流量整形及接入控制系统实训教程

1、第二章 系统管理2.1 概述本章节是系统管理，包括DCFS设备的一些基础类日常管理和操作。比如，安装环境、默认配置、配置电源管理、设置系统时间、管理员设置、修改密码、日志查询、软件许可等可管理的内容，目的是确保系统的正确运行以及维护调试。2.2 安装环境DCFS流量控制网关产品是一台标准的19英寸设备，除以下基本要求外，对安装环境没有其他特别的要求：温度： 10-40相对湿度： 运行湿度：10-90%标准电压： 220V 50Hz网络接口： 10/100/1000 BaseTX/SX流量控制网关产品的客户端管理工具是基于WEB方式的，所以客户端不需要哦安装特殊的软件，只要有通用的浏览器软件即可

2、。建议客户端运行环境为：操作系统： WindowsNT/XP/7浏览器： IE5.0显示器设置： 分辨率1024*768,小字体2.3 系统的缺省设置服务地址： 54管理界面URL： 54:9999/管理员名称： admin缺省密码： Admin123(注意A为大写)Console口管理员：rootConsole口密码：abc123管理员可以在一台可以访问到流量控制网关设备网络地址的计算机上，打开浏览器在地址栏中输入54:9999/，然后选择“是”确认安全警告，则进入管理员登录界面。管理员输入正确的用

3、户名和口令并提交后，则进入WEB管理工具的主菜单，如下图所示，从左到右，共分为五个功能区：系统管理、网络管理、对象管理、控制策略、系统监控。此时管理员即可开始对系统进行操作，任何时候如果管理员连续十五分钟没有任何操作而且没有退出登录，则系统自动强制该管理员退出登录状态，管理员要想重新使用WEB管理工具，必须重新登录。 图2 WEB管理工具主菜单进入系统后，首先显示的是首页的信息，首页的信息是目前系统状况的综合报告，共包含如下几个方面的信息：系统信息、硬件信息、网络接口信息、应用流量信息（目前吞吐量最高的六种应用）、带宽通道状态等。可以通过点击页面顶部的工具条快速进入“首页”、“保存全部配置”以

4、及“退出系统”的功能页面，如下图所示：图4 系统首页信息2.4 添加/修改管理员这部分菜单完成对系统管理员的管理，包括添加管理员、设置管理员属性、删除管理员等。2.4.1 管理员点击该菜单进入“管理用户列表”页面，如下图所示，可以看到所有的管理员列表。图5 管理用户列表如果当前登录的管理员有足够的权限，可以点击链接“删除”删除管理员，也可以点击链接“修改”修改管理员信息，此时进入“修改管理员属性”页面，如下图所示：图6 修改管理用户属性上图中除用户名不可修改外，各输入项的含义与“新增管理员”基本相同。通过选择权限并点击箭头按钮来增减管理员权限；为保证安全，修改管理员密码时要求同时输入当前操作管

5、理员的密码和要修改的管理员的新密码。2.4.2 添加/修改管理员点击右上方的进入“新增管理员”链接，可以增加新的管理员，如下图所示：图7 新增管理员其中各输入项的含义和输入方法如下：【新增管理员名称】输入新增管理员名称，合法的名称为字母和数字的组合，注意只可以使用小写字母。【请输入新管理员密码】输入新增管理员的密码，合法的密码为大小写字母和数字和其它自负的组合。请注意系统区分大小写。【请再次输入密码】再次输入新增管理员的密码，请注意与第一次输入的密码保持一致。【状态】新增管理员的状态。如果选择状态为“非激活”，该管理员增加后不能立即使用，必须激活后才可使用。【请选择新增管理员的权限】设置新增用

6、户的权限。2.4 添加/修改管理员这部分菜单完成对系统管理员的管理，包括添加管理员、设置管理员属性、删除管理员等。2.41 管理员列表点击该菜单进入“管理用户列表”页面，如下图所示，可以看到所有的管理员列表。图5 管理用户列表如果当前登录的管理员有足够的权限，可以点击链接“删除”删除管理员，也可以点击链接“修改”修改管理员信息，此时进入“修改管理员属性”页面，如下图所示：图6 修改管理用户属性上图中除用户名不可修改外，各输入项的含义与“新增管理员”基本相同。通过选择权限并点击箭头按钮来增减管理员权限：为保证安全，修改管理员密码时要求同时输入当前操作管理员的密码和要修改的管理员的新密码。2.4.

7、2 添加/修改管理员点击右上方的进入“新增管理员”链接，可以增加新的管理员，如下图所示：图7 新增管理员其中各输入项的含义和输入方法如下：【新增管理员名称】输入新增管理员名称，合法的名称为字母和数字的组合，注意只可以使用小写字母。【请输入新管理员密码】输入新增管理员的密码，合法的密码为大小写字母和输入字和其它字符的组合。请注意系统区分大小写。【请再次输入密码】再次输入新增管理员的密码，请注意与第一次输入的密码保持一致。【状态】新增管理员的状态。如果选择状态为“非激活”，该管理员增加后不能立即使用，必须激活后才可以使用。【请选择新增管理员的权限】设置新增用户的权限。2.5 设置系统时间点击该菜单

