防火墙的带宽管理

核心思想

1，带宽限制 --- 限制非关键业务流量占用带宽的比例

2，带宽保证 --- 这里需要保证的是我们关键业务流量；再业务繁忙时，确保关键业务不受影

响；

3，连接数的限制 --- 这也是一种限制手段，可以针对一些业务限制他们的链接数量，首先可

以降低该业务占用带宽，其次，可以节省设备的会话资源；

三种核心手段

1，接口带宽 --- 接口带宽调控的意义在于，如果本端按照较大的传输速率发送数据，对端接

受能力有限，不但起不到增加传输速率的效果，反而可能导致大量的数据包堵塞在链路中，所

以，可以区调控出接口的带宽。

2，带宽策略

带宽策略就是针对抓取到的流量执行两种动作

1，不限流

2，限流 --- 限流实质是将流量引入带宽通道中。

默认存在一条针对所有流量不做限流的策略，

3，带宽通道 --- 可以理解为是带宽策略中执行限流动作后的具体实施，也可以理解为是在真

实的物理带宽中，开辟了一些虚拟的流量通道，通过将流量引入这些虚拟的带宽通道中，来限

制或者保证业务的带宽。

传统的带宽限制手段 --- 数据丢包，这样可能导致数据包需要重传，造成冗余数据包的拥挤；

所以，类似深信服这样的厂商推行的是缓存不丢包，即将超出限制的数据包缓存之后发送，而

不是直接丢弃数据包。

在带宽通道中，主要完成两件事情，第一件是针对超出限制的数据包进行丢包，第二件是可以

针对数据包打上优先级的标签，方便数据包到出接口之后，进行队列调度 --- 根据 优先级高

低发送数据包

应用场景

企业在ISP处购买了100M宽带，在办公环境中，e-mail，erp等流量可以被认定为关键业

务流量；而P2P，在线视频类型的流量可以被认定为非关键业务流量；由于P2P，在线

视频等十分消耗带宽，导致该企业有限的带宽资源常年被此类流量占用，而E-mail，

ERP等关键业务流量无法保证，经常出现邮件发不出去，页面无法打开等情况，严重影

响了企业的正常工作；

企业为了改善以上情况，希望通过FW实现带宽管理的功能，实现以下需求：

1，为了不影响正常业务，在任何时间段内限制P2P，在线视频等最大带宽不超过30M，

为了更换好的对这些流量进行管控，限制他们的链接数不超过1000；

2，为了email，erp等应用在正常工作时间内不受影响，此类流量可以获得的最小带宽

不小于60M；

场景二：办公区用户通过NAT访问互联网，外网用户可以通过公网地址访问内网服务器，导致

在用网的高峰期，由于上网用户过多，占用带宽比较大，经常导致访问外部web服务器时出现

网页打不开的情况，用网体验下降

（备注：上行流量指的是匹配上我们策略的流量，下行流量指的是和策略相反方向的流

量）

需求：

1，从电信购买100M带宽，在上网高峰期时（15：00 - 18：00）上网用户的下行流量

不超过60M，外网用户的下行流量不超过40M

2，DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

3，假设办公区上网用户30人，那我们总的下行带宽60M，则每个用户访问互联网的最

大下行带宽为2M