天融信防火墙配置案例(带宽管理)

1、网络卫士防火墙系统 V3.3配置案例QoS （服务质量），是 Quality of Service的缩写。通过 QoS管理，用户可以根据实际 用户网络规划，方便、灵活地定制带宽策略，防止带宽滥用现象，并可以确保关键应用的 带宽需求。网络卫士防火墙的带宽策略采用了分层的带宽管理机制，用户可以通过设置细粒度的带宽规则来实现基于源和目的IP地址（或地址段）、服务的带宽的集中管理。同时，同层的带宽策略还可以根据业务需求，设置带宽策略的优先级，为关键业务流量优先分配带宽，从而合理、有效地为用户网络分配带宽资源。网络卫士防火墙分层带宽管理示意图图12图中的网络卫士防火墙工作在纯透明模式（即所有接口均工作在

2、交换模式下，且属于同一个VLAN ），只起到限制带宽的作用，不做任何访问策略配置。网络卫士防火墙的初始配置不需要用户进行修改。上传带宽管理基本需求7K子网1（ /24）向网段10.20020/24上传数据，网络卫士防火墙为其分配（如果没有特殊说明单位均为字节/秒）的限制带宽，7K的保证带宽。并对不同的应用设置不同的优先级控制以及带宽优化：?ICMP为最高优先级，保证带宽为1K （最大限制带宽为7K）?数据库为第二优先级，保证带宽为2K （最大限制带宽为7K）? FTP为第三优先级，保证带宽为2K （最大限制带宽为 7K）?SMTP为最低优先级，保证带宽为1K （最大限制带

3、宽为7K）配置要点带宽策略的设置包括以下方面：? 设置采用QoS的物理接口。? 在接口下设置一到多个类及其子类。? 在类下设置数据流的匹配规则。WEBUI配置步骤1）设置采用QoS的物理接口。选择网络管理 流量管理，在“带宽控制”页面点击“添加接口”，添加采用上传带宽配置策略的 物理接口 ethO。接口的配置原则是以数据流流向为准，在数据流出网络卫士防火墙的物理接口上配置才能生效，本例中即 ethO接口。2）在物理接口下设置上传类及其四个子类：ICMP上传、Web上传、FTP上传、件上传。a）点击接口 ethO对应的“下级”图标，添加ethO 口的上传带宽类“上传类”。需要注意的是，当类的父带

4、宽为接口时，保证带宽一定要等于其限制带宽设定的数值。b）点击“上传类”所在行的“下级”图标，添加上传业务带宽子类，共分为4个优先级。“ICMP上传”为最高优先级 0,保证带宽为1K （最大限制带宽为 7K）“ Web上传”为第二优先级 1,保证带宽为2K （最大限制带宽为 7K）“FTP上传”为第三优先级 2,保证带宽为3K （最大限制带宽为 7K）“邮件上传（SMTP）”为最低优先级 3,保证带宽为1K （最大限制带宽为 7K） 设置完成后界面如下图所示。带宽揑制|疏量统计|任连接统计带宽菅理添加接口类型名称上级雇性下级修改删除BevethOaclass 上隹类忧先级：0保证带宽:7KBPs

5、限制带宽:7KBpSaclass上楼上栓类忧先级：0保证带宽:晦4限制带宽:TKBpsaclass W命上传cI&ee FTF 上传邮件上传（SMTF）上传类上传类上传类忧先级：L保证带宽眄限制带宽7KBPS 忧先頭保证带宽丽2限制带宽:TKBps忧先级.3保证带宽4限制带宽TKBps9a9需要注意的是：子类的保证带宽之和不能大于父类的保证带宽。每个类中的保证带宽不能大于限制带宽。3）设置带宽管理策略。点击“ ICMP上传”所在行的“下级”图标，添加ICMP上传业务带宽规则（ICMP-rule）。服务热线：800810511974网络卫士防火墙系统 V3.3配置案例带宽控制I療量统计I工F连接

6、统计芾宽耀则类型名称父带宽忧先辺策略源策略目的服务类型时间棋式卜-任意一3任意一图中的“时间”用户可以通过 资源管理 时间 根据需求进行设置。 需要注意的是,只有父类为独享类时才能在“模式”处选择“ dst独享”或“ src独享”，如果是普通class,则选择“共享”。点击“Web上传”所在行的“下级”图标，添加Web上传业务带宽规则(Web-rule )。带宽控制I流星统计I圧连接魏计点击“ FTP上传”所在行的“下级”图标，添加FTP上传业务带宽规则(FTP-rule )。服务热线：800810511975网络卫士防火墙系统 V3.3配置案例带宽控制I流量規计I IP连接统计带基規則点击“

7、邮件上传（SMTP） ”所在行的“下级”图标，添加邮件上传业务带宽规则(SMTP-rule )。带宽控制|流量统计I圧连接统计取消配置好QoS策略的界面如下图所示。带宽管理爾加搔口名称上级圜里下巍修改删隊D&vthiaclass上传类忧先级由保证带宽-TKTp瓦限制带宽：TKB尸classICMP上传上传类忧先级;0保证带宽:lKBp勾限制带S：7KBPsaruleICMP-nl:tciif上传忧先级：1原任意.目的:任意 服务;PTHG时间-工作时段aIriJLt传上偎类忧先级倔证带宽:ZKBp舟限制带宽：7KBpsarule 服务 中的“自定义服务”页签）中添加 TCP: 445端口这样一

8、条服务，再在 QoS策略中的设置 一条针对该服务的带宽控制规则。2）在设置带宽控制规则时，策略源、策略目的和服务均不可选择“任意”，最好选 择“ any”地址资源或者根据需要定义的地址范围、子网、或者用户组。3） 流量控制配置上传和下载的策略源和策略目的是相反的，女口FTP,在控制上传配 置时，策略源是 FTP客户端，策略目的是 FTP服务器；而在控制下载配置时，策略源则是FTP服务器，策略目的是 FTP客户端。4）在修改了 QoS策略后，需要点击管理页面右上角的“刷新页面”，使修改的配置生效。并且对于以前已经建立的连接如FTP、文件共享等，则需要重新连接后才能应用新的QoS策略。5）对于已经

9、添加的类，如果该类没有子类，可以直接点击“修改”图标进行修改。如果该类有子类，则必须首先删除子类，然后才能进行修改。6）删除一个接口或类时，必须先删除该接口或类的所有子类和规则。下载带宽管理基本需求子网1（ /24）需要从网段/24下载数据，网络卫士防火墙为其分 配7K （如果没有特殊说明单位均为字节 /秒）的限制带宽，7K的保证带宽。并对不同的 应用设置不同的优先级控制以及带宽优化：? ICMP为最高优先级，保证带宽为1K （最大限制带宽为 7K）? Web为第二优先级，保证带宽为 2K （最大限制带宽为 7K）? FTP为第三优先级，保证带宽为 2

10、K （最大限制带宽为 7K）? SMTP为最低优先级，保证带宽为1K （最大限制带宽为7K）配置要点带宽策略的设置包括以下方面：? 设置采用QoS的物理接口。? 在接口下设置一到多个类及其子类。? 在类下设置数据流的匹配规则WEBUI配置步骤1）设置采用QoS的物理接口。选择网络管理 流量管理，在“带宽控制”页面点击“添加接口”按钮，添加要应用下载带宽控制策略的物理接口ethl。接口的配置原则是以数据流流向为准，在数据流出防火墙的物理接口上配置才能生 效。2）点击接口 eth1对应的“下级”图标，在物理接口eth1 口下设置“下载类”及其四个子类：ICMP下载、Web下载、FTP下载、邮件下载

11、。a）添加下载带宽类“下载类”带宽規则类型：|class名称:下载类*父带宽：ethl优先级：fo保证带宽:7K* 卅,K,默认対:宇书每秒限制带宽：TI札址瓦默认为：字节毎秒独享：厂确定取消b）点击“下载类”所在行的“下级”图标，添加下载业务带宽子类，共分为4个优先级。“ICMP下载”为最高优先级 0,保证带宽为1K （最大限制带宽为7K）“ Web下载”为第二优先级 1,保证带宽为2K （最大限制带宽为 7K）“FTP下载”为第三优先级 2,保证带宽为2K （最大限制带宽为 7K）“邮件下载（POP3）”为最低优先级 3,保证带宽为1K （最大限制带宽为7K）设置完成后界面如下图所示。De