8、，进入“设置系统时间”页面，如下图所示，管理员可以重新设置系统时间。为保证安全，必须同时正确输入管理员密码，才能提交此操作。注意：不恰当的修改系统时间可能引起严重的系统错误，请谨慎进行此操作。图8 设置系统时间2.6 保存全部配置点击该菜单进入“保存设置”页面，输入管理员的密码，点击“保存设置”按钮可以保存当前全部设置信息，包括网络设置、规则设置等。图9 保存全部设置2.7 查询操作日志点击该菜单进入“查询操作日志”页面，在这里可以根据管理员名称、操作时间或者管理员的登录地址等条件查询管理员的操作日志，如下图所示：图10 查询操作日志查询结果如下图所示：图11 操作日志查询结果2.8 更新/升

9、级系统设备支持完善的系统升级，升级共分为两种：一种是应用协议库的升级；另外一种是整个系统Firmware的升级。2.8.1 协议库升级厂家会定期发布协议库升级的文件，用户在界面点击“浏览”选择需要升级的协议库文件即可，如下图所示：图12 协议库升级协议库升级后会自动重启系统。2.8.2 系统升级系统升级是系统固件的升级，升级之前需慎重，升级的过程不能被打断，否则会出现设备不能正常启动的情况。系统的升级支持多种方式：HTTP、FTP以及TFTP，用户需要准备HTTP、FTP或者TFTP Sever，将升级的固件文件放到相应的Sever目录下，将URL（地址）输入到输入框中，输入管理员密码，系统会

10、自动升级重启，升级的开始如果提示错误，可能是输入的地址错误，也可能是升级包的版本或者兼容性的问题，请联系厂商。图13 系统升级2.9 配置文件管理这部分菜单完成配置文件备份和重载的功能。2.9.1 配置文件下载点击该菜单进入“下载配置文件”页面，可以把保存系统所有配置信息的配置文件下载到本地计算机备份。下载之前必须正确输入管理员自己的密码，点击“下载”按钮后选择“讲该文件保存到磁盘”，然后指定保存到本地的目录和文件名即可。图14 配置文件下载2.9.2 配置文件上传当需要从备份的配置文件恢复系统时，点击该菜单进入“上传配置文件”页面，恢复配置需要重新启动系统，如下图所示：图15 配置文件上传2

11、.10 重启/关闭系统点击该菜单进入重启/关闭系统页面，如下图所示，此页面内有两个选项：“关闭电源”和“重新启动”，用户可以选择其中一项操作，点击“确定”后进入到另一个请求确认的页面，用户可以选择“取消”撤销操作，或选择“确认”执行操作。图16 重启/关闭系统2.11 恢复出厂配置该功能可以讲系统的配置恢复到出厂状态，出厂设置需要在系统重新启动后方能生效，因此使用该功能系统需要重新启动。恢复出厂设置需要输入admin密码方能使用。点击该菜单进入恢复出厂设置页面，如下图所示：图17 恢复出厂设置2.12 软件许可点击该菜单进入“增加/修改稀客协议”页面，在这里可以输入由生产厂商提供的许可协议，但

12、必须同时输入管理员密码才能提交图18 软件许可注意：软件许可协议是为了保护生产厂商知识产权采取的安全措施。2.13 注销点击该菜单退出当前登录状态，进入初始等待登录状态。第三章 网络管理3.1 概述本章节是网络管理部分，这一张是DCFS系统网络控制功能的主要内容，也是管理员通过DCFS系统正确配置和管理网络的基础操作内容。如果网络设置不正确，就会造成系统不正常运行或起不到应有的作用。该章的内容主要包含网络接口设置、路由设置等。3.2 网络接口设置这部分菜单可以显示设备的所有网络接口状态，并可以进行重新设置。图19 网络接口列表在上图中，点击“设置”链接，则进入“重新设置网络接口参数”页面，如下

13、图所示，可以重新设置网络接口支持的介质类型、IP地址和掩码。此处合法的IP地址和掩码均为十进制点分格式。重新设置并确认后，配置立即生效，但配置结果并没有保存，如果机器重新启动，此次配置结果丢失，恢复到配置前的状态。图20 重新设置网络接口参数【介质类型】显示网卡目前支持的介质类型，用户可以根据实际的情况选择网卡的类型。默认为自适应。【网桥】用户可以设置该网络接口所在的网桥，同一网桥上的网络接口可以自由通信。用户可以将不同的网卡设置为同一个网桥组，系统默认支持8组网桥，一般配置的时候选择标号为5以上的网桥，5以下的网桥一般用作调试。【网络区域】见3.6节3.3 路由设置这一部分菜单显示流量控制网

14、关当前的路由表，并可进行修改。图21 路由参数设置用户可以添加/编辑/删除系统的路由表。一般需要添加默认网关的地址，如下图所示：3.4 VLAN设置这一部分菜单显示流量控制网关当前的VLAN设置表，并可以进行修改。点击该菜单进入“VLAN接口列表”页面，显示当前的VLAN设置情况。图23 VLAN列表点击每个VLAN的链接“设置”页面，可以对VLAN进行重新设置，如下图所示：图24 VLAN设置3.5 编辑接口名称接口名称列表实际上就是设备物理接口名称和用户定义名称的映射表。用户可以根据自己的网络拓扑和喜好定义不同的网络物理接口的名称（支持中文），使得接口容易辨认和区分。3.6 网络区域设置流

