SecPath ACG带宽管理+QoS典型配置.docx
《SecPath ACG带宽管理+QoS典型配置.docx》由会员分享,可在线阅读,更多相关《SecPath ACG带宽管理+QoS典型配置.docx(13页珍藏版)》请在冰豆网上搜索。
SecPathACG带宽管理+QoS典型配置
SecPathACG带宽管理+QoS典型配置
应用环境拓扑
用户需求
用户内网主机网段为192.168.1.0/24,主要应用是访问Internet网络。
由于内网迅雷下载、pplive在线视频应用过多,导致出口经常拥塞,经常出现访问外部网络延迟较大问题,不能正常浏览网站和收发邮件,对正常的工作产生了较大的影响。
前期采用的方式是扩充出口带宽,出口从最初的10M扩大至100M后,仍然不能从根本上解决问题,因此,用户提出试用我司的SecPathIPS/ACG设备,同时,他提出了如下要求:
1.单个用户要进行一定的流量控制;
2.某些特定的应用:
P2P/流媒体等应用要进行总体的限制
3.要保证HTTP的正常使用
从用户的要求来讲,基本可以确定后期的配置思路:
ACG带宽管理策略+QoS策略同时使用,通过带宽管理制定“用户模式”的控制策略,对单IP进行一定数量的限制;同时,在QoS策略中,对整体的P2P和流媒体流量进行限制。
经验介绍:
1.关于整体流量限速这块,建议网络中的10%流量给P2P和流媒体的应用;同时,考虑到这两类业务的特殊性:
下载流量较多,上传的较少,所以,可以将上下行流量按照1:
4来分配流量;
2.对于对未识别的流量,尽量控制到网络总出口的15%;
3.如果重点是考虑网络用户的体验,建议将HTTP流量进行足够的保障,建议使用40%;同时,还需要考虑的是DNS流量,这部分流量统一划分到了“网络管理”服务中;
4.带宽管理建议使用“用户模式”,对单个用户进行限速;正常应用的话,800Kbps即可;
5.同时,在单个用户的带宽管理策略中,还应对P2P、流媒体和未知流量进行限制,限速的大小建议200kbps。
综上所述,就这个组网来看,整个策略的配置就是:
带宽管理:
个人800Kbps带宽,并对P2P、流媒体和未知流量进行200Kbps的限速;
Qos策略:
整体带宽的通道是100M、其中“HTTP+网络管理”为40M、“P2P+流媒体”为上行2.5M下行10M、“TCP/UDP”为15M,剩下的“Default”为15M。
组网模式
1.SecPathIPS/ACG属于全透明部署方式设备,接入网络中的两个接口工作在一个网桥中,割接的话不会对现有网络运行有任何影响;
2.由于需要对网流进行识别和控制,所以,SecPathIPS/ACG选择串入的部署方式;
3.出于日志审计方面考虑,建议SecPathIPS/ACG部署在NAT设备内侧,以免流经IPS/ACG设备的数据流源地址发生改变。
配置流程
1.准备相应的版本:
建议到公司FTP中取当前最新软件的版本,为设备申请license,并升级IPS的特征库/ACG的协议库到最新版本;
2.登陆IPS/ACG的web管理界面,进行初始化配置:
包括接口添加到安全域、基于安全域新建段;
3.为各项应用分别新建两个“应用带宽控制”限速动作组:
200Kbps和800Kbps,并将200kbps分别与“P2P”、“流媒体”和“TCP/UDP”服务绑定,以达到对每用户进行应用控制的目的;同时,将“Default”服务与800Kbps的动作绑定,限制每个用户的最大带宽;
4.配置QoS策略,将父通道上下行设置为100Mbps,子通道“HTTP+网络管理”40M,“P2P+流媒体”上行2.5M/下行10M,“TCP/UDP”为15M,子通道中的“Default”15M;
5.将配置的策略下发到段上并激活;
6.保存配置并退出。
详细配置
1.登陆IPS/ACG的web管理界面,进行初始化配置:
包括接口添加到安全域、基于安全域新建段;
