华为5500网络限流配置_华为Eudemon 防火墙BT限流测试方案
防火墙限流功能测试过程:
1) 测试不配置 BT限流时,最大能下载的速率。
PC1从PC2上(PC2是种子),用BT下载。从BITTORRENT软件上可以看见BT下载速度,一般能达到700Kbps以上。
注意用BITTORRENT4.0版本,上面有个左右移动的拉条,是用于决定该种子机器最大对外提供的带宽,原则上设置到最大。因此PC2上应设置最大。如果速度上不去,可能是有误码,观察防火墙接口误码统计,一般是网口工作模式不匹配,和PC机直连的时候,常见的是设置成百兆自适应。
2) 测试配置 BT限流时,能否限制到预设的BT带宽
设置BT
带宽速率为200kbps. 然后停止上面的BT下载,然后再重新或者继续下载,这时候可以看到下载速率逐渐上升,当上升到200kbps左右时,就上升不上去,误差很小。
停止一下的原因: 因为BT限流,采用的是基于会话的流方式(路由器因为支持的是单包转发,所以路由器上很难支持)。
如果防火墙上设置限流前,一个已经建立了会话的正在下载的BT流,防火墙限制不了该流。但是如果下载中断一下,再次发起下载,BT流就会被识别并被限制。但现实网络中,BT下载流是经常断续的,和其它种子不断建立新的连接,因此网络上BT流很快就会全部受限。当然如果想立即对所有的BT流立即见效,也可以用命令清空防火墙会话表,这时原来的BT下载会立即全部中断,新发起的BT流,立即会被识别(但不建议这样做)。
注意下面命令里写的是P2P,而不是BT,原因是该命令同时包含了BT、电骡、电驴等多种P2P应用的限流功能,不仅仅是BT。
命令1: firewall p2p-car
default-permit 使能 BT限流功能。
命令2:firewall p2p-car cir cir-value<100-1000000
kbps> 配置BT带宽
具体命令解释参见后面。
3) 测试修改BT带宽时,带宽设置是否生效
在防火墙上修改BT缺省带宽参数,例如修改成400kbps.
这时可以看到刚才下载速度为200kbps,现在速率则渐渐上升,最后停止在400kbps左右。
如果设置成100kbps,则可以看到速率逐渐下降,很快停留在100kbps.
防火墙是采用硬件流控,流控基本不消耗防火墙性能,而且带宽控制的比较精确。目前Eudemon防火墙可以限制BT流在100kbps-
1Gbps带宽之间任意设置。
注意这项的测试,不需要暂停一下BT客户。这是因为该BT会话流已经被打上了BT流标记,因此后续自然会限制到设定的带宽。
4) 测试基于时间段的带宽。
从运营商角度,为了保证给用户一定BT带宽,又不影响网络其它业务,因此常常希望在不同时段,分配不同的BT带宽,在网络流量高峰期,把BT流量限制更低。
Eudemon防火墙可以配置
10个时间段,以及一个缺省的BT带宽(上面3和4项测试实际就是配置缺省的BT带宽)。这10个时间段,从1到10优先匹配时间段的速率,如果没有时间段速率或者当前不处于任何配置的时间段,使用缺省速率。具体当前使用的是哪个时间段的,可以用命令display
p2p-car 查看。
命令:firewall p2p-car cir cir-value<100-1000000
kbps> [ cir-id time-rang]
具体命令解释参见后面。
5)测试选择用户功能,对特定用户允许BT下载不受限制,哪些用户受限制。
这个功能是用ACL组来设定的,每个组下面可以设定多个ACL。
ACL组要应用在域间,这个测试里是应用在TRUST和UNTRUST之间,通过acl来控制对该域间的某些用户做BT限流,某些用户不做限流。注意acl的优先级高于全局的缺省配置。即这里的ACL指定的用户不受限制时,即使配置了BT限流,对这些用户的BT流也不限制。
举例:对于trust-untrust域间ip为2.2.2.2用户除外的所有用户做BT限流,10:00~10:05的带宽为
400kbps,其他时间为 200kbps 。(这里为验证方便,时间设置的比较短)
acl number
2001 定义ACL组
rule deny source 2.2.2.2 0
firewall p2p-car
default-permit 打开BT限流功能
firewall p2p-car
200 设定缺省BT带宽
firewall p2p-car 400 1
aaa 设定基于时间端的带宽
time-range aaa 10:00 to 10:05
daily
firewall interzone trust untrust
p2p-cr
2001 域间应用ACL组
2. 现网测试
组网考虑:
现在城域网和校园网出口应用BT限流比较多。特别是有的城域网出口运营商涉及网间流量结算,减少BT过高的带宽消耗,是有必要的;而学校学生更是BT应用最活跃的一层,流量消耗很大,导致很多学校网络很慢。
校园网出口,应用NAT比较普遍,而Eudemon防火墙同时又是一款非常优秀的NAT设备,NAT
ALG支持非常丰富,和BT限流结合起来,非常适合这类应用。
城域网上,应用透明模式比较多,此时防火墙类似一个二层交换机(差别在于防火墙对于报文,实际会进行三层以上处理),只需要把防火墙插在现有网络中间就可以。这是出于多种原因考虑:
1. 现网改造的问题:如果在路由模式下,还需要对现网进行改造,而透明模式不需要。
2.
如果城域网有动态路由协议,甚至MPLS等应用,对防火墙这些特性的支撑要求也很高(Eudemon防火墙支持动态路由协议,但MPLS目前还无法支持)。
3.
如果采用透明模式,互通性好。因为对MPLS,动态路由协议报文或其它未知的特殊报文,防火墙上即使不识别这些报文类型,可以采用穿透方式,即这些不能识别的报文只工作在二层(MPLS三层报文,2005年底,Eudemon防火墙上会支持识别,也可以进行三层安全处理)。对普通的的IP报文,则可以进行安全和BT限流等处理。
4.
透明模式下,故障恢复快。这种组网对现网改造小,对现网可能带来的影响也小。如果万一发现有其它问题,恢复也很快,只需要把相关网线或光纤拔回就可以了。Eudemon防火墙在透明模式下,接口也可以单独配置IP,满足远程网管和维护需要。
另外,城域网出口如果可靠性要求很高,可以配置双机热备,确保故障时可以倒换。在透明模式和路由等模式下,都可以实现双机热备倒换。Eudemon防火墙硬件是电信级设计的,接口卡、风扇可热拔插,支持双电源,内部有温度监控,调整风速,非常适合城域网等对设备可靠性的需求。
当然,有的城域网上出口有NAT需求,这时Eudemon防火墙也非常合适,对MSN /QQ的语音视频,H.323、RTSP等NAT
ALG丰富的支持,可以充分满足城域网应用需要。
Eduemon
1000防火墙目前可以支持最多6个GE接口,吞吐量3Gbps (采用 IBM的RAINIER高端网络处理器)。2005年底有10G
接口的T比特防火墙开发出来,满足更高性能的应用。
测试方法:
现网测试方法和上面类似。注意只有经过防火墙的BT流,才会被BT限流,因此,防火墙放置的位置要合理;为了验证效果,可以采用和上面类似的方法。 当放防火墙在城域网出口,要选用城域网外的种子进行测试。
两个方法可以观察设置BT限流前后的效果,一是观察本地客户端BT下载速率的变化,此外就是观察防火墙接口上的报文速率和带宽统计变化。
此外Eudemon防火墙,还支持基于单个IP的带宽控制,即IP
CAR功能。这个功能与BT控制结合在一起,可以有效控制单个用户占用过多带宽。
4. P2P配置命令
1、 [undo] firewall p2p-car default-permit
该命令在系统视图下执行,[去]使能缺省限流,执行firewall p2p-car
default-permit后缺省(没有命中配置3所配置的acl时)对所有用户做p2p流量限流;执行undo firewall
p2p-car default-permit后缺省对所有用户都不做p2p流量限流
2、 firewall p2p-car cir cir-value<100-1000000
kbps> [ cir-id time-rang]
该命令在系统视图下执行,用于配置速率,可以配置一个缺省速率,和10个带时间段的速率,从1到10优先匹配时间段的速率,如果没有时间段速率或者当前不处于任何配置的时间段,使用缺省速率。
3、 p2p-car acl-number
该命令在域间配置,通过acl来控制对该域间的某些用户做p2p car,某些用户不做p2p
car,acl的优先级高于全局的缺省配置
举例:对于trust-untrust域间ip为2.2.2.2用户除外的所有用户做p2p
car,7:00~8:00的带宽为500M,其他时间为100M
acl number 2001
rule deny source 2.2.2.2 0
firewall p2p-car default-permit
firewall p2p-car 100000
firewall p2p-car 500000 1 aaa
time-range aaa 7:00 to 8:00
daily
firewall interzone trust untrust
p2p-car 2001
4、 display p2p-car
该命令在所有视图都可以执行,用于查看p2p-car的带宽情况,*号表示当前p2p car使用的带宽