12、vethlclas5下戰木保证芾宽:睡U限制带宽gar d4SS嘶下毂下載类保证带宽：區3限制極mpgar d45S山下载下載类豔豔亟制带宽TKE”aellss呻下載下載类豔黠:羁限制带宽”像acls邮件下载5 下载类豔黠;匾限制带宽施”a需要注意的是：子类的保证带宽之和不能大于父类的保证带宽，每个类中的保证带宽的值不能大于限制带宽的值。3）设置带宽管理策略。点击“ICMP下载”所在行的“下级”图标，添加ICMP下载业务带宽规则（ICMP-down ）。图中的“时间”用户可以根据自己的需求，通过资源管理 时间 进行设置。点击“ Web下载”所在行的“下级”图标，添加Web下载业务带宽规则(We

13、b-down )。带宽理则翹：| rule3名称:W eb_down父带宽：冠下载策昭源：1一任意一*策略目的：F任意一服务类型：HTTP (TCP: 30)湘:pr作吋段I目複式：1共享H确定 取消点击“FTP下载”所在行的“下级”图标，添加FTP下载业务带宽规则(FTP-down)。服务热线：800810511982网络卫士防火墙系统 V3.3配置案例带宽規则类型名称皱芾宽忧先级| rulezllFTF-downFTP下载I】| 一任焉一策略洒策略目的服务类型複式|一一任意一3Z1服务热线：800810511983网络卫士防火墙系统 V3.3配置案例服务热线：8008105119#网络卫士

14、防火墙系统 V3.3配置案例点击“邮件下载（POP3）”所在行的“下级”图标，添加邮件下载业务带宽规则(POP3-dow n )。服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例类型名称父带宽优先级：卩| ruleF0F3-down策略目的服务类型时问視式确定 取消配置好QoS策略的界面如下图所示。邮件下羲（F0F3）3I 任意一任意一服务热线：800810511984网络卫士防火墙系统 V3.3配置案例服务热线：800810511985网络卫士防火墙系统 V3.3配置案例Devcl 5 5eth.1下载类

15、icmpT 载ethl下载类忧先皱;0保证带宽:T KEp勺限制带宽:TKBp s忧先级5保证带宽：1 KBp,限制带宽:TEEp I於rillsICMP-down工饰F下载忧先簸：1遞:任意，目的.枉意 服务:FING,时间：工作时段eliss牡b下载下载类优先皱：1保证带宽:2KEp Sj限制带宽:TKBpirials-MJ下載忧先级：】疲:任意，目的:任意 服务:HTTP.时间；工作时段classFTP下養下载类忧先级；2保证带宽-2KBpSj限制带宽:TKBpsruleFTP-downm下载忧先级;1源;任意，目的任意 服务:鬥片 时间：工件时啟cl直占占邮件下载c POPS)下载类忧

16、先盼俣证带宽：lKEpw限制带宽:TKBpnrilleF0F3-dovrit邮件下载【P0F3 )忧先簸：1源:任意，目的.任意 服务:P0F3,时间：工作时段aangnnanag服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例CLI配置步骤1）设置采用QoS的物理接口。#QoS in terface add dev ethl2） 在物理接口下设置“下载类”，保证带宽和限制带宽均为7K。#QoS class add n ame 下载类 pare nt eth1 priority 0 guara ntee 7

17、K limit 7K设置“下载类”的四个子类：“ICMP下载”为最高优先级，保证带宽为1K，限制带宽为7K ； “GTS下载”为第二优先级，保证带宽为2K，限制带宽为7K； “FTP下载”为第三优先级，保证带宽为2K，限制带宽为7K; “邮件下载（POP3）”为最低优先级，保证带宽为1K，限制带宽为7K ;。#QoS class add n ame ICMP 下载 pare nt 下载类 priority 0 guara ntee 1K limit 7K #QoS class add n ame WEB 下载 pare nt 下载类 priority 1 guara ntee 2K limit

