DLinkDFL防火墙流量控制Word文件下载.docx
《DLinkDFL防火墙流量控制Word文件下载.docx》由会员分享,可在线阅读,更多相关《DLinkDFL防火墙流量控制Word文件下载.docx(15页珍藏版)》请在冰豆网上搜索。
![DLinkDFL防火墙流量控制Word文件下载.docx](https://file1.bdocx.com/fileroot1/2022-12/13/c02d9aec-dfbb-4180-8d76-dfcb25ff9be3/c02d9aec-dfbb-4180-8d76-dfcb25ff9be31.gif)
3.按优先权处理数据包。
通信满负荷时,低优先权的通信会为高优先权的让出带宽。
4.带宽保证。
适用环境:
用于对带宽管理有较高要求的、注重互联网安全的中小企业。
二、基于服务流量控制实例的拓扑图、说明及配置方法
基于服务的流量控制实例的拓扑图:
拓扑说明:
DFL-860E以路由模式接入到网络中。
路由器LAN连到防火墙的wan1上,路由器ip为192.168.13.252/24.。
防火墙wan口的ip为192.168.13.14/24,防火墙的lan通过交换机连接pc,lan口的ip为192.168.10.1,防火墙关闭dhcp,pc上的ip为手工指定。
FTP/HTTPSERVER接在路由器的lan上,ip为:
192.168.13.13,服务端口为默认。
实例目的:
1,假设总带宽为500Kb。
2,HTTP控制限速为200Kb,并保证在带宽满负荷的情况下仍能优先占用200Kb带宽。
3,FTP不作限速,最高能达500Kb.
基本概念
Pipes--管道是流量整形的一个基本组成对象,用户可以定义是什么类型的数据流经过。
pipesrules--管道规则就是让决定什么类型的数据会经过那些管道。
防火墙默认是没有pipesrules的。
pipesrules可以设置0到7(最高)的优先值。
在优先值最低的管道中,将会实行先到先转发的基本原则。
注意:
流量整形对于在IPrules使用了Fwdfast规则的条目不会生效。
本例一共使用http,ftp,total三种管道。
首先创建需要设置的几条管道,分别是ftp-in,ftp-out,http-in,http-out,total-in,total-out
ftp-in的创建信息,由于ftp不作限速,所以不需要设置Pipelimits参数.
ftp-out如下图,Pipelimits同样不需要设置。
然后是http-in的创建:
http-in的Pipelimits,这里设置限速为200Kb
http-out也是一样的设置:
最后是总带宽total-inPipe的建立:
Pipelimits设置最高优先级7的占用为200,稍后分配给http.。
第1级设置为400,总带宽设置为500。
Total-out设置如下:
Pipelimits
第二步是建立三条PipeRules
先是ftp-control的rules,这里绑定相关的service及address
trafficeshaping设置如下,使用优先级别为1.
http-control的rule
trafficeshaping设置如下,使用优先级别为最高的7级,最多能指定8条管道。
最后是建立总带宽。
这里选all_services让所有的数据通过。
流量控制已设置完毕,以下测试实际效果,先用ftp下载,速度约500Kb,占用了总带宽的全部。
关掉ftp,用http方式下载,速度约为200Kb,限速生效了。
FTP与HTTP同时下载时,http的优先级别高,因此http仍保证有200Kb的带宽,剩下的FTP全部占用了。
服务流量控制设置完成。
三、基于IP的流量控制实例的拓扑图、说明及配置方法
测试说明:
DFL-860E以路由模式接入到网络中,限制192.168.10.20—192.168.10.50这段IP地址的总流量不超过320KB,而在限速地址范围外时不受限制。
当测试机IP都在限速地址范围内,接一台测试机时,其独享320KB的带宽,如接三台测试机时,则它们平均分配320KB的流量,每台约300KB。
防火墙设置如下:
建立一个需要限速的IP地址段:
设置要限速的IP地址段为192.168.10.20—192.168.10.50。
建立限速管道:
建立一条出去的管道,Grouping选择SourceIP,限制的速度为3000Kb,约合320KB:
再建立一条入的管道,Grouping选择DestinationIP,也限制的速度为3000Kb,约合320KB:
建立的两条管道如下:
创建管道规则:
由于是限制所有服务的流量,所以服务选择“all_services”,SourceNetwork引用之前建立
的要限速的IP地址段:
创建的规则如下:
防火墙配置完毕。
效果验证
1、单台机限速测试
先连接一台测试机A进行测试,把A机的IP地址设置为在限制的IP范围之外,下载FTPServer里的文件速度约有396KB。
然后把测试机A的IP改为受限速的IP地址段,速度已经不超过320KB了,限制成功。
2、多台测试机限速测试
把三台测试机A,B,C都接入到防火墙上,IP地址分别是:
192.168.10.35,
192.168.10.26,
192.168.10.27。
测试机A使用迅雷来下载外网的文件:
测试机B使用FTP来下载FTPServer的文件:
测试机C直接复制FTPServer上的文件:
总结:
这三台测试机共享、并且接近平均分配了这320KB的带宽流量。
当管道中的Grouping选择为“None”的时候,三台测试机的带宽就不是平均分
配的了。
如下图: