一，带宽管理简介

1.1总体流程

　　带宽通道：带宽通道定义了被管理的对象能够使用的带宽资源，将被带宽策略引用。

　　带宽策略：带宽策略定义了被管理的对象和动作，并引用带宽通道。

　　接口带宽：接口带宽定义了接口入方向和出方向的实际带宽，流量发生拥塞时，启用队列调度机制。

①流量匹配带宽策略，经过带宽策略的分流后，进入相应的带宽通道进行处理。带宽通道的处理包括：

　　　　·丢弃超过了预先定义的最大带宽的流量。

　　　　·限制业务的连接数。

　　　　·标记流量的优先级，作为后续队列调度的依据。

②受入接口带宽的限制，如果流量大于入接口带宽，将根据带宽通道中设置的转发优先级对流量进行队列调度，保证高优先级的报文被优先发送。

③流量最终从出接口发送时，受出接口带宽的限制。如果流量大于出接口带宽，将根据转发优先级对流量进行队列调度，保证高优先级的报文被优先发送。

1.2带宽通道

　　流量匹配带宽策略后进入带宽通道，带宽通道定义了具体的带宽资源，是进行带宽管理的基础。通过带宽通道，将物理带宽资源从逻辑上划分为多个虚拟的带宽资源。带宽资源通道使用多个参数来对带宽资源进行描述和控制，包括整体的保证带宽和最大带宽、每IP/每用户的最大带宽、连接数限制和DSCP优先级重标记。此外，带宽通道还可以实现带宽资源的闲时复用。

　 　整体的保证带宽和最大带宽：整体的保证带宽是指进入带宽通道的流量可以获得的最小带宽资源，整体的最大带宽指进入带宽通道的流量可获得的最大带宽资源。流量进入带宽通道后，FW将当前流量与带宽通道中设置的保证带宽/最大带宽进行比较，采取不同的处理方式：①如果流量小于保证带宽，这部分流量在出接口发送环节能够确保被转发。②如果流量大于最大带宽，则直接丢弃超过最大带宽的流量。③超过保证带宽，在出接口发送环节会与其他带宽通道中同类型的流量自由竞争带宽资源。带宽通道优先级越高，就会更优先获得剩余带宽资源。获得带宽资源后发送流量，否则丢弃。

　　每IP/每用户的保证带宽和最大带宽：除了设置整体的保证带宽和最大带宽之外，还可以在带宽通道中定义针对IP或用户的保证带宽和最大带宽，实现粒度更加细化的带宽限制。当带宽通道被带宽策略引用后，FW会基于IP地址或用户，对符合带宽策略匹配条件的流量进行统计，每IP/每用户的保证带宽和最大带宽的作用与整体带宽类似，只是作用范围细化至每IP/用户范围

　　连接数限制（并发连接总数限制和新建速率限制）：通信双方建立的连接在FW上体现为会话，一条会话对应一个连接。FW通过限制自身生成的会话数量，来实现连接数限制功能，主要作用包括：①P2P业务会产生大量的连接，限制其连接数有利于减少P2P业务的流量，降低带宽占用。②在部署了内网服务器的场景中，连接数限制功能可以辅助FW防范针对内网服务器的DDoS攻击。③节省FW的会话资源。

　　上下行带宽独立控制和整体控制：在上面提到的最大带宽、保证带宽和连接数限制均支持上下行分别配置。在带宽通道中，上下行代表的含义跟带宽策略本身有关：流量传输方向与带宽策略同向时，定义为上行；与带宽策略反向时，定义为下行。换言之，流量命中带宽策略，定义为上行流量；将带宽策略中的源和目的互换进行反向查询，命中的流量定义为下行流量。

　　DSCP优先级重标记：DSCP优先级重标记是指修改报文中DSCP（Differentiated Services Code Point）字段的值。DSCP字段也称为DSCP优先级，是网络设备进行流量分类的依据。位于报文传输路径上的各个网络设备，可以通过DSCP优先级来区分流量，进而对不同DSCP优先级的流量采取差异化的处理。FW支持在带宽策略中配置DSCP作为匹配条件，也可以在带宽通道中对符合条件的报文修改其DSCP字段值，便于FW的上下行设备根据修改后的DSCP优先级来区分流量。

　　策略独占和策略共享：带宽通道被带宽策略引用后，整体最大带宽、整体保证带宽和整体最大连接数就会在带宽策略中起作用，其工作方式包括策略独占和策略共享两种：①策略独占：每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束，即符合该带宽策略匹配条件的流量，独享最大带宽资源。②策略共享：所有引用带宽通道的带宽策略都共同受到该带宽通道的约束，即符合多条带宽策略匹配条件的流量，共享最大带宽资源。

　　带宽复用：带宽复用是带宽通道的重要特征，指的是多条流量进入同一个带宽通道后，带宽通道内带宽资源的动态分配方式。当带宽通道中某一条流量没有使用带宽资源时，该空闲的带宽资源可以借给其它流量使用；如果有流量需要使用带宽资源时，可以压缩其它流量的带宽，从而将带宽资源抢占回来。带宽复用包括下面几种情况：①多条流量匹配到同一个带宽策略，多条流量之间可以实现带宽复用。②多个带宽策略可以策略共享的方式引用带宽通道，则匹配了带宽策略的多条流量之间可以实现带宽复用。③匹配了父子策略中的多个子策略的多条流量之间可以实现带宽复用。

　　流量转发优先级：FW支持为带宽通道配置流量转发优先级。当流量转发优先级配置为“中（4）”时，默认采用流量监管（Traffic Policing）的方式进行带宽限制；当带宽通道中的流量转发优先级不为“中（4）”时，默认采用流量整形（Traffic Shaping）的方式进行带宽限制。此时，超过带宽上限值的峰值流量和突发流量报文的转发优先级会被修改，优先级大于4的报文会被优先发送，优先级小于4的报文则会被延后发送。①流量监管：通过CAR机制限制网络中的峰值流量和突出流量，若某个连接的报文流量超过带宽通道中设置带宽上限值，则报文直接丢弃。②流量整形：通过队列机制，将超过带宽上限值的峰值流量和突发流量报文延迟传输，在限制网络中突发流量的同时调整流量的输出速率，使报文比较均匀的速度向外发送。

 1.3带宽策略

　　带宽策略决定了对网络中的哪些流量进行带宽管理，以及如何进行带宽管理。带宽策略中引用带宽通道，所有符合带宽策略匹配条件的流量，都只能使用该带宽通道所定义的带宽资源。

　规则的组成：

　　条件：

• 源安全区域/入接口
• 目的安全区域/出接口
• 源地址/地区
• 目的地址/地区
• 用户
• 服务
• 应用
• URL分类
• 时间段
• DSCP优先级

　　动作：

　　①限流：对符合条件的流量进行管理。当动作为限流时，还需在带宽策略中引用带宽通道，对流量的具体管理措施由该带宽通道决定。

　　②不限流：对符合条件的流量不进行管理。

1.4接口带宽

　　配置接口带宽，限制FW的接口在入方向和出方向上能够使用的带宽资源。FW作为大中型企业的出口网关时，企业向运营商申请的带宽资源一般都小于FW出接口的物理带宽。如果FW无法感知出接口上所能够使用的最大带宽资源，导致发出去的流量到达对端设备后产生拥塞，严重的话将会造成丢包。通过配置接口出方向上的带宽限制功能，可以使出接口的实际带宽与运营商所提供的带宽资源相匹配。当流量超过接口可以使用的实际带宽时，FW可以感知拥塞，触发队列调度机制，优先转发关键业务的流量。此外，也可以配置接口入方向上的实际带宽，当FW接收其它设备发送的流量时，限制进入接口的流量。　　　　

二，带宽管理实验

2.1拓扑

 　　Internet桥接了本地环回口网卡可以访问互联网，MGMT_PC桥接物理机网卡使用物理机管理Web界面，Trust_PC桥接了Vmware虚拟机网卡。使用带宽通道，带宽策略，接口带宽的配置等对PC进行带宽管理。

　　　在配置带宽管理之前在Trust_PC上进行测速，trust  > untrust的下载速度为2.9MB/S，上传速度542.6KB/S。我的物理机上测速没这么慢，可能是虚拟机的原因。过了一会再测试，又变快了。并不稳定。保险起见，实验单个IP限速到1MB/S。　　

2.2trust > untrust

2.2.1配置

1.IP地址，路由，源NAT等基础配置略。

2.配置接口带宽，配置接口上下行带宽为10MB/S。配置中的单位是Kb(1B=8b)。

[FW1-GigabitEthernet1/0/1]bandwidth  ingress  80000
[FW1-GigabitEthernet1/0/1]bandwidth  egress  80000