18、 7K #QoS class add n ame FTP 下载 pare nt 下载类 priority 2 guara ntee 2K limit 7K #QoS class add n ame 邮件下载（POP3）pare nt 下载类 priority 3 guara ntee 1K limit 7K3）设置带宽管理策略。#QoS rule add n ame ICMP-dow n class name ICMP 下载 priority 0 src any dst any service PING schedule 工作时段内#QoS rule add n ame Web-dow n c

19、lass name Web 下载 priority 0 src any dst any service HTTP schedule工作时段内#QoS rule add n ame FTP-dow n class name FTP 下载 priority 0 src an y dst any service FTP schedule工作时段内#QoS rule add name POP3-dow n class name 邮件下载（POP3） priority 0 src an y dst any service POP3 schedule 工作时段内注意事项1） Windows的文件共享服务首

20、先通过 TCP: 139端口进行连接，如果连接不成功， 会使用TCP: 445端口，故针对 Windows文件共享服务做 QoS策略时，还需添加一条针 对TCP: 445端口的QoS策略，具体配置：先在自定义服务（选择 资源管理 服务 的“自定义服务”）中添加 TCP： 445端口这样一条服务，再在QoS策略中的设置一条针对该服务的带宽控制规则。2）在设置带宽控制规则时，策略源、策略目的和服务均不可选择“任意”，最好选择“ any”地址资源或者根据需要定义的地址范围、子网、或者用户组。3） 流量控制配置上传和下载的策略源和策略目的是相反的，女口FTP,在控制上传配 置时，策略源是 FTP客户端

21、，策略目的是 FTP服务器；而在控制下载配置时，策略源则是FTP服务器，策略目的是 FTP客户端。4） 在修改了 QoS策略后，需要在管理页面右上角点击 “刷新页面”，进行刷新操作， 使修改的配置生效。 并且对于以前已经建立的连接如 FTP、文件共享等，则需要重新连接 后才能应用新的QoS策略。5）对于已经添加的类，如果该类没有子类，可以直接点击“修改”图标进行修改。如果该类有子类，则必须首先删除子类，然后才能进行修改。6）删除一个接口或类时，必须先删除该接口或类的所有子类和规则。FTP带宽管理通过QoS（Quality of Service，服务质量）管理，用户可以根据实际用户网络规划， 方

22、便、灵活地定制带宽策略，防止带宽滥用现象，并可以确保关键应用的带宽需求。网络卫士防火墙的带宽策略采用了分层的带宽管理机制， 用户可以通过设置细粒度的 带宽规则来实现基于源和目的 IP地址（或地址段）、服务的带宽的集中管理。同时，同 层的带宽策略还可以根据业务需求，设置带宽策略的优先级，为关键业务流量优先分配带宽，从而合理、有效地为用户网络、用户分配带宽资源。基本需求为公司市场部的人员设置可用的FTP下载带宽?市场部经理保证带宽为2M（最大限制带宽为4M)?市场部员工保证带宽为1M（最大限制带宽为3M)?市场部配置保证带宽为2M（最大限制带宽为5M)市场部理首10.1 DJOJO1-10,10.

23、10210山场部-员T. IQ.10J0J 1- 10.10J0.200市场部-绊理10.10 JO.2-10.L0.10.10图13 FTP带宽管理示意图配置要点配置地址资源配置带宽策略WEBUI配置步骤1）配置地址资源选择 资源管理 地址，在“范围”页签中点击“添加”添加相应的地址范围。添加“市场部-经理”，如下图。添加“市场部-员工”，如下图。名称：市场部员工起贻地址：1D. 10. 10. 11终止地址：10.10 10. 20Q排除地址：并境连接数:*可输入事牛IF地址，用空格分开】确定 取消添加“市场部-配置”，如下图。地址范围JE性名称：币场丽配置*起贻地址：10 1d3o.2O

24、1*终止地址：10. 10. iu. 21)|*排除地址：可输入多个IF地址用空格分开并按连接数2）配置带宽策略ethO。选择网络管理 流量管理，在“带宽控制”页签中点击“添加”添加接口服务热线：800810511990网络卫士防火墙系统 V3.3配置案例服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例点击接口 ethO的“下级”图标，添加总带宽类（ftpl ）。服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例*町髓默认

