SifoWorksDU产品v1.ppt

SifoWorks DU产品配置 路由模式 拓扑 路由模式 说明 防火墙有LAN、WAN两个区域； LAN的IP地址0；WAN的IP地址220.231.xx.xxx； 防火墙到internet的下一跳网关是220.231.xx.xxx 防火墙内网主机通过NAT访问internet。 路由模式 配置方法： 配置物理接口IP地址 配置静态路由 配置NAT 配置过滤规则 路由模式 分配物理接口IP地址 路由模式 分配物理接口IP地址 路由模式 分配物理接口IP地址 路由模式 分配物理接口IP地址 路由模式 分配物理接口IP地址 路由模式 路由配置 路由模式 过滤规则 路由模式 过滤规则组 路由模式 增加过滤规则之一 路由模式 增加过滤规则之二 TM功能介绍 TM简介 TM配置 TM应用场景 TM配置 TM是在zone的基础上进行带宽限制的 zone可以包含多个物理接口，可以包含桥接口，vlan接口，也可以包含ipsec接口。 通过配置zone object选择不同的物理接口或逻辑接口，TM 可以对通过物理接口，PPPoE，bridge，vlan，以及IPSEC进行流量管理。 TM配置 TM配置 2.配置基于zone的TM规则管理 TM配置 三种profile Zone profile Group profile Per ip profile Profile包括 总的最大带宽 基于单个service 的保证带宽，最大带宽 除了配置的协议外所有协议的保证带宽和最大带宽 可以在profile内配置schedule，在特定的时间段内对相应协议进行带宽限制。 TM配置 Profile 中service 的保证带宽包含两种类型 Dynamic 当背景流量超过相应profile内总的最大带宽的情况下，保证带宽的流量可能无法得到保证。 Static 保证带宽不变，能够保证在不超过保证带宽的情况下得到足够带宽。 Zone profile 只能是static Group profile Dynamic或者static Perip profile 只能是Dynamic TM配置 Group profile与Perip profile之间相互关系 比如group profile和perip profile都对FTP服务进行了带宽限制 Perip profile MB X FTP用户数目=group profile MB Perip profile GB X FTP用户数目=group profile GB TM规则优先级--自上而下 带宽分配原则—先到先得 具体应用场景 1.多网关情况 把多网关配置成一个zone来限制下载或上传流量 2.对时间有要求情况 举个例子，周一至周五9:00-9:30是收邮件的高峰期 可以在该时间段设置一条保证POP3服务的规则 3.特殊ip特殊对待 配置该ip分配相应带宽 引用object中的address分配相应带宽 使用AAA认证的方式（优点：无需指定相应IP,适用于地址不固定，如DHCP 情况） 具体应用场景 4.对一般服务的带宽限制 引用port-base类型的service（优点：消耗资源较少） 如HTTP,DNS… 5.对特殊服务的带宽限制 引用application类型service(优点：带宽限制准确) 如IM,P2P 6.对无法识别协议或者不确定协议的带宽限制 引用service中的other。 这种情况会在实际情况中经常用到。 举个例子，在校园网络环境中，要保证正常的服务带宽，如HTTP,FTP,DNS,POP3,SMTP等，其它协议带宽不关心，那么给other限制带宽，其它所有协议都被限制在该带宽范围下。 具体应用场景 7.根据实际情况合理划分带宽 需要根据实际情况合理划分带宽，否则非但不能解决网络拥塞，合理利用网络带宽问题，而且可能会影响某些用户的正常服务。 举个例子，管理员对某zone设置FTP的带宽限制 Group profile FTP MB 300K GB 200K Perip profile FTP MB 150 GB 100K 由于带宽分配是根据先到先得原理来分配，后来的用户可能无法分配到相应保证带宽，这样就造成了只有2个用户可以享受到通常的FTP服务。 因此要使带宽得到合理的利用，充分利用TM模块的带宽管理，首先要了解那些用户的那些服务需要保障