DCFS实验向导.docx
《DCFS实验向导.docx》由会员分享,可在线阅读,更多相关《DCFS实验向导.docx(18页珍藏版)》请在冰豆网上搜索。
![DCFS实验向导.docx](https://file1.bdocx.com/fileroot1/2022-11/26/41e68973-2a67-4e57-8797-8b3640fbc57a/41e68973-2a67-4e57-8797-8b3640fbc57a1.gif)
DCFS实验向导
DCFS快速实验向导
一、实验拓扑2
二、设置接口2
三、设置路由3
四、设置对象4
1、设置应用分组管理4
2、设置时间对象管理4
3、设置地址组管理5
五、实验配置向导6
实验一:
针对学生组快速拦截P2P6
实验二:
针对学生组限制P2P应用流量8
实验三:
针对学生组限制每个IP带宽11
实验四:
二级带宽策略的使用案例13
实验五:
特殊权限地址快速通过15
实验六:
限制内网用户会话数16
六、设备软件版本升级18
一、实验拓扑
以下六个实验都以上图拓扑为例,将DCFS8000串接在出口防火墙和核心交换机7608之间。
二、设置接口
点击网络管理/网络接口设置,可以看到设备的所有接口,通过该界面可以设备接口的ip地址、介质类型、网桥和网络区域。
默认的介质类型是自协商,默认设置是两个接口在同一个桥组,当然也可以手工修改。
三、设置路由
点击网络管理/路由参数设置,可以设置到到内网的目标网段路由和到外网的缺省网关路由用于管理设备。
四、设置对象
1、设置应用分组管理
点击对象管理/应用分组管理过后,点击新增应用分组,填写分组名称并选中相关协议,
点击设置即可。
2、设置时间对象管理
点击对象管理/时间管理过后,点击新增时间分组,填写新的时间组名称如“工作时间”,
选择时间范围点击确定即可
3、设置地址组管理
点击对象管理/地址组管理过后,点击新增地址组,填写地址组名称如“学生组”,
设置地址范围或地址段点击确定即可
同样方式建立教师组
五、实验配置向导
实验一:
针对学生组快速拦截P2P
功能需求:
针对学生组将P2P应用拦截掉
流量控制网关一个很常见的应用就是拦截目前流行的P2P应用,将设备使用桥接方式接入网络后,进入管理界面,点击菜单“控制策略”—〉“应用访问控制”,如下图所示:
进入“应用访问控制”页面之后,点击右上角按钮“新增规则”,将操作选择为“拦截”,如下图所示:
点击“应用”页面,选择之前建立的P2P分组,如下图所示:
点击“来源”页面,选择要限制的源地址学生组,然后“设定”即可,如下图:
如下图所示,限制P2P应用的策略已经设置成功并生效,通过策略下面的菜单可以将该策略启用、禁用或者删除。
实验二:
针对学生组限制P2P应用流量
功能需求:
针对学生组将P2P流量控制到10M
这也是流量控制网关的一个很常见的应用实例,例如总的带宽为100M,现在准备将P2P应用限制为10M(单向10M,双向20M),示例如下:
首先定义带宽通道,点击菜单“控制策略”—〉“带宽通道管理”,如下图所示:
打开“带宽通道管理”页面后,点击右上角按钮“新增带宽通道”,如下图所示:
上图是定义出口通道,也就是其他待定义通道的父通道,定义好出口100M的父通道后,点击右侧的“新建子通道”,建立P2P带宽通道,如下图所示:
上图中10M指的是单向流量,但是在监控设置中默认显示的是双向的流量,所以在“流量分析图”中显示的可能是20M左右的流量;如果想对P2P上行和下行流量做不对称的控制,带宽上限的格式为:
下载/上传,如果限制P2P流量下载10M,上传8M,则应该在“带宽上限”处写入的格式是:
10M/8M。
因为对P2P的流量控制一般不应该超出其带宽上限,所以应该将“允许超出带宽上限”勾去掉。
带宽通道如下图所示:
定义完带宽通道后,通道并不生效,必须定义相应的策略跟通道关联,使其生效。
点击菜单“控制策略”—〉“带宽分配策略”,如下图所示:
进入“带宽分配策略”页面后,点击按钮“新增带宽策略”,选择我们上面所作的带宽通道-P2P通道,接口选择“内网”到“外网”,如下图所示:
图1.带宽分配策略一
注:
因为是带宽策略,需要知道方向,在此的接口应该选择内网->外网。
点击“服务”页面,选择之前建立的P2P分组,如下图所示:
图2.带宽分配策略二
如果只针对某段地址限制,则需要指定来源地址,点击“来源”页面,选择之前建立的地址组学生组,点击设定即可,如下图所示:
实验三:
针对学生组限制每个IP带宽
功能需求:
针对学生组将每个ip限制到512K
在实际的应用中经常可以碰到这种需求:
限制某个或者某些IP地址段的带宽,例如:
在校园网中,需要对宿舍区限制带宽,规定每个学生的带宽不能超过1M,可以采用如下做法:
假设校园网总出口为100M,准备分配给学生宿舍区的带宽为80M,首先应该设置地址组对象,将学生组的地址设置为一个对象,点击菜单“对象管理”—〉“地址组管理”,点击新增地址组,将学生组的地址写入,请参考四建立对象
