hcsce防火墙虚拟化及带宽管理

防火墙虚拟化及带宽管理

前言在企业网络中对于防火墙的要求随着业务的多样化要求也相应增多，这一部分的需求包括防火墙的可靠性，防火墙的虚拟化应用以及对用户带宽的管控。本课程介绍防火墙双机热备、虚拟化和带宽管理的高级技术原理和配置。目标学完本课程后，您将能够:掌握防火墙虚拟化原理及配置掌握防火墙带宽管理原理及配置目录防火墙虚拟化技术1.1虚拟化技术原理1.2虚拟化基本配置1.3虚拟化应用场景及应用举例1.4虚拟化故障处理防火墙带宽管理技术…什么是虚拟化一虚多提升系统资源利用率降低硬件成本节省能耗、空间及管理成本多虚一简化运维可靠性高防火墙的虚拟化，就是将一台物理防火墙，从逻辑上划分为多台虚拟防火墙，但是共享CPU、内存等物理资源；不同的虚拟防火墙之间，配置、转发完全隔离，从而实现功能定制、个性化管理以及资源的最大化利用。防火墙的虚拟化WebServerFTPServerMailServer一台防火墙VFW1VFW2VFW3虚拟防火墙从VFW到VSYSinterfaceinterfaceinterfaceipvpn-instancevpn-instance-name上一代防火墙有各自的安全区域有各自的路由表绑定不同的接口就好像你得到了一台独立的防火墙！从VFW到VSYS（续）interfaceinterfaceinterfacevsysnamevsys-name下一代防火墙虚拟系统（vsys）同样可以：有各自的安全区域有各自的路由表绑定不同的接口从VFW到VSYS（续）可配置的功能项增加可分配的资源项增加VFW1独立的管理员和配置界面独立的软件资源VSYS1从VFW到VSYS（续）虚拟防火墙内部的安全策略配置：[FW]policyinterzonevpn-instancevfw1trustuntrust

outbound虚拟防火墙和根防火墙之间的安全策略配置：[FW]policyinterzonetrustvpn-instancevfw1untrustoutboundinbound表示根防火墙虚拟防火墙outbound表示虚拟防火墙根防火墙上一代防火墙NGFW策略配置不再依赖于复杂的域间关系，你可以像配置物理设备一样来配置虚拟系统！从VFW到VSYS（续）下一代防火墙虚拟系统内部的安全策略配置：[NGFW]switchvsysvsys1//进入vsys1独立的配置视图//[NGFW-vsys1]security-policy[NGFW-vsys1-policy-security]rulenamerule1[NGFW-vsys1-policy-security-rule-rule1]source-zonetrust[NGFW-vsys1-policy-security-rule-rule1]destination-zoneuntrust将VSYS1视为一台独立的防火墙，使用switch命令进入其独立的命令行配置视图。配置命令和方法和原来的物理防火墙一样。例如，配置源和目的安全区域时，不再需要带上vpn-instance。从VFW到VSYS（续）虚拟系统VSYS1和根系统root之间的安全策略配置：虚拟系统的配置：[NGFW]switchvsysvsys1[NGFW-vsys1]

security-policy[NGFW-vsys1-policy-security]rulenamerule1[NGFW-vsys1-policy-security-rule-rule1]source-zonetrust[NGFW-vsys1-policy-security-rule-rule1]destination-zoneuntrust根系统的配置：[NGFW]security-policy[NGFW-policy-security]rulenamerule1[NGFW-policy-security-rule-rule1]source-zonetrust[NGFW-policy-security-rule-rule1]destination-zoneuntrust引入了虚拟接口，这样各个虚拟防火墙就能做到真正意义上的独立了！需要完全抛弃上一代防火墙通过指定域间关系来配置策略的思路！将VSYS1和根系统视为两个完全独立的防火墙，配置安全策略时，按照配置两台独立防火墙的策略的思路来完成。下一代防火墙依然存在的VPN实例创建虚拟系统时，会自动创建一个和虚拟系统同名的vpn-instance。虚拟系统下，不能创建其他的vpn-instance，也不能删除默认绑定的vpn-instance。根系统下，有一个默认的公网实例（public）。根系统下，可以创建其他的vpn-instance，用于vpn多实例的应用。VPN实例：VPN实例最初的含义是实现VPN（VirtualPrivateNetwork）报文转发所需的路由、接口等信息的集合，后来在防火墙版本如USGV3R1里，演化成了虚拟防火墙，一个VPN实例就是一个虚拟防火墙，它包含了路由、策略、系统管理和基本工具等子系统的克隆，是一个比较完善的逻辑防火墙。是防火墙虚拟化的基础，一个虚拟防火墙具有一个VPN实例。VPN实例有VRF-ID和RD(RouteDistinguisher)两个属性。VPN实例通过RD实现地址空间独立，区分不同VPN使用的相同地址前缀。资源、配置和业务基于这个ID划分实例。VRF的全称是VPNRouteForwarding，它是一种通过路由区分以正确转发VPN报文的机制。在NGFW上，我们缩小了VPN实例的范畴，使其只负责网络接口、路由和转发的虚拟化，虚拟系统代替VPN实例来履行配置、上层业务等虚拟化的职责。虚拟系统主要概念配置多实例资源多实例业务多实例ID区分01~VSYS_MAX_IDVSYS_MAX_ID+1~1024虚拟系统根VPN实例的VRF-ID虚拟系统关键技术虚拟化的基础是资源、配置和业务的虚拟化。使用ID区分是实现虚拟化的关键技术。历史产品例如USG5500V300R001，虚拟化时使用了VPN实例的ID来区分报文、管理员、配置等等属于哪个虚拟防火墙。NGFW上创建虚拟系统时自动生成的VPN实例的ID固定为某一段值，如下：