15、量控制网关默认内置了三个网络区域：内网、外网、服务区，内网一般指用户的内部网络，外网指用户想外访问的网络区域，服务器一般指链接服务器的区域，如日志服务器、管理终端等等。图25 网络区域设置网络区域共有五个属性，分别是：会话保持、应用分析、主机统计、会话限制、监控模式。会话保持是其他几项属性的基础，一般是必选项；应用分析是带宽分析的基础，一般设置在内网和外网区域中；主机统计是对内网主机速度、流量的实时统计，所以也一般选择在内网区域；会话限制和主机统计类似，一般附加在内网区域；监控模式是为了兼容性考虑，将设备进行旁路接入的时候选择，此时，设备只作监控而不做转发。3.7 Mac地址管理3.7.1 M

16、ac地址列表这个功能主要是显示当前经过设备的主机的Mac地址的列表，如下图所示：图26 Mac地址列表如果设备架设在网络出口处，主机如果经过了路由器或者三层交换，Mac地址不会在此列表中显示。3.7.2 新增Mac映射此项功能为Mac地址的绑定，将Mac地址与IP地址绑定，防止Mac地址盗用，如下图所示：图27 Mac地址绑定3.7.3 搜索Mac地址输入IP地址，查看IP地址经过设备使用的Mac地址。3.7.4 保存地址列表保存Mac地址绑定的列表。第四章 对象管理4.1 概述本章节是对象管理部分，DCFS系统在进行网络流量控制管理的时候是通过复杂的控制策略定义实现的，然而策略是由诸多策略对

17、象组合而成的，本章节着重介绍的是设置规则所需要的对象设置，包括应用对象管理、时间对象管理、服务对象、地址对象管理的内容。4.2 应用对象管理点击该菜单进入“应用对象管理”页面，可以看到系统当前激活的应用列表，如下图所示：图28 应用对象列表通过标题栏的“名称”和“流量”，管理员可以根据应用的名称和应用的流量对应用进行升序或者降序排列。为了方便管理员在添加访问策略或者管理带宽过程中快速选择带宽对象，系统将所有的应用种类分为了激活和非激活两类，在访问策略或者管理带宽过程中只列出被设定为激活的应用对象。通过点击新增应用对象按钮，管理员可以新增一个或多个应用对象，如下图所示：图29 新增应用对象【应用

18、名称】对新的应用协议使用的名称；【应用协议】包括TCP、UDP等等三层协议；【应用端口】新增协议使用的固定端口；【快速识别】使用快速识别能够迅速将符合此端口协议特征的数据分类。新增应用对象是对于应用对象列表中没有出现的协议的补充，例如，对于出现的新的游戏，对象列表中不能识别，可以通过添加新的应用对象来实现，新增的应用对象会出现在整个应用对象列表中，我们可以在带宽分配策略中进行引用。图30 新增的应用对象在列表中显示通过点击激活应用对象按钮，管理员可以激活一个或多个应用对象，点击图标或者在选择一个或则多个对象后点击“批量删除”按钮，管理员可以将选定的对象置为非激活状态。激活应用对象的对话框如下图

19、所示：图31 激活应用对象通过点击可疑应用列表按钮，用户可以定义可疑的应用，如目标端口为135、139端口的TCP连接可以定义为可疑应用，可疑应用的定义与“参数设置”中的“告警设置”配合使用。通过定义可疑应用会话等阀值，用户可以在日志服务器上得到可疑主机列表等信息。通过点击清空统计流量按钮，用户可以清空“应用对象管理”列表中的累计协议流量，进行重新计数。4.3 应用分组管理应用分组管理是将所有的应用列表手工定义为不同的分组，这样可以在策略定义中方便的引用，用户可以同时定义不同的分组，如下图所示：图32 定义应用分组4.4 HTTP对象管理点击该菜单进入“HTTP对象管理”页面，可以看到系统当前

20、激活的HTTP对象列表，如下图所示：图33 HTTP对象列表4.3.1 增加HTTP对象元素HTTP对象共分为五类元素：HTTP下载尺寸、URL元素、MIME元素、站点元素以及浏览器元素，管理员可以根据自己的具体需求指定元素，也可以将任意元素组合成一个HTTP对象使用。点击右上角链接“HTTP元素管理”，进行元素管理，如下图所示：图34 HTTP元素管理URL元素管理URL元素指的是HTTP协议的URL部分，通俗的说，是在浏览器地址栏显示的链接就是一个URL对象，点击“新增URL元素”，如下图所示：图35 新增URL元素可以使用“*”以及“？”来实现URL的匹配，如上图表示所有MP3下载的UR

21、L，其中“*”表示对多个字符的任意匹配，“？”表示对单个字符的匹配。MIME元素管理MIME元素指的是HTTP协议的MIME头，一般是指文件的类型，如“text/html”指的是一般的HTML网页，“application/zip”指的是zip类型的文件，“application/x-msn-messenger”指的是微软的MSN Messenger软件“audio/mpeg”指的是跟mp2,mp3等相关的音频文件，点击“新增MIME元素”，如下图所示：图36 新增MIME元素如上图所示，MIME元素的定义也支持“*”以及“？”的匹配。站点元素管理也可以称为主机元素管理，指的是HTTP协议头的

