lan口的ip为，防火墙关闭dhcp，pc上的ip为手工指定。FTP/HTTP SERVER 接在路由器的lan上，ip为：3,服务端口为默认。实例目的：1， 假设总带宽为500Kb。2， HTTP控制限速为200Kb,并保证在带宽满负荷的情况下仍能优先占用200Kb带宽。3， FTP不作限速，最高能达500Kb.基本概念Pipes-管道是流量整形的一个基本组成对象，用户可以定义是什么类型的数据流经过。pipes rules-管道规则就是让决定什么类型的数据会经过那些管道。防火墙默认是没有pipes rules的。pipes rules可以设置0到7（最高）的优先值。在优先值最低的管道中，将会实行先到先转发的基本原则。注意：流量整形对于在IP rules使用了Fwdfast规则的条目不会生效。本例一共使用http，ftp，total三种管道。首先创建需要设置的几条管道，分别是ftp-in,ftp-out,http-in,http-out,total-in,total-outftp-in 的创建信息,由于ftp不作限速，所以不需要设置Pipe limits参数.ftp-out如下图，Pipe limits 同样不需要设置。然后是http-in的创建：http-in的Pipe limits，这里设置限速为200Kbhttp-out也是一样的设置：最后是总带宽total-in Pipe的建立：Pipe limits设置最高优先级7的占用为200，稍后分配给http.。第1级设置为400，总带宽设置为500。Total-out设置如下：Pipe limits第二步是建立三条Pipe Rules先是ftp-control的rules,这里绑定相关的service及addresstraffice shaping设置如下，使用优先级别为1.http-control的ruletraffice shaping设置如下，使用优先级别为最高的7级，最多能指定8条管道。最后是建立总带宽。这里选all_services让所有的数据通过。流量控制已设置完毕，以下测试实际效果，先用ftp下载，速度约500Kb，占用了总带宽的全部。关掉ftp，用http方式下载，速度约为200Kb，限速生效了。FTP与HTTP同时下载时，http的优先级别高，因此http仍保证有200Kb的带宽，剩下的FTP全部占用了。服务流量控制设置完成。三、基于IP的流量控制实例的拓扑图、说明及配置方法基于服务的流量控制实例的拓扑图：测试说明：DFL-860E以路由模式接入到网络中，限制00这段IP地址的总流量不超过320KB，而在限速地址范围外时不受限制。当测试机IP都在限速地址范围内，接一台测试机时，其独享320KB的带宽，如接三台测试机时，则它们平均分配320KB的流量，每台约300KB。防火墙设置如下：建立一个需要限速的IP地址段：设置要限速的IP地址段为00。建立限速管道：建立一条出去的管道，Grouping选择Source IP，限制的速度为3000 Kb，约合320KB：再建立一条入的管道，Grouping选择Destination IP，也限制的速度为3000 Kb，约合320KB：建立的两条管道如下：创建管道规则：由于是限制所有服务的流量，所以服务选择“all_services”，Source Network引用之前建立的要限速的IP地址段：创建的规则如下： 防火墙配置完毕。效果验证 1、单台机限速测试先连接一台测试机A进行测试，把A机的IP地址设置为在限制的IP范围之外，下载FTP Server里的文件速度约有396KB。然后把测试机A的IP改为受限速的IP地址段，速度已经不超过320KB了，限制成功。2、多台测试机限速测试把三台测试机A,B,C都接入到防火墙上，IP地址分别是：5,6,7。测试机A使用迅雷来下载外网的文件：测试机B使用FTP来下载FTP S