虚拟系统VPN

InstanceRouteDistinguisherVRF-IDConfigurationInterface/VLANFIB依赖策略实例ACL实例…对象实例Netstream报文转发/策略匹配/命中匹配/…OSPFRIPBGP…VSYS-ID虚拟系统依赖关系虚拟系统系统管理根系统缺省存在的一个特殊的虚拟系统，未配置其他虚拟系统时，根系统就等同于防火墙自身。虚拟系统

逻辑上划分出来的虚拟设备。

根系统管理员除了配置根系统的业务外，还可以创建虚拟系统，并为虚拟系统分配资源和创建虚拟系统管理员。虚拟系统管理员

配置虚拟系统的业务。

ROOTAddress-GroupACLPolices…VSYS-1Address-GroupACLPolices…VSYS-2Address-GroupACLPolices…21ConfigureShowConfigurationWEBCMD虚拟系统管理员在设置本系统时，将本系统的VSYSID置入各业务的配置，用以区分不同虚拟系统的配置信息，即配置虚拟化。虚拟系统管理员只能设置和查看本系统的配置；根系统管理员可以切换至虚拟系统来设置和查看虚拟系统的配置。虚拟系统和根系统的配置分区域地保存在一个配置文件里。虚拟系统系统管理（续）3132ROOTAdministratorAdministratorofVSYS-1AdministratorofVSYS-2资源是指业务正常运转所必需的硬件、软件表项等各种形态的计算和存储单元。虚拟系统对资源的占用有两种方式：限额使用和共享抢占。对于关键资源两种均可选，对于非关键资源只有共享抢占方式。关键资源包括会话、一体化策略、用户、用户组、在线用户和带宽，其他为非关键资源。关键资源非关键资源13312MAX2申请资源当前已使用量最大使用额度虚拟系统标识2禁止申请虚拟系统资源分配虚拟系统资源分配（续）限额使用有两种方式：手工分配限额，如会话、用户、策略等。自动分配限额，如安全区域在虚拟系统创建时就固定分配8个。

共享抢占的资源，如：地址和地址组、NAT地址池、时间段、各种表项等等。

packetNetwork1-1TrustZONENetwork2-1UntrustZONENetwork1-2UntrustZONENetwork2-2DMZZONEVSYS-1VSYS-2POLICYPOLICY121packet2报文在入接口上被打上标记，此标记即为接口所属虚拟系统ID。通过虚拟系统ID来查找其对应的FIB表、策略或者规则等，来正确处理报文。Interface1-1Interface1-2Interface2-2Interface2-1虚拟系统转发跨虚拟系统转发

跨虚拟系统转发主要用于不同虚拟系统管辖的网络间相互通信的场景，流量在物理防火墙内就需要完成转发，虚拟系统间报文的通信像物理防火墙之间通信一样。通过虚拟接口技术可以实现数据包跨虚拟系统的转发。目录防火墙虚拟化技术1.1虚拟化技术原理1.2虚拟化基本配置1.3虚拟化应用场景及应用举例1.4虚拟化故障处理防火墙带宽管理技术配置虚拟系统–启动虚拟系统配置虚拟系统–规划资源设置虚拟系统所需资源，这些资源一旦被分配，将被该系统独占<NGFW>system-view[NGFW]vsysnamevsysa//创建名为vsysa的虚拟系统[NGFW-vsysa]assignresource-classr0//绑定资源类配置虚拟系统–新建虚拟系统配置虚拟系统–分配接口或VLAN[NGFW-vsysa]assigninterfaceGigabitEthernet0/0/3//分配三层接口[NGFW-vsysa]assignvlan2//分配二层vlan接口和VLAN分配原则设备三层接入为虚拟系统分配接口。设备二层接入为虚拟系统分配VLAN。[NGFW]switchvsysvsysa[NGFW-vsysa]aaa[NGFW-vsysa-aaa]manager-useradmin@vsysa[NGFW-vsysa-aaa-manager-user-admin@vsysa]passwordcipherVsysadmin@123[NGFW-vsysa-aaa-manager-user-admin@vsysa]level3[NGFW-vsysa-aaa-manager-user-admin@vsysa]service-typetelnet配置虚拟系统–创建管理员创建虚拟系统管理员账号信任主机指定了可以登录设备的主机IP地址范围。只允许管理员从这些IP地址登录设备。配置虚拟系统互访-虚拟系统与根系统虚拟系统通过根系统访问外网配置虚拟系统互访-虚拟系统与根系统报文的转发流程进入虚拟系统，配置到达外网的路由以及到达虚拟系统用户资源的路由。[NGFW]switchvsysvsysa[NGFW-vsysa]iproute-static32public[NGFW-vsysa]iproute-static24GigabitEthernet1/0/2在根系统中配置到达服务器和到达虚拟系统的路由。[NGFW]iproute-static3254[NGFW]iproute-static24vpn-instancevsysa配置虚拟系统互访-虚拟系统与根系统路由的配置安全策略的配置在VSYSA中，将接口GE1/0/2加入Trust区域、Virtualif1加入Untrust区域，配置允许Trust区域访问Untrust区域的安全策略。在根系统中，将接口GE1/0/1加入Untrust区域、Virtualif0加入Trust区域，配置允许Trust区域访问Untrust区域的安全策略。配置虚拟系统互访-两个虚拟系统之间两个虚拟系统之间互相访问配置虚拟系统互访-两个虚拟系统之间报文的转发流程配置虚拟系统互访-两个虚拟系统之间路由的配置配置vsysa到达外网的路由以及到达虚拟系统用户资源的路由。[NGFW-vsysa]iproute-static32public[NGFW-vsysa]iproute-static24GigabitEthernet1/0/2配置vsysb到达外网的路由以及到达虚拟系统用户资源的路由。[NGFW-vsysb]iproute-static24public[NGFW-vsysb]iproute-static32GigabitEthernet1/0/3在根系统中配置VSYSA和VSYSB互访的路由。[NGFW]iproute-static24vpn-instancevsysa[NGFW]iproute-static32vpn-instancevsysb安全策略的配置在VSYSA中，将接口GE1/0/2加入Trust区域、Virtualif1加入Untrust区域，配置允许Trust区域访问Untrust区域的安全策略。在VSYSB中，将接口GE1/0/3加入Trust区域、Virtualif2加入Untrust区域，配置允许Untrust区域访问Trust区域的安全策略。配置虚拟系统业务和配置互访时一样，将虚拟系统视为一台独立的设备，有独立的接口、安全区域和用户等资源，可以配置独立的安全业务，如安全策略、NAT策略、认证策略、带宽策略、SSLVPN等。配置操作方法与根系统业务配置操作方法基本相同。配置虚拟系统业务-进入虚拟系统根系统管理员进入虚拟系统虚拟系统管理员登录虚拟系统Web：界面右上角虚拟系统下拉选单进入。其中，root是根系统。CLI：swtich命令。和一般防火墙管理员一样，可以通过Telnet、Stelnet、Web登录虚拟系统。<sysname>system-view[sysname]switchvsysvsysa[sysname-vsys1]quit[sysname]配置虚拟系统业务-安全策略配置虚拟系统业务-安全策略配置虚拟系统业务-安全策略配置虚拟系统业务-安全策略配置虚拟系统业务-NAT策略跨虚拟墙的NAT策略也是一样，也不再是直接指定域间关系来实现，而是将虚拟系统当成独立设备来配置NAT策略。以配置NAT解决虚拟系统私网地址重叠情况下的互访为例进行说明。配置虚拟系统业务-NAT策略在VSYSA中配置源NAT策略将报文的源地址转换。配置方法和思路与一般防火墙相同。在VSYSB中配置NATServer，对服务器地址进行映射。配置方法和思路与一般防火墙相同。配置路由和安全策略时，同样将各个虚拟系统视为相互独立的设备来配置。例如VSYSA里配置到服务器的路由，目的IP地址应该配置为NATServer的公网地址，而不是服务器的私网地址。配置虚拟系统业务-一体化策略除了安全策略和NAT策略（负载均衡不支持虚拟化），其他如策略路由、带宽管理策略、认证策略、审计策略均支持虚拟化，且根系统与虚拟系统下基本无差异。配置带宽策略有一些特殊之处，具体如下：虚拟系统总的入方向的带宽由根系统管理员通过资源类进行分配。这个入方向的总带宽，指的是虚拟系统所有接口（包括虚拟接口）的带宽总和。总带宽超过分配的带宽时，就会丢包。跨虚拟系统转发时，流量同时受两个虚拟系统的带宽策略的影响。配置虚拟系统业务-对象证书不支持虚拟化，包括内置CA证书。虚拟系统下只能查看和引用，不能导入、删除、申请等。用户与认证虚拟化后，根系统和虚拟系统会有一些差异，后面会介绍。其他如地址、服务、应用等均支持虚拟化，虚拟系统与根系统只是规格上有差异，配置上无差异。配置虚拟系统业务-用户与认证每个虚拟系统下面都有自己的用户组织结构，不同的虚拟系统下的用户/用户组可以重名。支持认证域的虚拟化。新建虚拟系统的时候，会为虚拟系统分配一个default的认证域。用户也可以创建其他的认证域，可创建的认证域的数量为共享抢占。重定向认证支持虚拟化，但是设备推送认证界面时使用的协议和端口只能由根系统配置，页面定制只能在根系统配置。服务器模板支持虚拟化，但认证服务器需要每个虚拟系统下单独配备，不能共用根系统的认证服务器。不支持指定发送报文源接口为loopback口功能。认证方案、授权方案配置支持虚拟化。计费方案配置不支持虚拟化。配置虚拟系统业务-其他功能日志和报表：所有日志和报表都支持虚拟化。不过日志服务器需要在根系统中配置，整机的所有日志都发往这个日志服务器。DHCP：虚拟系统只支持作为DHCP客户端的场景，作为服务器和中继不支持。配置上虚拟系统和根系统无差异。VPN：虚拟系统中只支持配置SSLVPN。其他如IPSec、L2TP、GRE、MPLS都不支持虚拟化。配置上虚拟系统和根系统无差异。每个虚拟系统下最多只能创建4个SSLVPN虚拟网关。配置虚拟系统业务-其他功能IP-link：支持虚拟化，配置上虚拟系统和根系统无差异。IP-Link联动的虚拟化，视该特性本身支不支持虚拟化而定。不支持IP-link与双机热备联动。攻击防范：虚拟系统下支持配置DDoS，不支持配置单包攻击防范。单包攻击防范需在根系统中配置，对所有虚拟系统都生效。双机热备：不支持选择性地备份某些虚拟系统信息，而是将所有虚拟系统的信息全部备份。路由：不支持在虚拟系统上配置动态路由协议，但可以在根系统配置供虚拟系统使用。目录防火墙虚拟化技术1.1虚拟化技术原理1.2虚拟化基本配置1.3虚拟化应用场景及应用举例1.4虚拟化故障处理防火墙带宽管理技术数据中心网关场景虚拟机是指物理服务器一虚多出来的逻辑服务器，能够独立提供相关的业务服务。SSMC即SharedServiceManagementCenter，共享服务管理中心，用以管理存储、服务器、IP、带宽、网络安全设施等资源进行统一管理。虚拟机间通过VLAN进行隔离，不同VLAN间的虚拟机不能互访，一个VLAN里可有多个虚拟机。业务服务器和SSMC能够访问各虚拟机。虚拟系统是各虚拟机的默认网关，虚拟系统通过共享的公网IP或者地址组和Internet进行互联。各虚拟系统通过SSMC统一进行监管，一般SSMC通过下发脚本进行管理，可以在各虚拟系统上配置安全策略、带宽策略、NATServer等。设备租赁场景目前有部分小型企业，由于其业务需求又急需网络安全设备的保护。这时，网络服务提供商或者专门的设备租赁商可以购买一台网络安全设备，再通过虚拟系统技术将这台物理设备划分为多台独立的虚拟设备，分别向不同的企业网络提供安全功能。企业部门隔离场景通过多个虚拟系统将各部门的网络隔离开来。各部门的虚拟系统由本部门的IT管理员管理。各管理员可以根据自身部门要求配置不同的上网认证策略、安全策略、带宽策略等。通过这种分而治之的策略，使得网络管理变得更为清晰。各部门通过共享根系统的接口进行Internet互联。配置举例：通过虚拟系统隔离企业部门组网需求：某中型企业A，购买一台防火墙作为网关。由于其内网员工众多，根据权限不同划分为研发部门、财经部门、行政部门三大网络。需要分别配置不同的安全策略。具体要求如下：由于只有一个公网IP和公网接口，公司内网所有部门都需要借用同一个接口访问Internet。财经部门禁止访问Internet，研发部门只有部分员工可以访问Internet，行政部门则全部可以访问Internet。三个部门的业务量差不多，所以为它们分配相同的虚拟系统资源。组网拓扑：（如上一页所示）配置举例：通过虚拟系统隔离企业部门配置思路：根系统管理员分别创建虚拟系统VSYSA、VSYSB、VSYSC并为每个虚拟系统分配资源和配置管理员。根系统管理员为内网用户访问Internet配置路由和NAT策略。研发部门的管理员登录设备，为虚拟系统VSYSA配置IP地址、路由和安全策略。财经部门的管理员登录设备，为虚拟系统VSYSB配置IP地址、路由和安全策略。行政部门的管理员登录设备，为虚拟系统VSYSC配置IP地址、路由和安全策略。配置举例：通过虚拟系统隔离企业部门123新建资源类。新建虚拟系统绑定资源类r1。为虚拟系统绑定接口。新建虚拟系统，并为其分配合理的资源。配置举例：通过虚拟系统隔离企业部门456配置从根系统到Internet的路由。将VSYSA内员工访问Internet的回程流量引入VSYSA。将VSYSC内员工访问Internet的回程流量引入VSYSC。配置从根系统到虚拟系统及Internet的静态路由。配置举例：通过虚拟系统隔离企业部门7配置安全策略允许内网的员工访问Internet。虚拟系统管理员可以针对内网员工的IP地址配置严格的安全策略，所以根系统管理员在配置策略时不需要详细指定地址范围，直接选择“any”即可。配置举例：通过虚拟系统隔离企业部门8配置根防火墙的NAT策略：配置举例：通过虚拟系统隔离企业部门910虚拟系统VSYSA的基础配置省略。配置虚拟系统VSYSA的静态路由。配置举例：通过虚拟系统隔离企业部门1112这条安全策略的作用是允许特定网段的员工访问Internet。再新建一条禁止所有员工访问Internet的策略。这条策略的优先级将比前一条低，所以不需要详细指定地址范围。该地址集包含所有研发部门网段-0在虚拟系统vsysa中配置安全策略：目录防火墙虚拟化技术1.1虚拟化技术原理1.2虚拟化基本配置1.3虚拟化应用场景及应用举例1.4虚拟化故障处理防火墙带宽管理技术

维护方法-主要异常诊断方法

发生报文不通时，可以通过在根系统上查看丢包统计、收发包统计、防火墙系统统计；这些统计值包含所有虚拟系统的，也就是没有分虚拟系统统计。还可以在虚拟系统上执行Ping、Tracert等命令来诊断网络异常，这些方法的使用与根系统一致。如果发生业务异常时，可在虚拟系统上查看日志、策略命中统计、对象命中统计等方法来查看。这些方法的使用与根系统一致。或者开启特性的Debug开关来进一步定位。另外，虚拟系统的资源是否使用超额也需要查看，具体方法见后续章节。

维护方法-查看资源总表

查看资源总表，在根系统上执行：Global-Num：资源总数，是指系统某类资源的整机规格数量，如转发面会话数量支持400万。Remain-Num：是指按保证额度分配给虚拟防火墙后剩下的资源数量，也称之为共享资源数量。例如安全策略共3000条，其中的2000条已被某虚拟防火墙独占使用，那么剩余的1000条可供虚拟防火墙和根防火墙共享抢占使用。RemUse-Num：是指除去各虚拟系统的保证值后剩余的资源里，被抢占使用掉的资源数量。

维护方法-查看各虚拟系统资源使用情况

Reserved-Num:是指对于某项资源，虚拟系统至少可以使用的数量，即保证值。Maximum:是指对于某项资源，虚拟系统最多可以使用的数量，即最大值。Actual-Usage:是指虚拟系统已经使用的数量。Global-Number:资源总数，是指系统某类资源的整机规格数量。查看各虚拟使用资源情况，在根系统上执行：

使用限制和注意事项

功能使用限制特征库升级和系统软件升级只能在根系统中进行特征库和系统软件的升级操作。配置文件管理虚拟系统管理员可以通过Web界面或CLI界面查看、保存自己管理的虚拟系统的配置。但配置文件的导入、导出只能通过Web界面。SSH支持虚拟系统管理员通过STelnet方式登录虚拟系统，但本地密钥对只能在根系统生成，所有虚拟系统共用根系统的配置。服务端口所有服务端口都只能在根系统中修改，如HTTP服务端口、HTTPS服务端口、SSH服务端口等。证书只能在根系统中进行证书的相关配置，如申请、导入和删除证书，上传CRL列表，配置证书过滤规则等，所有虚拟系统共用根系统的配置。用户与认证只能在根系统中配置重定向认证方式和认证页面，所有虚拟系统共用根系统的配置。日志和报表只能在根系统中配置日志服务器，所有虚拟系统共用根系统的配置。

使用限制和注意事项

在分配接口或VLAN前，如果接口、VLAN以及与VLAN对应的VLANIF存在以下情况是不可分配的，需要将相关配置清除或者解除特性的引用才可以分配：接口或VLAN已经被分配给其他虚拟系统。接口或VLANIF在双机热备中被作为心跳口。接口或VLANIF已经被策略引用。接口或VLANIF已经配置了TCP代理或IPv6功能、加入了安全区域或Link-Group。接口是Eth-Trunk的成员接口或被切换为二层接口。如果接口存在以下配置，在分配时相关配置会被自动清除：接口上配置了IP地址。接口已经应用了IPSec。接口上应用了DDoS攻击防范。目录防火墙虚拟化技术防火墙带宽管理技术

2.1带宽管理技术原理 2.2带宽管理基本配置 2.3带宽管理应用场景 2.4带宽管理配置举例 2.5带宽管理维护及故障处理带宽管理基本概念带宽管理对通过自身的流量进行管理和控制：提供带宽保证。提供带宽限制。提供连接数限制功能。总之，带宽管理主要作用是在有限的带宽条件下，可以提高带宽利用率，保证关键业务正常运营。Page67带宽管理基本概念介绍带宽管理主要提供以下三个功能点：带宽保证带宽限制连接数限制带宽管理原理介绍NGFW通过带宽策略、带宽通道和接口带宽来实现带宽管理功能，防火墙对数据流的带宽管理流程如下图所示：接口带宽原理入方向流量出方向流量连接企业内网接口连接外网运营商接口入方向流量出方向流量企业业务流量娱乐流量等运营商分配资源拥塞控制等接口带宽用于限制防火墙的接口在入方向和出方向上能够使用的带宽资源。带宽策略原理带宽策略决定了对网络中的哪些流量进行带宽管理，以及如何进行带宽管理。带宽策略原理（续）父子策略：父子策略也称为父子规则，指的是一条带宽策略规则下还可以设置多条子规则。对于多条同级策略，NGFW按照界面上的排列顺序从上到下依次匹配，只要匹配了一条策略的所有条件，则执行带宽通道的动作，不再继续匹配剩下的规则。对于父子策略，流量先匹配父策略，再去匹配子策略，直到匹配到最后一级可以匹配到的子策略为止。

带宽通道原理带宽通道：流量匹配了带宽策略后便进入带宽通道，带宽通道定义了具体的带宽资源，是进行带宽管理的基础。带宽通道原理（续）上下行处理：上下行处理举例：

带宽通道处理流程带宽通道处理流程：对每条流进行连接数限制（包含父子策略）先进行父策略；再进行子策略。对每条流进行速率限制（包含父子策略）先进行父策略；再进行子策略。重新标记优先级。带宽保证：最后在接口发送报文时，进行带宽保证处理，在有限的带宽条件下，优先保证优先级高的报文发送出去。带宽通道处理流程（续）对于每条流进行连接数限制处理：对每条流首先进行父策略(每IP/User)匹配，进行连接数限制。对每条流进行父策略整体连接数限制。父策略通过以后进行子策略处理。对每条流首先进行子策略(每IP/User)匹配，进行连接数限制。对每条流进行子策略整体连接数限制。带宽通道处理流程（续）速率限制处理：对于需要处理的每个报文，首先会进行每ip/User的速率限制（每IP与每User互斥），如果通过，则进行整体速率限制。如果有父子策略，会先进行父策略的处理，再进行子策略处理。带宽通道处理流程（续）带宽保证：首先根据报文所属通道的优先级入不同队列。优先发送通道的保证速率。如带宽有空余，再发送最大带宽队列。举例：