配置完地址组后,应该设置带宽通道策略,首先设置出口带宽通道,打开“带宽通道管理”页面后,点击右上角按钮“新增带宽通道”,如下图所示:
定义好接口父带宽通道后,点击右侧的“新建子通道”,定义学生宿舍区的带宽,带宽上限为80M,如下图所示:
因为需要限制每个学生的带宽,所以必须限制每个终端的带宽,点击“终端设置”,将每个终端的带宽设置为1M,如下图所示:
注:
队列尺寸一般设置为64
上图中的“上限带宽动态分配”是本产品的一个重要技术特点,选中这个特征可以在用户分配的带宽通道内动态的调节、均衡用户带宽的使用,使所有终端的带宽在带宽资源紧张的时候最大可能地保持平均地使用,而尽可能减少因为某些用户占用大量带宽导致其他用户无法使用地状况。
如果用户带宽资源较为紧张,建议选用此选项。
定义完带宽通道后,通道并不生效,必须定义相应的策略跟通道关联,使其生效。
点击菜单“控制策略”—〉“带宽分配策略”,打开页面后,点击“新增带宽策略”,将“带宽通道”选择我们刚刚定义的“学生组通道”,接口选择“内网”到“外网”,因为必须关联学生区地址,点击“来源”,选中对应的学生区地址组,如下图所示:
实验四:
二级带宽策略的使用案例
功能需求:
需求1,将每个学生的ip限制到512K,需求2,将内网P2P应用限制到10M。
学校共有100M带宽,学校限制每个学生512K上网带宽,然后在总出口处限制P2P的流量不超过10M,必须使用二级带宽策略,做法如下:
首先建立一条出口是100M的父通道,并在该父通道下建立一条每学生512K的子通道。
功能是“限制每个学生512K上网带宽”,再需要做一条二级带宽策略。
在建立二级带宽通道时需注意:
如果都属于总出口的子通道,会出现重复统计的问题,因此此处所作的通道必须与总出口的通道属于同一级,如下图所示:
点击菜单“控制策略”—〉“带宽分配策略”,点击新增规则,如下图所示:
并将选择来源地址“学生组”
点击菜单“控制策略”—〉“二级带宽分配策略”,点击新增规则,如下图所示:
并选择在服务项中选择“P2P分组”
策略完成后,就能实现最初用户的需求了。
下图为应用完二级带宽策略后的通道抓图
实验五:
特殊权限地址快速通过
功能需求:
针对教师组不限制带宽
这个功能的实现比较简单,首先需要规划特殊IP的地址组,如“教师组”,然后使用菜单“控制策略”->“带宽分配策略”,作一条策略,通道选择系统内置的“不限带宽”通道,来源地址选择上述的地址组,如下图所示:
点击“设定”生成策略即可,为了保障不被其他策略影响,移动策略,将其上移到第一条,如下图所示:
实验六:
限制内网用户会话数
功能需求:
限制内网用户的会话数到300条
有时用户需要限制每个用户的会话数,主要是因为病毒和攻击泛滥,少数用户的会话数过多会导致出口阻塞,甚至导致防火墙瘫痪,因此,需要限制每个用户的最大会话数。
首先需要修改“网络区域”的属性,“网络区域”的属性影响网络接口,我们需要限制的会话数一般是指内网用户,因此,需要修改“内网”区域的属性,如下图所示:
选择“会话限制(使用系统定义的会话限制)”,点击“设定”即可。
网络区域设置完成后,可以在“参数设置”菜单中具体设置会话的数量,点击“参数设置”菜单,如下图所示:
在“参数设置”的“会话设置”页面中,首先“新建会话保护”选择为“不启动保护模式”,因为保护模式会将一些病毒或者攻击会话过滤掉,影响会话限制的效果,然后在“最大会话限制”处填写需要限制主机的最大会话数,主机的最大会话数不宜过低,否则会影响用户的使用体验。
点击“确认”即可生效。
会话限制可以实时观察,点击菜单“系统监控”->“会话和主机监控”->“主机状态”,可以实时显示主机的状态,红色的标记为经过限制的主机会话。
六、设备软件版本升级
建议使用http方式升级版本,首先要搭建一个httpserver,建议使用我公司提供的日志软件LinkManagerDCFS-Analyser,在随机光盘中包含该软件或者到ftp:
//10.1.145.247/zhujya/DCFS/DCFS日志软件/2.5beta中下载该软件
安装完毕后PC可以看成一个httpserver,将需要升级的版本放在C:
\NMLogSvr\Apache\htdocs目录下,在装有日志软件的PC上输入http:
//ip/name,比如软件版本名为firmware-v5.0.1-DCFS-8500-EN-ad3s1a-q35-20091230.bin,则在本机输入http:
//192.168.1.66/firmware-v5.0.1-DCFS-8500-EN-ad3s1a-q35-20091230.bin后PC提示下图
说明httpserver已经设置成功,可以进行升级。
注意:
1、在输入文件名时一定要记的文件的扩展名
2、httpserver机器需要关闭windows自带防火墙以及其他软件带的防火墙。
DCFS软件版本下载地址:
ftp:
//10.1.145.247/zhujya/DCFS/DCFS版本