PowerV配置-带宽管理..doc

背景 由于可供用户使用的线路带宽总是有限的，为了协调资源，优先保障重要服务，有必要进行带宽控制。 对于网络中的某些重要业务，网络管理员需要保证该类业务的带宽；对于网络中的某些流量，比如ftp，可以适当允许，但又不能让此类流量过大，需要加以限制。或者有时需要对内网某些网段主机进行带宽限制，此时就需要用到带宽管理功能。 配置说明 带宽策略列表 可以定义三种类型的带宽资源，非共享带宽，共享带宽和贷款资源组，只有先定义了非共享带宽后，才可以定义共享带宽，而带宽资源组是不同接口下的共享带宽的组合。 图 729带宽资源关系图 定义的带宽资源组在“策略配置带宽管理”中被引用。 非共享带宽 非共享带宽列表 非共享带宽维护 带宽列表维护元素表 值域 说明 名称 非共享带宽的名称 接口 非共享带宽限制的接口，同一个接口下可以建立多个非共享带宽，各个非共享带宽之间不可相互借用。不能修改已经定义好的一条带宽资源的接口.同一个接口下多个非共享带宽之和不能超过接口设备的带宽。 最大带宽 最大能够使用的带宽，范围为0~1048576K，必须大于保证带宽。 共享带宽 非共享带宽列表 共享带宽维护 带宽列表维护元素表 值域 说明 名称 共享带宽的名称 优先级 当各项服务竞争带宽资源时，总是首先保障优先级高的服务 保证带宽 保证带宽，范围为0~1048576K。所有父带宽引用同一个非共享带宽的共享带宽中的保证带宽之和不能超过父带宽的最大带宽。 最大带宽 最大能够使用的带宽，范围为0~1048576K，必须大于保证带宽。 父带宽 在非共带宽中已经定义好的带宽资源，相同父带宽下的共享带宽可以相互借用带宽资源。 带宽资源组 带宽组列表 带宽组维护 带宽列表维护元素表 值域 说明 名称 带宽资源组名称，将在策略配置带宽管理中被引用，请保证名称不重复。 接口下的带宽 每个接口只能选择一个共享带宽作为组的成员。 带宽管理 防火墙的带宽限制是在数据包流出的网络接口上进行的限制，可以根据这里设置的带宽规则，进行带宽使用的保证和限制。 带宽管理支持基于源IP地址，目的地址、服务、接口的带宽管理，支持VPN带宽的管理，能够对VPN中的封装信息进行基于IP地址、服务的带宽管理。每条带宽管理策略可以支持最小保证带宽，最大限制带宽，可以支持带宽优先级的设定，不同的通讯具有不同的带宽使用优先级，优先级高的通讯可以最大量的获得防火墙空余的带宽。 带宽管理规则 带宽管理规则维护 如图“带宽管理规则维护“图中的规则表示，此条规则名称是bandwidth3，规则表示防火墙会对符合规则定义的数据包进行带宽限制，数据包是从源地址/到目的地址d1（在“资源定义地址地址列表”中定义的地址）并且使用ftp_data服务（在“资源定义服务预定义服务”中定义的）并且从接口fe1（在“网络配置网络设备”中定义）流出的数据包，带宽管理的限制程度在上图中“带宽限制”指定为b2（b2在“资源定义带宽列表”中定义）。 添加和编辑时参数说明： 域名 说明 规则名 带宽管理规则的名字 序号 输入新增策略规则的序号。 防火墙按规则序号顺序从小到大的顺序匹配规则并执行。序号为数字。 若该数字与已定义的规则序号有重复，则防火墙会自动将原策略规则以及序号排在其后的所有规则自动后移一个数字，将新增策略规则的序号设为输入的序号。 若不修改界面中序号，即为添加到最后。 如果序号大于已有规则总数加1，即为添加到最后。 源地址 可选内容包括：“资源定义地址地址列表”和“资源定义地址地址组”中定义的所有资源，及”自定义”。 当选择“自定义”，则下方的“IP地址”和“掩码”变为可输入状态，可直接在此指定IP和掩码。 默认值IP为，默认掩码为，以此来表示任意地址。 目的地址 形式同源地址 源端口 源端口可以用英文逗号分割表示多个端口，或用英文冒号分割表示端口段。两种分割方式不能同时使用。如果资源定义中定义的服务资源也包含了源端口，则以此处规则定义的源端口为准。 流入网口 限制网络数据包的流入网口，可以防止IP欺骗。 可选内容包括：any和所有已激活的网口。 默认值为any，表示不限制接收网口。 如果工作在透明模式，必须选择相应的物理网口如fe1 如果不能确定流入网口或工作在混合模式，建议选择any 时间调度 生效的安全规则在指定的时间段内为生效状态，在其它时间段为失效状态，可选内容包括：“资源时间时间列表”和“资源时间时间组”中定义的所有资源。 服务 可选内容包括：any，在“资源定义服务服务列表”中配置的基本服务、ICMP服务、动态服务，以及“资源定义服务服务组”。 默认值为any，表示源端口任意、目的端口任意