22、主机/站点域，如访问新浪的网页，主机域一般是，管理员可以通过设置站点元素来限制一些非法站点的访问，如设置“*”即限制对站点的访问，这种限制必须配合策略才能实现。图37 新增站点元素浏览器元素管理指的是HTTP协议头“User-Agent”域的定义，也就是用户端的浏览器类型。利用定义的元素组合HTTP对象如上文所述，HTTP对象包含五类元素，管理员可以根据自己的需求来组合选择，点击右上角链接“新增HTTP应用”，如下图所示：图38 新增HTTP对象1图39 新增HTTP对象2如上图所示，定义策略限制mp3下载尺寸，首先在“常规”页面定义尺寸的限制，上例定义的是4096K，即4M，在“URL”页面

23、里选择MP3的URL对象，上两项组合即定义了URL后缀名为mp3并且下载尺寸大于4M的mp3下载，和带宽策略配合使用，管理员可以给这类HTTP对象分配一个带宽通道，也可以直接阻断。4.3.2 使用HTTP对象管理员定义好HTTP对象后，必须和一定的策略相关联才能实现限制或者过滤的目的，HTTP定义完成后，可以将其看作是系统中普通的应用对象来使用，管理员甚至可以在“应用对象管理”中看到HTTP应用的实时流量，如下图所示：图40 HTTP对象在应用对象管理中的实时流量因此，管理员可以将其看作是普通的应用对象来使用。例如，在“控制策略”->“应用访问控制”中可以实现HTTP对象的阻断，即禁止使

24、用，例如管理员可以定义一些站点禁止用户访问。在“控制策略”->“带宽分配策略”中可以限制某种HTTP应用的带宽，例如管理员可以定义MIME类型和下载尺寸的HTTP对象，通过分配带宽来限制mp3、电影等应用的下载速率。4.4 地址对象管理这一部分菜单实现对地址对象的管理。地址对象可以方便的设定单一的地址或一个网段。点击菜单“地址对象管理”，首先进入地址对象列表显示页面，如下图所示：图41 地址对象列表用户可以通过该页面进行一下操作：【新增地址对象】增加一个新的地址对象。【保存地址对象】保存地址对象设置。地址对象的添加、修改和删除操作在成功后会立即生效，但如果不点击“保存地址对象”保存操作结

25、果，一旦机器重庆操作结果将丢失。【修改】修改指定的地址对象。【删除】删除指定的地址对象。地址对象的修改操作与新增操作类似，以下我们将以【新增地址对象】为例介绍如何设置地址对象。点击链接“新增地址对象”，进入“新增地址对象”页面，如下图所示：图42 新增地址对象其中，【名称】指该地址对象的名字；【类型】需要用户选择该地址对象是一个地址还是一个网段；【地址】用户输入主机地址或者网段地址；【掩码】如果用户选择的类型是网段，则需要输入该网段的掩码。4.5 服务对象管理服务对象是针对四层协议设计的，可以对TCP、UDP、ICMP等多种协议的基本会话属性进行管理。可以管理的属性有：TCP、UDP的源端口和

26、范围和目标端口范围，ICMP协议的代码，其他协议的代码。服务对象包括两类：系统服务对象和自定义服务对象。系统服务对象提供了一些常用的服务定义。用户自己定义的服务对象被称为自定义对象。服务对象的识别顺序在应用对象之前。点击子菜单“服务对象管理”，首先进入自定义服务对象列表显示页面，如下图所示：图43 服务对象管理用户可以通过该界面进行一下操作：【新增服务对象】增加一个新的服务对象。【系统服务对象】系统服务对象列表。【保存服务对象】保存服务对象设置。服务对象的添加、修改和删除操作在成功后会立即生效，但如果不点击“保存服务对象”保存操作结果，一旦机器重启操作结果将丢失。【修改】修改指定的服务对象。【

27、删除】删除指定的服务对象。服务对象的修改操作与新增操作类似，以下我们将以【新增服务对象】为例介绍如何添加或修改一个服务对象。点击链接“新增服务对象”，将出现一个新增服务对象表格，如下图所示：表格主要有两类数据组成：【服务民称】定义该服务对象的名称。【协议定义】设定没想服务的协议、代码、来源和结束等属性。其中【协议定义】定义了服务对象中每项服务的属性，目前可以支持的协议类型有：【TCP/UDP】定义TCP/UDP服务，如上图中第一行所示：来源起始：0，来源结束65535，目标起始：80，目标结束：80，表示所有访问80端口的服务。如果起始和结束是0和65535则表示所有的端口。【TCP】设置方式

28、与【TCP/UDP】相同。【UDP】设置方式与【TCP/UDP】相同。【ICMP】可以设定ICMP类型，例如：类型8表示PING，没有填写表示所有类型。【自定义】可以自己设置应用层协议代码，例如：代码115表示L2TP协议。4.6 时间对象管理这一部分菜单实现对时间组的管理。时间对象是一组时间的集合，目的是使规则能够在指定的时间内运行。点击子菜单“时间对象管理”，首先进入时间对象列表显示页面，如下图所示：图45 时间对象列表用户可以通过该页面进行以下操作：【新增时间组】增加一个新的时间组。【保存时间分组】保存时间分组设置。时间分组的添加、修改和删除操作在成功后会立即生效，但如果不点击“保存时间

