中国专业IT外包服务

加入收藏

公司微博

IT外包价格计算器

您当前位置：主页 > 资讯动态 > 艾锑分享 >

网络运维|防火墙的整体限流

2020-05-30 15:37 作者：admin

网络运维|防火墙的整体限流

大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，在web页面下做防火墙整体限流相关的配置。简单网络安全运维，从Web管理轻松学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维修信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息

通过二级限流实现保证带宽

介绍通过二级限流实现保证指定IP的带宽的举例。

组网需求

如图7-53所示，Trust区域中内网用户的是192.168.1.0/24网段，可以访问Internet，总带宽为100M，需要保证内网每个用户至少可以获取1M的下载带宽，最大为2M。
图二级限流实现保证带宽的组网图

项目	数据	备注
(1)	接口号：GigabitEthernet 0/0/2 IP地址：192.168.1.1/24 安全区域：Trust	–
(2)	接口号：GigabitEthernet 0/0/3 IP地址：10.1.1.1/24 安全区域：Untrust	–
PC	IP地址范围是192.168.1.2/24～192.168.1.254/24。	–
用户带宽限制	总带宽：100M。每个IP保证带宽1M，最大带宽2M。	–

配置思路

1. 配置各接口基本参数。
2. 配置域间包过滤和路由，保证网络基本通信。
3. 配置NAT功能，使内网用户能访问外网。
4. 启用限流策略功能。
5. 配置整体限流功能，限制内网用户总带宽。
6. 配置每IP限流功能，限制每个IP的保证带宽和最大带宽。

操作步骤

1. 配置各接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中，单击GigabitEthernet 0/0/2对应的

，显示“修改GigabitEthernet”界面。
GigabitEthernet 0/0/2的相关参数如下，其他参数使用默认值：
· 安全区域：trust
· 模式：路由
· 连接类型：静态IP
· IP地址：192.168.1.1
· 子网掩码：255.255.255.0
c. 单击“应用”。
d. 单击GigabitEthernet 0/0/3对应的

，显示“修改GigabitEthernet”界面。
GigabitEthernet 0/0/3的相关参数如下，其他参数使用默认值：
· 安全区域：untrust
· 模式：路由
· 连接类型：静态IP
· IP地址：10.1.1.1
· 子网掩码：255.255.255.0
e. 单击“应用”。
2. 对于USG系列，配置域间包过滤，以保证网络基本通信正常。对于USG BSR/HSR系列，不需要执行此步骤。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 在“转发策略列表”中，单击“untrust->trust”下“默认”对应的

。
c. 在“修改转发策略”界面中，修改“动作”为“permit”
d. 单击“应用”。
3. 配置NAT功能，使其内网用户可以通过公网地址访问Internet。本例只给出与本特性相关的配置步骤，配置NAT的步骤略。
4. 启用限流策略功能。
a. 选择“防火墙 > 限流策略 > 基本配置”。
b. 选中“限流策略”对应的“启用”复选框。
c. 单击“应用”。
5. 配置整体限流策略1，引用整体限流class class1，限制总的下载带宽为100M。
a. 选择“防火墙 > 限流策略 > 整体限流”。
b. 选择“整体限流Class”页签。
c. 单击