3.配置带宽通道，配置通道最大上下行带宽为10MB/S，单个IP最大上下行带宽为1MB/S。

[FW1]traffic-policy 
[FW1-policy-traffic]profile trust_untrust
[FW1-policy-traffic-profile-trust_untrust]bandwidth  maximum-bandwidth  whole  upstream  80000　　　　　　配置通道最大上下行带宽
[FW1-policy-traffic-profile-trust_untrust]bandwidth  maximum-bandwidth  whole  downstream  80000
[FW1-policy-traffic-profile-trust_untrust]bandwidth  maximum-bandwidth  per-ip upstream  8000　　　　　　 配置每个IP最大上下行带宽
[FW1-policy-traffic-profile-trust_untrust]bandwidth  maximum-bandwidth  per-ip downstream  8000

4.配置带宽策略，trust区域到untrust区域，源IP10.1.1.0/24网段的均受到带宽通道trust_untrust的限流。

[FW1-policy-traffic]rule name  trust_untrust
[FW1-policy-traffic-rule-trust_untrust]source-zone trust 
[FW1-policy-traffic-rule-trust_untrust]destination-zone untrust
[FW1-policy-traffic-rule-trust_untrust]source-address 10.1.1.0 24
[FW1-policy-traffic-rule-trust_untrust]action  qos profile  trust_untrust 

2.2.2测试现象

1.Trust_PC测速。差不多，限流生效了。

2.查看带宽过滤的统计信息

[FW1]display  traffic-policy statistic  bandwidth  whole  upstream  rule  trust_untrust
2022-10-09 02:35:40.570 
Bandwidth Statistic: 
Codes: PP(Passed Packets), PB(Passed Bytes), DP(Drop Packets), DB(Drop Bytes)
--------------------------------------------------------------------------------
Policy      Profile     PP     PB    DP     DB     Rcv-Rate(kbps) Pass-Rate(kbps)
--------------------------------------------------------------------------------
trust_untrust trust_untrust 88593  33807773 140    148560 0        0       
--------------------------------------------------------------------------------

2.3trust02 > untrust

2.3.1配置

1.配置父策略的带宽通道

[FW1]traffic-policy
[FW1-policy-traffic]profile trust02_untrust
[FW1-policy-traffic-profile-trust02_untrust]bandwidth  maximum-bandwidth whole  upstream  80000
[FW1-policy-traffic-profile-trust02_untrust]bandwidth  maximum-bandwidth  whole  downstream 80000

2.配置子策略的带宽通道

[FW1-policy-traffic]profile  trust02_untrust_subpolicy
[FW1-policy-traffic-profile-trust02_untrust_subpolicy]bandwidth  maximum-bandwidth  whole  upstream  80000
[FW1-policy-traffic-profile-trust02_untrust_subpolicy]bandwidth  maximum-bandwidth  whole  downstream  80000
[FW1-policy-traffic-profile-trust02_untrust_subpolicy]bandwidth guaranteed-bandwidth  whole upstream 8000
[FW1-policy-traffic-profile-trust02_untrust_subpolicy]bandwidth  guaranteed-bandwidth  whole  downstream  8000
[FW1-policy-traffic-profile-trust02_untrust_subpolicy]bandwidth  maximum-bandwidth   per-ip upstream  8000
[FW1-policy-traffic-profile-trust02_untrust_subpolicy]bandwidth  maximum-bandwidth   per-ip downstream 8000

3.配置父策略

[FW1-policy-traffic]rule name trust02_untrust
[FW1-policy-traffic-rule-trust02_untrust]source-zone  trust 
[FW1-policy-traffic-rule-trust02_untrust]destination-zone untrust  
[FW1-policy-traffic-rule-trust02_untrust]action  qos  profile  trust02_untrust

4.配置子策略，指定父策略

[FW1-policy-traffic]rule name trust02_untrust_subpolicy parent  trust02_untrust
[FW1-policy-traffic-rule-trust02_untrust_subpolicy]source-zone  trust02
[FW1-policy-traffic-rule-trust02_untrust_subpolicy]destination-zone untrust  
[FW1-policy-traffic-rule-trust02_untrust_subpolicy]source-address 10.1.2.0 24
[FW1-policy-traffic-rule-trust02_untrust_subpolicy]action  qos  profile  trust02_untrust_subpolicy

2.3.2测试现象

1.trust_pc测速