id car-cir
value time-range
*
0 100000
1 500000 aaa 5. IP 带宽和连接数限制(附加)
Eudemon防火墙还支持对每个IP发起的连接数数量进行限制;对每个IP允许的带宽进行设置。防火墙可以根据连接发起方向(主动发起或被连接)和特定的连接种类的连接数目进行限制;也可以根据IP报文流的方向(入和出)以及特定的流的种类进行带宽限制。因此可以很灵活的设置,满足各种应用的安全需求。
因为IP数量众多,对每个IP单独设置一个带宽或者连接数无必要。目前是采用最多分配七个等级,即连接数和IP
带宽都分别可以设置七个不同的数量(等级)的限制。
A)连接数限制功能配置基本步骤:
1) 定义基本ACL,后面的连接数统计限制命令会关联该ACL,命中该ACL则会对这些IP发起的连接数进行限制。
命令: 略
2) 定义高级ACL,命中上面定义的基本ACL的IP报文,还要再关联一条高级ACL,
命中该高级ACL的连接报文,才会进行连接数限制,这主要是为拓宽应用范围,有些应用,需要对由该IP发起的特定连接,或者向该IP发起的特定连接数量进行限制(例如对邮件服务器,有时候要限制外面一个IP对其发起的连接数,否则邮件服务器可能速度很慢,这个有应用实例)。
命令: 略
3) 配置允许的IP连接数(可以设置7个等级)
命令:firewall conn-class conn-class conn-num
4) 使得域IP统计。
只有使能域统计功能,连接数限制功能才可能有效。如果对出域方向的连接数进行限制,则对OUTZONE流进行统计,反之,则配置INZONE
命令:
域模式下: statistic enable ip {outzone | inzone}
5) 使能IP 连接数统计限制功能 ,该命令关联了步骤 1中的ACL和步骤3中的连接数等级
(对入和出方向连接数可以单独进行设置)
命令:
域模式下: statistics connect-number ip { tcp | udp } { inbound |
outbound } conn-class acl acl-number
6) 指定特定的连接才作连接数限制,即关联 步骤2里面设定的高级ACL(指定方向) 。
域模式下: statistic ip-stat {
inbound | outbound } acl acl-number
B) IP 带宽限制功能配置基本步骤:
1) 定义基本ACL,后面的IP 带宽限制命令会关联该ACL, 命中该ACL的IP的流量才可能进行带宽限制
命令:略
2) 定义高级ACL,命中上面定义的基本ACL的IP报文,还要再关联一条高级ACL,
命中该高级ACL的IP报文,才会进行带宽限制,这主要是为拓宽应用范围,有些应用,需要对该IP发出的特定报文作带宽限制。
命令: 略
3) 配置允许的IP带宽等级(可以设置7个等级)
命令:firewall car-class car-class
band-width (注意这里单位是bps)
4) 使得域IP统计。
只有使能域统计功能,带宽限制功能才可能有效。如果对出域的方向带宽进行限制,则对OUTZONE流进行统计,反之,则配置INZONE
命令:
域模式下: statistic enable ip {outzone | inzone}
5) 指定对哪些IP的流量进行统计,即关联 步骤1里面设定的基本ACL
和步骤3中流量等级,可以对IP的域的入方向或者出方向单独限定带宽。
命令:
命令:
域模式下:statistics car ip { inbound | outbound } car-class acl
acl-number
6) 指定对IP发出的那种流量才作带宽限制,即关联 步骤2里面设定的高级ACL 。
域模式下: statistic ip-stat
statistic ip-stat { inbound | outbound } acl acl-number
配置命令描述
操作 命令
(域模式下)配置IP连接数限制 statistics connect-number ip { tcp | udp } {
inbound | outbound } conn-class acl acl-number
(域模式下)IP动态带宽限制
statistics car ip { inbound | outbound } car-class acl
acl-number
(域模式下)IP统计过滤 statistic ip-stat { inbound | outbound } acl
acl-number
全局IP带宽等级配置 firewall car-class car-class band-width