25、为：字节毎* IX %默认为:字节每确定 舰消在接口下的一级子类的保证带宽和限制带宽必须相等。点击“ ftpl ”的“下级”图标，添加市场部经理带宽子类( ftp1-1 )。帶宽規JU类型：|class名称：ftPl-l*父带宽：ftpl优先级：0保证带宽:2M:*吐总默认为：宇节毎秒】限制带宽：叫他K.軼认为：字节毎秒r确定 取消点击“ ftp1-1 ”的“下级”图标，添加市场部经理带宽规则( ftp1-1rule )。服务热线：800810511991网络卫士防火墙系统 V3.3配置案例带宽垠则类型：| rule名称:tpl-Lrule*父带宽：tpl-l忧先簸：策略鴻：“任意一策略目的：

26、j市场部一经理范围1F服务类型:|FTP (TCP:21)时间：1工作时段模式：共享zj图中的“时间”资源，用户可以根据自己的需求，通过资源管理 时间进行设置。点击“ ftpl ”的“下级”图标，添加市场部员工带宽子类( ftp1-2 )。带噩規H1类型：| class名称：ftpl-2*父带宽：ftpl优先级;1W保证带宽：IM咖瓦默认为：孚节每秒限制带宽：独：3IM 秒r*MA默认为：字节毎1确定1职消1点击“ ftp1-2 ”的“下级”图标，添加市场部员工带宽规则( ftp1-2rule )。类型| rule名称ftpl_2riiLe父带宽ftpl-2忧先飯I1策略源 策略目的 服务类型

27、 时何 模式卜-血一9一员工范围dFTP CTCP:21)|工作时段服务热线：800810511994网络卫士防火墙系统 V3.3配置案例服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例点击“ ftpl ”的“下级”图标，添加市场部配置带宽子类( ftp1-3 )。带噩規則灯此瓦默认为：孚书每就乩K,默认为：字节毎服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例点击“ ftp1-3 ”的“下级”图标，添加市场部配置带宽规则( ftp1-3rule )。服务热线：8008105119#网络

28、卫士防火墙系统 V3.3配置案例服务热线：800810511995网络卫士防火墙系统 V3.3配置案例类型名称忧先级策略目的 服务类型 时间 模式卜-任意一比市场部一配置麗围创|FTP (TCP: 21)jr曲J服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例配置好的页面如下图。带宽酋理类型名称DivelhOclasstplclass ftpl-2rule： ftpl-2ruleclassftp1-3rule：ftpl-3rule上锻属性ethOt5M：0保HE带宽:5MEps|限制蒂宽:5WEp5ftpl

29、ftpl-1保证带宽限制带宽:Wpi雌级：1遞:枉意，目的:市场部-经理 服务:Fit时间：工作时段tpl flpl-2忧删;0保证带宽;血云限制带宽；3MEpS雌级：1堰.枉意，目的:市场部-员工 服务:FTP,吋间：工柞吋段ftpl保证带宽園丽限制带宽；5WEPSflpl-3忧先鏤：1贩:任意目的.市场-N 月艮务:FTF,时间：工作时段O加接口下飯隆改删除服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例服务热线：8008105119#网络卫士防火墙系统 V3.3配置案例子类的保证带宽之和不能大于父类的保证带宽。3）验证本例中，市场部-经理使用FTP进行下载的最大速率不

30、会超过4Mbps。其通过CuteFTP下载文件时的截图如下。卜阳吨 Addr* | 叱-A | 5ize | Progres Local Speed ElapsedF Norton Anti. 192.4 294.73 .F:Norto. 30.18 mbs 0:01:16可以看到下载速度是30.18mbs，此处显示的速率是兆比特 /秒，换算成兆字节/秒后的值为3.7725 （字节等于八比特），小于市场部-经理的限制带宽（4M ），大于其保证带宽（2M）。说明该子类在其他子类（如ftp1-2或ftp1-3 ）没有FTP流量的前提下，“借用”了它们的带宽。至此，FTP带宽控制策略配置完成。CLI配置步骤1）配置地址