DLinkDFL防火墙流量控制Word文件下载.docx

DLinkDFL防火墙流量控制Word文件下载.docx

《DLinkDFL防火墙流量控制Word文件下载.docx》由会员分享，可在线阅读，更多相关《DLinkDFL防火墙流量控制Word文件下载.docx（15页珍藏版）》请在冰豆网上搜索。

3.按优先权处理数据包。

通信满负荷时，低优先权的通信会为高优先权的让出带宽。

4.带宽保证。

适用环境：

用于对带宽管理有较高要求的、注重互联网安全的中小企业。

二、基于服务流量控制实例的拓扑图、说明及配置方法

基于服务的流量控制实例的拓扑图：

拓扑说明：

DFL-860E以路由模式接入到网络中。

路由器LAN连到防火墙的wan1上，路由器ip为192.168.13.252/24.。

防火墙wan口的ip为192.168.13.14/24，防火墙的lan通过交换机连接pc，lan口的ip为192.168.10.1，防火墙关闭dhcp，pc上的ip为手工指定。

FTP/HTTPSERVER接在路由器的lan上，ip为：

192.168.13.13,服务端口为默认。

实例目的：

1，假设总带宽为500Kb。

2，HTTP控制限速为200Kb,并保证在带宽满负荷的情况下仍能优先占用200Kb带宽。

3，FTP不作限速，最高能达500Kb.

基本概念

Pipes--管道是流量整形的一个基本组成对象，用户可以定义是什么类型的数据流经过。

pipesrules--管道规则就是让决定什么类型的数据会经过那些管道。

防火墙默认是没有pipesrules的。

pipesrules可以设置0到7（最高）的优先值。

在优先值最低的管道中，将会实行先到先转发的基本原则。

注意：

流量整形对于在IPrules使用了Fwdfast规则的条目不会生效。

本例一共使用http，ftp，total三种管道。

首先创建需要设置的几条管道，分别是ftp-in,ftp-out,http-in,http-out,total-in,total-out

ftp-in的创建信息,由于ftp不作限速，所以不需要设置Pipelimits参数.

ftp-out如下图，Pipelimits同样不需要设置。

然后是http-in的创建：

http-in的Pipelimits，这里设置限速为200Kb

http-out也是一样的设置：

最后是总带宽total-inPipe的建立：

Pipelimits设置最高优先级7的占用为200，稍后分配给http.。

第1级设置为400，总带宽设置为500。

Total-out设置如下：

Pipelimits

第二步是建立三条PipeRules

先是ftp-control的rules,这里绑定相关的service及address

trafficeshaping设置如下，使用优先级别为1.

http-control的rule

trafficeshaping设置如下，使用优先级别为最高的7级，最多能指定8条管道。

最后是建立总带宽。

这里选all_services让所有的数据通过。

流量控制已设置完毕，以下测试实际效果，先用ftp下载，速度约500Kb，占用了总带宽的全部。

关掉ftp，用http方式下载，速度约为200Kb，限速生效了。

FTP与HTTP同时下载时，http的优先级别高，因此http仍保证有200Kb的带宽，剩下的FTP全部占用了。

服务流量控制设置完成。

三、基于IP的流量控制实例的拓扑图、说明及配置方法

测试说明：

DFL-860E以路由模式接入到网络中，限制192.168.10.20—192.168.10.50这段IP地址的总流量不超过320KB，而在限速地址范围外时不受限制。

当测试机IP都在限速地址范围内，接一台测试机时，其独享320KB的带宽，如接三台测试机时，则它们平均分配320KB的流量，每台约300KB。

防火墙设置如下：

建立一个需要限速的IP地址段：

设置要限速的IP地址段为192.168.10.20—192.168.10.50。

建立限速管道：

建立一条出去的管道，Grouping选择SourceIP，限制的速度为3000Kb，约合320KB：

再建立一条入的管道，Grouping选择DestinationIP，也限制的速度为3000Kb，约合320KB：

建立的两条管道如下：

创建管道规则：

由于是限制所有服务的流量，所以服务选择“all_services”，SourceNetwork引用之前建立

的要限速的IP地址段：

创建的规则如下：

防火墙配置完毕。

效果验证

1、单台机限速测试

先连接一台测试机A进行测试，把A机的IP地址设置为在限制的IP范围之外，下载FTPServer里的文件速度约有396KB。

然后把测试机A的IP改为受限速的IP地址段，速度已经不超过320KB了，限制成功。

2、多台测试机限速测试

把三台测试机A,B,C都接入到防火墙上，IP地址分别是：

192.168.10.35,

192.168.10.26,

192.168.10.27。

测试机A使用迅雷来下载外网的文件：

测试机B使用FTP来下载FTPServer的文件：

测试机C直接复制FTPServer上的文件：

总结：

这三台测试机共享、并且接近平均分配了这320KB的带宽流量。

当管道中的Grouping选择为“None”的时候，三台测试机的带宽就不是平均分

配的了。

如下图：