全局IP连接数等级配置 firewall conn-class conn-class conn-num
配置举例:
1)IP连接数限制
IP连接数/CAR限制的方向均基于安全区域设置,无论outbound/inbound,均是对该域内的IP的连接数进行限制。对照下图(图中的outbound/inbound指的是域间的方向,但这里我们说的是安全区域本身的入/出方向),如果是在untrust区域上,使用命令
[Eudemon-zone-untrust]statistic connect-number ip tcp outbound 2
acl 2000
意思是限制从该区域出来的特定源IP的会话数量。
下边的命令
[Eudemon-zone-untrust]statistic connect-number ip tcp inbound 2 acl
2000
意思是限制去untrust区域的特定目的IP的会话数量。
具体到会话数量的多少,可以全局定义7个等级,每个等级可以对应不同的会话数量。使用命令firewall conn-class
conn-class conn-num置。
上面这个配置还需要使能统计等功能才能有效,可参见上面的配置步骤。
2)IP CAR限制
IP CAR
带宽限制,与IP连接数限制类似,只是限制的是该IP发起的或去该IP的所有TCP/UDP会话的总带宽(ICMP报文不作CAR)。
下边的命令
[Eudemon-zone-untrust]statistic car ip outbound 2 acl 2000
指定从untrust域来的特定IP发起的会话的总带宽等级为2,注意这里的总带宽,是指该IP发起的会话的双向流量之和。比如,如果untrust域穿过防火墙访问WWW服务器,则该会话中去服务器的流量加上WWW服务器回来的流量之和,不会超过设定的带宽等级。
如果服务器是FTP,则情况复杂一些,因为服务器的Port方式下载,其FTP数据通道是由服务器发起,此时还应增加如下配置
[Eudemon-zone-untrust]statistic car ip inbound 2 acl 2000
才能够限制住该用户的FTP下载流量。
注:IP CAR 中限制的流量,只包含IP包载荷,不包含二层头。
接口、网络和安全区域的关系示意图
ip car配置举例:
client host地址: 100.1.1.100 在防火墙的trust域
server host地址:110.1.1.110 在防火墙的untrust域
现在有一个由client发起去server的tcp连接,如我们要对这个流进行带宽限制,配置如下
[Eudemon-zone-trust]statistic enable ip outzone
打开trust域outzone方向(出方向)的ip统计使能
[Eudemon] firewall car-class 1 100000
ip带宽等级配置,我们用的是等级1,带宽限为100000bps
[Eudemon] acl number 2000
[Eudemon-acl-basic-2000] rule permit source 100.1.1.100 0
sip地址为client,基本acl的作用是用来绑定ip带宽配置
[Eudemon] acl number 3000
[Eudemon-acl-adv-3000]rule permit tcp source 100.1.1.100 0
destination 110.1.1.1 0
高级acl的作用是来指定那些流需要做car。基本acl和高级acl缺一不可。
[Eudemon-zone-trust]st car ip outbound 1 acl 2000
用基本acl来绑定ip带宽配置
[Eudemon-zone-trust]st ip-stat outbound acl-number 3000
用高级acl来指定要做car的流
通过上面的配置可以实现,client发起的到server的tcp连接的带宽限制,双向流量和为100000bps。注意是由client发起的去server的连接,如果是server发起去client的连接不受上面配置的限制。
华为5500网络限流配置_华为Eudemon 防火墙BT限流测试方案相关推荐
- 华为5500网络限流配置_华为USG防火墙综合解决方案
1. 防火墙的现状与挑战 防火墙作为传统网络安全设备,是在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合.它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的 ...