接口最大带宽设置为100Mbps,如果当时保证带宽80Mbps，剩余的20Mbps,就由各个队列来随机抢占。优先发送保证带宽，保证发送完以后有空余的带宽，就发送剩余带宽。带宽复用带宽复用是带宽通道的重要特征，指的是多条流量进入同一个带宽通道后，带宽通道内带宽资源的动态分配方式。当带宽通道中某一条流量没有使用带宽资源时，该空闲的带宽资源可以借给其它流量使用；如果有流量需要使用带宽资源时，可以压缩其它流量的带宽，从而将带宽资源抢占回来。带宽复用包括下面几种情况：多条流量匹配到了同一个带宽策略，多条流量之间可以实现带宽复用。多个带宽策略以策略共享的方式引用带宽通道，则匹配了带宽策略的多条流量之间可以实现带宽复用。匹配了父子策略中的多个子策略的多条流量之间可以实现带宽复用。目录防火墙虚拟化技术防火墙带宽管理技术

2.1带宽管理技术原理

2.2带宽管理基本配置 2.3带宽管理应用场景 2.4带宽管理配置举例 2.5带宽管理维护及故障处理带宽管理配置-带宽通道[NGFW]traffice-policy[NGFW-traffice-policy]profiletest//创建名为test的带宽通道[NGFW-traffice-policy-profile-test]带宽通道包含带宽限流，会话连接数限制，重标记报文三种配置。带宽管理配置-带宽通道“策略共享”引用方式只对最大带宽起作用。每一条子策略的保证带宽/最大带宽不能大于父策略的保证带宽/最大带宽，所有子策略的保证带宽之和不能大于父策略的保证带宽。[NGFW-traffice-policy-profile-test]bandwidthreference-modepre-rule[NGFW-traffice-policy-profile-test]bandwidthupstreamguaranteed-bandwidth10000[NGFW-traffice-policy-profile-test]bandwidthupstreammaximum-bandwidth400000[NGFW-traffice-policy-profile-test]bandwidthpriority1带宽管理配置-带宽通道[NGFW-traffice-policy-profile-test]bandwidthip-carupstreammaximum-bandwidthper-ip1000[NGFW-traffice-policy-profile-test]bandwidthip-carupstreammaximum-bandwidthper-user1000“每IP”方式与“每用户”方式互斥，配置时只能选择其中的一种。“每IP”和“每用户”的最大带宽不能大于整体的最大带宽。带宽管理配置-带宽通道[NGFW-traffice-policy-profile-test]bandwidthtotalconnection-limitper-rule20000[NGFW-traffice-policy-profile-test]bandwidthtotalconnection-limitper-ip50[NGFW-traffice-policy-profile-test]remarkdscpdefault每IP/每用户的最大连接数不能大于整体的最大并发连接数。带宽管理配置-带宽策略父策略必须是已经存在的带宽策略规则。源/目的安全区域和源/目的入接口互斥，后配置将覆盖之前的配置。带宽通道只在“动作”为“限流”时需要配置。带宽管理配置-接口带宽[NGFW]interfaceGigabitEthernet1/0/1[NGFW-GigabitEthernet1/0/1]bandwidthingress100000[NGFW-GigabitEthernet1/0/1]bandwidthegress

100000出/入方向带宽，即该接口可发送/接收的最大流量带宽配置接口带宽，限制NGFW的接口在入方向和出方向上能够使用的带宽资源。目录防火墙虚拟化技术防火墙带宽管理技术

2.1带宽管理技术原理 2.2带宽管理基本配置

2.3带宽管理应用场景

2.4带宽管理配置举例 2.5带宽管理维护及故障处理场景一：网络边界安全防护的场景设备作为大中型企业的出口网关，部署在网络边界处。在该场景中，对于带宽资源的使用，通常会面临如下问题：内网用户访问Internet时，所需的带宽大于出口带宽。P2P业务类型的流量消耗了绝大部分的带宽资源。大量Internet用户访问内网服务器，导致服务器性能降低。场景一：网络边界安全防护的场景针对上述问题，提供带宽管理功能，实现如下目的：对于内网用户访问Internet的情况，设置出接口的接口带宽，发生拥塞时优先调度关键业务的流量。对P2P业务类型的流量进行限制。此外，还可以基于不同用户/部门实施差异化的带宽管理。限制Internet用户访问内网服务器的连接数，确保服务器正常运行。场景二：内网管控的场景设备作为内网管控设备，部署在大中型企业的内部网络中。在该场景中，内部网络中的流量也会影响带宽资源的合理使用，主要体现在：网络结构复杂，用户数量较多，不同用户/部门之间无限制占用带宽资源，降低网络质量。大量的针对服务器的访问需求导致服务器无法正常工作。