29、分组”保存操作结果，一旦机器重启操作结果将丢失。【显示/修改】显示并可修改指定的时间分组。【添加时间段】在指定的时间分组内增加新的时间段。【删除】删除指定的时间分组。时间组的修改操作、添加时间段操作与新增操作类似，以下我们将以【新增时间分组】为例介绍如何设置时间分组。点击链接“新增时间分组”，进入“创建新的时间组”页面，如下图所示：图46 创建新的时间组其中，时间组的名称可以是大小写英文字母、数字、中文字符的组合，但重点不能包含空格，长度最长为8位。注意时间组的名字区分大小写字母，大小写不同为不同的时间组。输入时间组的名称后点击“提交”按钮进入“创建新的时间段”页面，可以给这个时间组添加时间段

30、，一个时间组可以添加多个时间段，如下图所示：图47 创建新的时间段该页面自上而下分为三部分：【星期选择】可以选择一个或多个星期；【时间输入】可以输入起始时间和结束时间限定一个时间段，时间输入格式比较自由，但起始时间和结束时间的格式必须一致。如上图所示，第一部分与第二部分之间是“与”的关系，即只有同时满足第一部分和第二部分条件限制的时间才为有效时间。第一部分与第二部分可以只输入一部分。【规则生效范围】可以从两个选项中选择一项：“在此时间之内”和“在此时间之外”。实际上，只有当一个时间组包含两个以上的时间段时，“在此时间之外”选项才有意义。如果表示每月1日到10日，但星期一除外的时间组可以包括两个

31、时间段，一个时间段为每月1日到10日“在此时间段之内”，另一个时间段为每个星期一“在此时间段之外”。一个时间段内，星期与起始/结束时间的关系是与的关系。一个时间组的多个时间段之间是或的关系，即当前时间只需满足某个时间段条件则匹配该时间组对象。4.7 地址组对象管理地址组是地址段的集合，一条过滤规则可以通过地址组对象应用于多组地址。点击子菜单“地址组管理”，首先进入地址组列表显示页面，如下图所示：图48 地址组列表可以看到所有的地址组，每一个地址组记录中都有两个链接：【显示/修改】查看该地址组的全部地址信息，并可以对地址组包含的抵制和地址组名称进行修改。【删除】删除指定的地址组在列表页面上方，有

32、两个功能链接：【新增地址组】新增一个地址组。【保存地址组】保存地址组的设置。4.7.1 新增地址组（1）点击链接“新增地址组”，可以增加一个新的地址组，如下所示：图49 创建新的地址组其中，地址组的名称可以是大小写英文字母、数字、中文字符的组合，但中间不能包含空格，长度最长为30位。注意地址组的名字区分大小写字母，大小写不同为不同的地址组。（2）输入地址组名称后点击“提交”进入地址组“显示/修改”页面，如下图所示：图50 添加地址组该页面提供了三项功能：【重命名】修改地址组的名称。【新增】在地址组中新增地址段。【修改】提供批量输入/更改地址组中的地址段定义，修改将覆盖原有的地址段。新增和修改的

33、输入格式大致相同，区别是新增只能输入一条地址记录，而修改能输入多条，以下我们以修改地址组为例，如下图所示：图51 修改地址组点击【修改】选项后，地址组的内容将显示在输入框内，可以直接进行批量修改，用户可以通过格式选择框选择输入格式，可供选择的输入格式有：【起始地址/结束地址】一段地址范围，比如：-00【地址/掩码】地址/掩码，比如：/【地址/反掩码】地址/反掩码，比如：/55【起始地址/数量】起始地址/数量，比如：/256表示192.168.1.

34、0-55总共256个地址。4.7.2 显示/修改地址组点击链接“显示/修改”地址组，可以进入地址组显示和修改的页面，如下图所示：图52 显示/修改地址组在该页面中，用户可以查看地址组中包含的地址段，并可以新增、删除、或批量修改地址组内的地址段。地址组显示和修改的方式与前一节“新增地址组”中第（2）部分的描述基本相同。4.7.3 删除地址组点击该链接可以删除指定的地址组。4.7.4 保存地址组点击该链接可以保存本次地址组操作结果到配置文件中，地址组的添加、修改和删除操作在成功后会立即生效，但如果不点击“保存地址组”保存操作结果，一旦机器重启操作结果将丢失。第五章 控制策略5

35、.1 概述本章节是DCFS系统的规则管理部分。规则管理是网络用户接入控制的关键技术，规则使用的正确与否，决定了系统是否能按照用户要求正常运行，所以管理员在操作使用前一定要详细阅读这张的内容。该章的内容包括参数设置、应用访问控制和带宽策略分配等。5.2 参数设置点击该菜单进入“参数设置”页面，如下图所示，共三个页面，可以对系统处理TCP/IP协议的一些重要参数进行设置。图53 会话限制会话限制系统会话限制：【最大并发会话数】指系统处理的最大会话数，超过此会话数系统将不在做协议分析和流量控制，这个数值跟型号和内存密切相关，建议使用默认值。【新建会话保护】指对受到类似于SYN FLOODING攻击时

