【WALL1600下一代防火墙】下一代防火墙对网段或每IP限速

发布时间: 2013-09-15 点击量:1327 打印 字体:

应用场景

防火墙作为某单位出口设备,原来是不限速策略,很多员工使用BT/迅雷等P2P下载导致上网高峰期网络拥塞带宽不足,网页打开都很慢。网管中心老师希望通过防火墙对学生的流量加以限制,需求是:对每个用户的流量限制固定的值;限制内网每ip上下行不超过某个固定值。

        要满足客户的需求通过安全策略里调用之前的用户地址段,设置高级选项中的“流量控制”可以实现:

        策略上行/下行针对的是整个网段,主机上行/下行针对的是每个IP用户。

        本案例NGFW以透明模式,不改变用户网络结构实现与路由模式一样的流控功能。

 

一、组网需求

     某单位出口带宽是有限的10兆,想要对内网每个用户的流量都做限制,限制内网每IP上行不超过100Kb/s,下行不超过100Kb/s.

 

二、组网拓扑

 

三、配置要点

    1、针对需要限制的用户地址段,定义相应的地址对象

    2、在安全策略里调用之前的用户地址段,设置高级选项中的“流量控制”

注意:在流量控制中,可以设置“优先级”,该优先级表示数据优先转发的级别

策略上行/下行针对的是整个网段,主机上行/下行针对的是每个IP用户。

 

四、配置步骤

1、针对需要限制的用户地址段,定义相应的地址对象

子网:192.168.1.0/24   , 其中“24”代表掩码 255.255.255.0

2、在安全策略里调用之前的用户地址段,设置高级选项中的“流量控制”

 

点击上图的“高级选项”,显示如下:

流量控制:即启用流量控制功能,对策略中指定的流进行服务质量保证。

在优先级设置中设定数据流的优先级,优先级从高到低有High, Medium, Normal, Low四种,缺省为Normal,匹配该策略的流根据此优先级转发。

在策略上/下行带宽限制中设定最大带宽,取值范围10-1000000Kbits/s,输入文本框内容为空时表示不限速。

配置流量限速值后匹配该策略的流上/下行方向最大带宽不超过相应限速值

策略上行针对的是整个网段,主机上行针对的是每个IP用户

 

 

五、配置验证

设置出口总带宽的上下行分别是10兆(10兆等于10000Kb/s),每台主机的上行不超过400Kb/s,下行最多800Kb/s。

限速后使用FTP软件上传,上行速度如下:

限速后使用FTP软件下午,下行速度如下:

不限速的情况:

上行速度:

下载速度:

 

00 分享 纠错
相关条目