场景二：内网管控的场景针对上述问题，实施带宽管理不但可以控制内部网络与Internet之间的流量，而且可以对内部网络的流量进行控制，实现如下目的：基于不同用户/部门配置不同的带宽策略，限制内部网络中不同用户/部门之间的业务流量，避免网络拥塞。限制内部网络用户访问内网服务器的连接数，确保服务器正常运行，同时还可以节省NGFW的会话资源。场景三：在数据中心进行安全防护数据中心（InternetDataCenter，IDC）为中小型企业或个人客户提供服务器托管、虚拟域名空间等服务。NGFW作为数据中心边界防护设备，对外部网络访问数据中心的流量进行控制。

在该场景中，通过带宽管理功能可以实现如下目的：基于IP和应用的流量控制，确保服务器稳定运行，避免网络出口拥塞。限制外部用户访问服务器的连接数，保证服务器正常运行，同时还可以辅助防范DDoS攻击。目录防火墙虚拟化技术防火墙带宽管理技术

2.1带宽管理技术原理 2.2带宽管理基本配置 2.3带宽管理应用场景 2.4带宽管理配置举例 2.5带宽管理维护及故障处理在网络边界安全防护的场景中实施带宽管理Page98某企业将NGFW作为出口网关部署在网络边界处，并从运营商租用了上下行均为100M带宽的专线，使内部网络中的用户可以访问Internet。该网络环境中，内部用户访问Internet的流量以及Internet上的用户访问内部服务器的流量，都将占用100M的带宽资源，容易产生拥塞。为此，网络管理员希望利用NGFW的带宽管理功能，实现如下需求：限制内部网络用户与Internet之间的P2P类型的业务流量最大不能超过20M，避免占用大量带宽资源。高级管理者访问Internet时可以获得20M的保证带宽，但最大带宽不能超过30M。研发部下设产品组1和产品组2两个项目组，研发部访问Internet时可以使用的最大带宽不能超过20M，其中产品组1和产品组2访问Internet时可以使用的最大带宽均不能超过15M。市场部访问Internet时可以使用的最大带宽不能超过30M，其中每一个员工可以使用的最大带宽不能超过10M。限制Internet用户访问Web服务器以及访问邮件服务器的并发连接数不能超过3000，保证服务器正常运行。在网络边界防护场景中实施带宽管理组网拓扑在网络边界安全场景中实施带宽管理配置思路：配置接口GigabitEthernet1/0/1的接口带宽，与运营商提供的带宽资源相匹配，当发生拥塞时，能够优先处理关键业务的流量。对于网络中的P2P业务，定义其能够使用的最大带宽，使用带宽策略进行流量限制。对于高级管理者，定义其能够使用的保证带宽和最大带宽，使用带宽策略实现带宽管理。对于研发部员工，使用父子策略来限制研发部以及产品组1和产品组2能够使用的最大带宽资源。对于市场部员工，定义其能够使用的整体最大带宽，并基于每用户来限制单个用户的带宽资源。配置连接数限制功能，限制目的地址为Web服务器和邮件服务器的会话数量。配置接口带宽选择“网络>接口>接口列表”。单击编辑GE1/0/1，按如下参数配置。单击“确定”。针对P2P业务进行带宽管理选择“策略>带宽管理>带宽通道”。单击“新建”，按如右图参数配置。单击“确定”。针对P2P业务进行带宽管理。选择“策略>带宽管理>带宽策略”。单击“新建”，按右图参数配置。单击“确定”。针对高级管理者进行带宽管理选择“策略>带宽管理>带宽通道”。单击“新建”，按右图参数配置。单击“确定”。针对高级管理者进行带宽管理选择“策略>带宽管理>带宽策略”。单击“新建”，按右图参数配置。单击“确定”。针对研发部/市场部进行带宽管理针对研发部、市场部进行带宽管理，使用父子策略来限制研发部以及产品组1和产品组2能够使用的最大带宽资源。与针对高级高级管理者配置类似，在此不在赘述。针对内网服务器的并发连接数进行限制选择“策略>带宽管理>带宽通道”。单击“新建”，按右图参数配置。单击“确定”。针对内网服务器的并发连接数进行限制选择“策略>带宽管理>带宽策略”。单击“新建”，按右图参数配置。单击“确定”。针对内网服务器的并发连接数进行限制选择“策略>带宽管理>带宽策略”。单击“新建”，按右图参数配置。单击“确定”。目录防火墙