36、的处理，当受到攻击时，处于保护默认将限制“新建会话速率”，即新建会话数量。【主机会话限制】对于会话表中每个主机会话的限制。【最大会话限制】每个主机最大的会话限制；【会话速率限制】指单个地址允许的最大会话建立速率，单位为个/秒。点击“确认”提交当前的输入结果，点击“重置”页面内的数据恢复到修改前的状态，但并没有提交，必须点击“确认”按钮提交。图54 会话超时会话超时“会话超时”页面内各输入项的含义如下：【TCP保持时间】系统处理TCP协议的超时时间。包括四项：“新建会话”指新建会话的处理时间；“连接关闭”指TCP连接关闭时握手信号的的超时时间；“空闲超时”指TCP连接五数据传输关闭的超时时间；“

37、其他状态”指除以上两种情况外的其他超时时间。【ICMP保持时间】系统处理ICMP协议的缺省超时时间。【其他会话保持时间】系统处理其他协议（除ICMP、TCP以外）的超时时间。图55 告警设置告警设置【启用告警】设置是否启用告警；【告警间隔】告警的间隔时间，即写入日志服务器的时间间隔；【可疑会话】可疑会话的域值，即每5分钟的会话数超过某个域值即为可疑会话告警；【半开链接】半开链接的域值，即每5分钟的半开链接数超过某个域值即为半开链接超出告警；图56 其他参数其他参数【并发主机数目】系统主机统计处理的最大主机数；【识别主机欺骗】为了得到精确内网主机实时统计，防止伪造内网源地址的主机欺骗；【拦截Fl

38、ooding病毒流量】拦截具有明显病毒Flooding特征的流量；【拦截非正常单向流量】拦截数据报特征未知的单项流量；【拦截IP分片（Fragment）数据流量】拦截Fragment流量；【行为分析】不仅仅根据数据报的特征分析，还能根据终端数据传输的行为特征来分析，主要应用于P2P以及流媒体协议；【记录主机日志】记录所有内网主机的通信流量；【通过路由旁路阻断】通过旁路的方式阻断TCP的P2P链接；【MSS自动修复】自动拨号时的MSS值自动修复；【HTTP协议深度识别】支持4.3节的HTTP对象深度识别功能。【其他协议深度识别】对于其他诸如加密等协议的深度识别，是协议特征识别的补充；【通过路由旁

39、路阻断】只适合于旁路模式进行协议流量控制。5.3 预置安全规则当系统受到攻击或者是系统连接的某些线路出现问题时，用户可能会需要暂时禁止某些来源IP和端口的访问，也可能因为某些安全原因，系统需要禁止目标IP和端口的访问，此时需要预置安全规则来做简单的安全策略。打开“预置安全策略”，如下图所示：图57 预置安全策略规则表内各条规则在规则列表中的前后顺序可以调整。过滤规则列表中每条规则的“位置”项都有链接或或二者都有。点击则该条规则向前移动一个位置，点击规则向后移动一个位置。规则的检查顺序：数据在依照规则检查时的顺序是自上至下依次检查，如果它的操作为“调用”则跳转到被调用的规则组内继续按顺序检查，如

40、果用户想禁止某个IP，最好将其放到列表的最前面优先执行。规则列表中还向用户提供了改变所列规则运行状态的功能，课改变的规则状态有三种操作：“使规则生效”、“使跪着失效”、“删除规则”。具体操作方法如下：在规则列表第一列选中要进行操作的规则，在规则列表下方选择要进行操作的类型，点击相应的按钮即可。用户还可以通过规则列表中的编辑功能链接对每条规则进行修改。规则修改与新增规则的界面与操作方法基本相同，如下图所示：该窗口内包含六个页面。“常规”页面用于设定该规则的基本属性。“来源”、“目标”、“服务”页面分别用来指定该规则适用的地址范围和服务类型。“会话”页面设定该规则如何对会话进行控制。“高级”页面设

41、置该规则的高级属性。“常规”页面内各输入项的含义如下：【名称】用户自己指定的用于识别不同规则的名称。【操作】数据包匹配该规则后对其所作的操作。可供选择的选项有：放行：让数据通过，在“会话保持”方式下，如果一条书记连接匹配并执行该规则，系统会自动记忆该连接及其状态，并对该连接流入和流出的数据保持放行状态。拦截：不让数据通过，用户可以选择“拦截返回类型”，可提供选择的返回类型有：针对TCP链接的RST（即拒绝连接），通用的网关型ICMP（以网关的身份向连接的发起方发送目的不可到达信息）和主机型ICMP（以主机的身份向连接的发起方发送目的不可达信息）调用：执行其他规则分组，匹配该规则的数据将跳转到被

42、调用的规则组内继续进行规则匹配检查，检查完毕后，如果没有停止标志则返回到调用规则的下一条继续检查。转发：将数据转发或者复制到其他节点，必须选择转发到系统的那个网络接口，转发到那个IP为可选项。【接口】匹配本规则的网络接口，包括来源接口与目标接口。“”左侧为来源接口，右侧为目标接口。缺省可以选择所有接口，但选择正确的接口可以提高系统的规则检查速度。【时间】规则限定的有效时间段（规则在该时间段范围内才有效）。时间段可以指定为某个时间对象的范围内或范围外，时间对象在对象管理章节中的时间对象中将详细描述。5.4 应用访问规则应用访问规则是针对应用协议的访问控制，利用应用访问规则可以快速禁止管理员指定的