在菜单“系统管理>网络管理>安全区域”下,点击“创建安全域”按钮,进入“创建安全区域”页面,将接口“Eth0/3”添加到区域“LAN中”,将接口“Eth0/2”添加到区域“WAN”中。
安全区域配置完成后,在菜单“系统管理>网络管理>段配置”下,点击“新建段”按钮,为两个安全域新建一个段:
2.将P2P、在线视频和TCP/UDP服务分别与相应的限速动作组进行绑定:
(仅以200K与P2P服务绑定为例)
在“带宽管理>BWC管理>应用带宽控制列表”菜单下,点击“增加带宽控制”按钮,配置一个200K的应用带宽速率。
200K速率配置完成后,在“系统管理>动作管理>限速动作列表”菜单下,点击“添加限速动作”按钮,新建一个限速动作,并引用此前配置完成的限速速率;
动作组配置完成后,在“系统管理>动作管理>动作集列表”菜单下,点击“添加动作集”按钮,新建一个限速动作组,并引用此前配置完成的限速速率;
新建一个安全策略,工作模式选择“用户模式”,并将将策略中的P2P服务与200K的限速动作组进行绑定,达到对P2P应用限速的目的:
同理,可以配置“流媒体”服务与200K的限速组绑定。
3.为带宽管理策略新建一个“应用带宽控制”限速动作:
800Kbps,并与整个安全策略绑定;整个过程与步骤2的操作完全相同,唯一不同的就是动作组创建好后,需要与Default服务向绑定:
4.将配置好的策略下发到段上并激活;
完成限速的配置后,在“对象管理>段管理>段策略管理”菜单下,点击“新建段策略”按钮,将建好的策略下发到段上。
完成策略下发的配置后,“内部域例外IP”和“上下行(策略段)”列表中看到如下图红色区域的内容,通过点击“激活”按钮,将整个策略激活。
5.完成带宽管理的配置后,接下来的工作就是完成QoS的配置。
QoS功能是ACG产品新近增加的一个功能,旨在为用户更加细腻的控制策略,其核心思想就是通过定义QoS通道的方式,对相应的应用流量进行保障;QoS与带宽管理是相互独立的两个模块;从限速的方式来看,QoS的工作机制有点类似于带宽管理的“组模式”,所以,在实际开局中,QoS整体流量控制+带宽管理的用户模式控制形成互补的局面,可以达到较好的限速效果,并同时保障用户的上网体验。
6.在菜单“QoS>分层QoS”下,点击“新建通道”按钮,进入“新建通道”页面,创建一个名称为“Default”的QoS父通道:
通道的服务选择为“Default”服务;
7.点击“确定”按钮后会弹出“修改QoS策略”对话框;点击“开启”前面的选项卡以激活整个QoS策略,然后在“上行带宽”和“下行带宽”的“保证”一栏中输入相应的出口带宽参数:
这里录入的是总出口的100M带宽。
PS:
带宽借用不要使用。
8.点击已经创建好的“Default”QoS父通道的“新建子通道”按钮,以对各项应用的带宽进行分配。
9.以保障“HTTP+网络管理”带宽为例;在“服务列表”选项中选择并增加“Internet”和“网络管理”服务:
10.点击“确定”按钮后会弹出“修改QoS策略”对话框;点击“开启”前面的选项卡以激活整个QoS策略,然后在“上行带宽”和“下行带宽”的“保证”一栏中输入相应的出口带宽参数:
这里录入的是对“HTTP+网络管理”保障的40M带宽。
PS:
带宽借用不要使用。
11.点击“确定”按钮后即可返回“分层QoS”菜单,系统会显示出当前所有的QoS配置通道:
可以显示出刚才已经配置完成的40M“HTTP+网络管理”QoS子通道。
12.按照步骤8---11,完成“P2P+流媒体”、“TCP+UDP”的QoS父通道配置;完成后,QoS应该会有如下显示:
13.由于父通道Default策略定义的是所有的服务,这样,在子通道中,还需要增加一条策略,来匹配除了已经定义的服务之外的服务,这条策略匹配的服务集是“Default”服务。
14.这样就完成了QoS的所有配置;此时,“分层QoS”会显示如下配置信息:
15.保存配置并退出。
配置完成后,点击“系统管理>设备管理>配置维护”菜单下的配置“保存”按钮,保存当前的配置文件。
升级会员 