- 华为5500网络限流配置_华为USG5500统一安全网关
Secoway USG5500是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代万兆统一安全网关.USG5500 集大容量交换与专业安全于一体,在3U的平台上提供了超过30G的处理能力,以用 ...
- 6 华为交换机 路由配置_华为路由、交换机基础配置指令
华为路由.交换机基础配置指令 一.华为路由器交换机配置命令:计算机命令 PCAlogin:root:使用root用户 password:linux:口令是linux #shutdown -h now: ...
- 西农 生成树配置_华为交换机配置STP功能示例
配置STP功能示例 STP简介 以太网交换网络中为了进行链路备份,提高网络可靠性,通常会使用冗余链路.但是使用冗余链路会在交换网络上产生环路,引发广播风暴以及MAC地址表不稳定等故障现象,从而导致用户 ...
- 华为交换机dhcp获取不到_华为S7706交换机DHCP Server 配置不成功问题
f99b4cbdf76d478393de658f5c53f6ca-300x220.jpg (8.78 KB, 下载次数: 22) 华为S7706交换机DHCP Server 配置不成功问题 2016- ...
- 华为交换机审计配置_华为交换机AAA配置管理.doc
资料 AAA配置与管理 一.基础 1.AAA是指:authentication(认证).authorization(授权).accounting(计费也称为审计.记账,记录通过认证用户的网络资源使用情 ...
- 华为交换机导入配置_华为交换机配置的导出和导入方法
在配置好华为交换机后,为防止交换机因意外停电或者人为操作疏忽,而导致设备无法正常运行,此时我们可以先前做好备份配置,以备发生故障时可以快速恢复配置.今天我们就来分享一下华为交换机配置的导出和导入. 导 ...
- 华为魔术手机拆机图解_华为P40 Pro上手体验
看点:iPhone X原装屏与国产屏有哪些区别? 看点:换7P.8P屏幕:C11和DTP和DKH的区别 狮淘:华人手机维修师专属工具集合店,不锈钢拆机片5个只需9.9元!包邮 山猫潮品:手机渠道直供, ...
- 华为最新款手机2021款鸿蒙,华为最新款手机2021款_华为2021即将上市新款手机
虽然说在2020年下半年的是华为mate40系列的手机才发布,但是这丝毫不会影响到2021年华为继续推出最新款的手机.那么2021年华为即将上市的最新款手机都有哪些呢?让我们来一起看看吧! 1.华为P ...
最新文章
- 桌面虚拟化之远程协助
- C语言指针实现计算平均分等功能
- 2017年10月08日普及组 蜡烛
- Android通过广播监测Wi-Fi和便携式热点开关状态
- NIO Buffer
- python中rgb_python - 图像的RGB矩阵
- visual studio运行时库MT、MTd、MD、MDd 的区别
- 测试自己幸运数字的软件,心理测试:选一个你的幸运数字,测一下你最近会有什么好事发生?...
- AGC 019F.Yes or No(思路 组合)
- 工业机器人远程监控系统方案
- 如何分辨usb压枪芯片是无后座压枪还是键鼠模拟压枪
- 简单实用的易语言短信接口demo
- cf两边黑屏怎么解决win10_win10开机黑屏时间长的解决方法教程
- SVD奇异值分解在推荐系统中的应用及实现
- 《哪来的天才》读书笔记
- 为什么单线程的Redis如此的快(Why is single-threaded Redis so fast)
- 移动端苹果安卓卓适配
- ChatGPT保姆级教程,一分钟学会使用ChatGPT!
- 【数据库开发】MySQL绿色版的下载和安装
- 豆瓣电影TOP250爬虫及可视化分析笔记