43、应用协议，如BT、Edonkye、MSN、QQ等协议。点击该菜单进入应用访问规则列表页面，可以看到系统当前应用访问规则的列表，如下图所示：图58 应用访问规则点击“新增规则”，如下图所示：图59 新增应用访问规则应用访问规则的设置和5.3系统访问策略的设置方式基本相同，支持移动规则、改变规则运行状态、删除规则和编辑规则的功能。在访问策略的执行顺序上，系统首先检查系统访问规则内的策略，如果匹配规则设定了内容分析功能，则启动内容分析引擎新进分析，如果分级结果为某类已知应用则对应用访问策略表进行扫描，检查是否有配置相匹配的规则，因此应用访问规则主要是对系统访问规则放行的数据进行二次处理。点击“新增应

44、用访问规则”按钮，可以添加应用访问规则，新增的应用访问规则的“操作”一般是“拦截”，管理员在“应用”的页面内可以选择一种或者多种网络应用，从而实现对具体应用的访问策略进行管理，如下图所示：图60 应用访问规则设置5.5 带宽通道管理点击该菜单进入“带宽通道管理”页面，如下图所示：图61 带宽通道管理设置图中显示了当前全部的带宽分配策略。带宽分配策略为树状结构，可以分为多个分支，每一个分支内分配策略的最低带宽之和不得大于该分支母节点的带宽。用鼠标点击一条分配策略，可以选择“修改”或“删除”分别修改或删除改掉策略。带宽通道的一般配置步骤：首先点击右上角的“新增贷款通道”设置根节点，根节点一般设定为

45、您想要控制的接口的总带宽，例如，一根528KB的双工线路（进出都为528KB），可以在策略类型中选择“双向控制”，接口带宽设置为“528KB”，如下图所示：图62 设定带宽分配策略各个输入项的含义如下：【策略名称】用户可以按照自己的习惯为策略取名字；【策略类型】表示表示该接口是对网络流量进行双向控制还是只进行单项控制（流出）；【接口带宽】用户想要控制的接口带宽的大小；【保留带宽】用户对于接口带宽不想全部使用/控制而保留的带宽；【优先级】此带宽分配策略的优先级“终端控制”页面可以使用户精确控制每个用户的“带宽上限”，而且支持“上限带宽的自动分配”，即所有内网的用户可以根据当前的网络状况自动均衡，

46、避免了个别用户占用带宽过多的情况。如下图所示：图63 设定带宽分配策略-终端控制其中：【带宽上限】指每个终端的带宽上限；【队列尺寸】终端缓存的队列尺寸，一般使用默认值；【策略选项】“上限带宽的自动分配”指上述的自动均衡功能；“自动调整窗口尺寸”指根据网络状况自动调节TCP传输速率。“高级设置”是一些只有特殊情况下才使用的参数设置，一般建议使用默认值。【队列尺寸】表示一组策略的缓冲队列尺寸大小。【基于终端TCP流量整形优化】TCP流量整形优化特性。设置完根节点的带宽通道后，用户可以根据自己的需要设置具体应用或者其他定义的带宽子通道。例如，我们可以设置一个命名为“BT限制”的子通道，在“100M接

47、口”通道右侧点击“新建子通道”，如下图所示：图64 新建带宽子通道其中：【策略名称】用户可以按照自己的习惯为策略取名字。【策略类型】表示该接口是对网络流量进行双向控制还是只进行单向控制（流出）。【带宽上限】指本通道可以使用的最高带宽。【带宽下限】指本通道使用的最低带宽。【优先级】此带宽分配策略的优先级。【策略选项】“允许超出带宽上限”，指分配的带宽通道在总带宽中有冗余的时候可以超出自己的带宽上限，也就是说可以借用别的带宽通道资源：“允许租出下限带宽”指的是当本通道的带宽没有被全部使用的时候可以暂时借给其他有需要的带宽通道使用。子通道建立完成后，就可以在带宽分配策略中使用了。5.6 带宽分配策略

48、定义了带宽分配策略后就可以给不同的网络应用和来源/目标地址指定不同的分配策略。点击该菜单进入“带宽分配策略”页面，显示系统所有的带宽处理规则，如下图所示：图65 带宽分配策略需要指出的是，系统匹配规则是是按照列表中自上而下的顺序，当检查到第一条匹配的规则后，系统将不再继续检查后面的规则。处理规则在规则列表中的位置可以调整。带宽处理规则列表中每条规则的“移动”项都有 或或二者都有。点击则该规则向前移动一个位置，点击策略向后移动一个位置。新增或编辑一条规则的页面如下图所示：图66 新增带宽分配策略该界面内还有五个页面：“常规”、“服务”、“来源”、“目标”、“高级”。“常规”页面内定义该策略的基本

