DLink流控产品配置宝典.docVIP

目 录 1 简要说明 2 2 透明模式 2 2.1 可选配置 2 2.2 必要配置 3 2.3 配置案例 3 WEB 配置 4 3 路由模式(多链路) 8 3.1 可选配置 8 3.2 必要配置 8 WEB配置 10 3.3 VLAN tagged 设置 17 CLI 17 WEB配置 17 3.4 NAT 回卷1 18 WEB配置 18 产品配置宝典 简要说明 每种P2P软件都不是单一的协议，且P2P软件更新很快，系统版本不可能每天都升级，所以不能仅仅通过对P2P的控制来优化网络；要从保障带宽和对P2P的控制两方面来达到对网络的整体优化。主要从以下几点来考虑： 保障 VIP 用户(如领导)的带宽 对于VIP用户，不区分协议的保障一定的带宽，使得领导上网快。 保障重要协议的带宽 不同的网络可能对重要协议的定义不一样，可以针对具体网络环境自定义重要协议组。后面的表格中定义了比较常见的重要协议。 目前对于很多网络来说，股票协议也属于重要协议，预定义的股票协议(Stocks)包含了目前收集到的所有股票，如发现有未收集到的，可以通过自定义的方式加入重要协议组里。 一般来说，重要协议的访问快了，网络就快了。 控制httpdownload Httpdownload：和WEB访问没有任何区别的HTTP连接，但用于WEB下载时定义为httpdownload。 重要协议中包含了HTTP协议，而httpdownload属于HTTP协议内，所以对重要协议保障带宽的策略中，要通过安全配置来限制httpdownload的最大带宽。普通的WEB下载和Windows自动更新等都要用到Httpdownload等，这也比较重要，所以还需对httpdownload保障一定的带宽更加有利于网络的优化。 备注：如果这个带宽值设置得过小会导致WEB下载和Windows自动更新等很慢，会让用户觉得网络慢；如果值设置得过大会导致占用过多带宽，从而影响其它应用。 压低P2P协议带宽 能识别出来的P2P流量放到P2P带宽中进行控制。即引用相应的P2P安全配置选项。 除重要服务和已识别的P2P以外的协议都用others子带宽来控制。others子带宽最好设定保障带宽和最大带宽，其中保障带宽保障了未考虑周全的重要服务的带宽，最大带宽限定了未能识别的非关键业务的带宽。 限制单个IP的带宽和Session 透明模式 可选配置 安全区域 (可用默认区域) 虚拟接口 (可用默认接口) 计划(用于分时段管理) 重要IP 定义(便于对领导的IP做带宽保障，将领导的IP放在一个地址组中，简化策略配置) 重要服务定义（便于对所有重要服务做带宽保障，将这些服务放在一个组中，简化策略配置） 必要配置 管理IP和路由 (用于远程网管) 服务质量 ( 定义带宽对象 ) 应用特征识别定义（IMP2P） 安全配置 (引用IMP2P) 安全策略 主机管理 (对每个IP进行带宽、会话的限制) P2P配置引用关系： 配置案例 本例中，出口带宽上下行各200M，设备透明接入网络。要求实现以下功能： VIP 用户(/24)上下行各保障30M带宽 其他用户(/24-/24)的重要服务上下行各保障100M带宽，假设本网的重要服务包括： HTTP (TCP/80) FTP (TCP/21) POP3 (TCP/110) SMTP (TCP/25) HTTPS (UDP/67-68) (TCP/443) DNS (TCP/53、UDP/53) SNMP(UDP/67-68) QQ(UDP/8000-8009) MSN(TCP/1863) ICMP 其他用户(/24-/24)的P2P带宽，白天(8:00-18:00)上下行分别限制为40M，晚上(8:00-18:00以外的时间)上下行分别限制为50M带宽。 在主机配置中对每个用户上行的带宽限制为500K，下行的带宽限制为1M，源session限制为800，防止个别用户过渡占用网络资源，达到用户使用网络的相对公平性。 WEB 配置 安全区域 进入 网络配置(NETWORK)-安全区域(Zones)-新增(Create New)，添加两个安全区域。注：可以用系统默认的区域l2-in(内网)和l2-out(外网)，为了演示区域的配置方法，所以本例中用新建的CT-in和CT-out。 新增安全区域 栏位名称 内容 名称 CT-in CT-out 模式 透明模式 透明模式 属性 信任 非信任 接口 进入 网络配置(NETWORK)-网络接口(Interfaces)-虚拟接口(virtual)-新增(Create New)，修改vif1和vif3所对应的安全区域。 新增虚拟接口 栏位名称 内容 虚接口名称 vif1 vif3 物理接口/汇聚接口 fe1 fe3 区