49、属性，“来源”、“目标”、“服务”页面定义该策略适用的地址范围和服务类型，“高级”定义一些高级属性。“常规”页面内容各输入项的含义如下：【规则名称】用户可以按自己的习惯指定规则名称。【带宽通道】可以从下拉菜单中选择该规则只用的带宽通道。【接口】该规则适用的数据报的来源和目标网络接口。【优先级】该规则执行时与其他规则相比的优先程度。【生效时间】该规则的生效时间。与过滤规则生效时间设置相同。“服务”页面用户可以选择系统支持的所有服务和应用协议：图67 新增带宽分配策略-“服务”系统支持多选，例如用户可以将所有的P2P协议全部选定，制定统一的分配策略。“来源”、“目标”页面内列出了所有的地址、地址组

50、、用户组，可以多项选择，限定匹配该规则的数据包属性。“高级”页面只有在特殊情况下可以使用，一般使用默认值。5.7 二级带宽策略一般晴空下不需要二级带宽策略，在较特殊需求的情况下，需要使用二级带宽策略，例如这样的需求：学校需要限制每个学生的带宽总量，在此基础上，学校需要限制总出口P2P的流量。举个例子：学校共有100M带宽，学校限制每个学生512K上网带宽，然后学校还需要在总出口处限制P2P的流量不超过10M，两个简单的策略不能实现这种需求，必须使用二级带宽策略（否则会出现主机流量叠加的情况），做法如下：先生成一条带宽分配策略，功能是“限制每个学生512K上网带宽”，做完这条策略后，需要做一条二

51、级带宽策略，这条二级带宽策略的做法类似于5.5，但是有两点区别：一是带宽通道的位置，按照5.5的做法，我们需要建立一个10M的P2P带宽通道，因为是二级带宽通道使用的策略，所以如果都属于总出口的子通道，会出现重复统计的问题，因此此处所作的通道必须与总出口的通道属于同一级，如下图所示：图68 二级带宽策略关于第二个通道的生成制定好10M的P2P带宽通道之后，点击菜单“控制策略”->“二级带宽分配策略”，这是与示例三的第二个区别，如下图所示：图69 二级带宽策略菜单下面的做法就和5.6一样了，选择图68的带宽通道，选择来源地址组，生成二级带宽策略即可，如下图所示。图70 二级带宽策略策略完成

52、后，就能实现最初用户的需求了。综上所述，二级带宽策略其实包含两条策略，一条是正常的策略，另一条是所谓的二级带宽策略和正常的策略配合使用，已满足用户的特殊需求。5.8 分区统计策略如果管理员需要对内网的用户做分区统计，详细分析每个区域流量、以及应用比例，则需要定义“分区统计策略”。点击“控制策略”-“分区统计策略”，如下图所示：图71 分区统计策略点击右上角链接“新增”，打开新增“分区统计策略”的定义，如下图所示：图72 新增分区统计策略如上图所示，可以设置新增分区策略的各个域：【分区名称】该分区的名称定义，支持中文；【统计选项】选中则统计该分区的应用流量，即实时对该分区的流量进行实时分析；【分

53、区地址段】分区的起始和结束地址段。分区统计的数据必须通过日志服务器显示。第六章 系统监控6.1 概述本章节是在线监控部分，包括带宽流量监控、磁盘监控、在线管理员监控等系统的管理工具，目的是让管理员能够实时掌握系统的运行状态，对网络的应用状况进行实时跟踪和分析，及时发现当前网络系统中存在的流量问题，同为DCFS流量控制规则的进一步改进和优化提供数据依据。从而时间高效、编辑的监控功能。6.2 流量分析图点击该菜单可以看到系统的流量分析图，该流量分析图根据管理员的设置采用区域叠加的方式显示相应的流量，每种应用的流量都使用特定的颜色进行标定，在分析图的下方，分别列出了每种应用流量在统计周期内的最大值、

54、最小值、平均值和当前值。此外，管理员还可以通过最下方“选择流量分析图”的选项栏选择显示当日、本周的流量、流出以及总流量分析图。如下图所示：图73 流量分析图6.3 系统状态监控点击该菜单可以看到一组系统参数图，如下图所示，描绘了一些系统重要参数的变化形势，包括CPU使用率、物理内存使用情况、swap区使用情况、各个网络接口的进出流量统计。图74 系统状态这一组图显示的数据时最近24小时内每5分钟的平均值，其中物理内存使用情况图有两条线，绿线表示所有被系统占用的内存，蓝线表示系统实际使用内存；网络接口形势图也有两条线，绿线表示流入流量，蓝线表示流出流量。每个参数图都有一个链接，点击图形链接可以进

55、入该参数的详细形势图页面，在该页面内可以看到日形式图、月形势图、周形势图、年形势图，数据分为5分钟平均值、30分钟平均值、2小时平均值、24小时平均值。6.3.1 CPU状态点击该菜单进入“CPU使用情况详细形势图”，如下图所示，共有四张小图，分别为日形势图、月形势图、周形势图、年形势图，数据分别为每5分钟内、每30分钟内、每2两小时内、每24小时内的平均CPU使用率。图75 CPU详细形势图6.3.2 内存状态点击该菜单进入“内存使用情况详细形势图”，如下图所示，共有四张小图，分别为日形势图、月形势图、周形势图、年形势图，数据分别为每5分钟内、每30分钟内、每2小时内、每24小时内的平均值，绿线表示所有被系统占用的内存，蓝