限制篇(5.4) 03. 控制下载和上传流量 ❀ 飞塔 (Fortinet) 防火墙
2017-04-05 17:47
726 查看
【简介】当带宽有限,而上网的人比较多的时候,就需要对带宽的使用加以限制。飞塔防火墙可以制定不同的流量整形,允许不同的IP使用不同的带宽流量。
什么是带宽
在单位时间内从网络中的某一点到另一点所能通过的“最高数据率”。对于带宽的概念,比较形象的一个比喻是高速公路。单位时间内能够在线路上传送的数据量,常用的单位是bps(bit per second)。计算机网络的带宽是指网络可通过的最高数据率,即每秒多少比特。
① 网络带宽可分为上行速率(上传的带宽)和上行速率(下载的带宽)。上行速率是指用户电脑向网络发送信息时的数据传输速率,比如用FTP上传文件到网上去,影响上传速度的就是“上行速率”;下行速率是指网络向用户电脑发送信息时的传输速率,从网上下载文件,影响下载速度的就是“下行速率”。
流量整形器
流量整形(Traffic Shaping)是一种主动调整流量输出速率的措施。
① 默认的情况下,流量整形功能是启用的,如果在菜单中没有找到流量整形,那么也选择菜单【系统管理】-【功能选择】,在额外功能分类里找到并打开【流量整形】选项。
② 选择菜单【策略&对象】-【流量整形器】,可以看到系统有五条默认的流量整形。我们可以修改默认的流量整形后再使用,也可以建立新的流量整形,这里点击【新建】。
③ 流量整形类型:分为共享、每IP和每策略,每IP好理解,就是每个IP限制多少流量,每策略则是每个使用该整形器的策略独立进行流控。比如有10条策略引用了15M的流控脚本,那么每条策略均可以使用15M的带宽。共享则是所有使用该脚本的策略共同进行流控。比如有10条策略引用了15M的流控脚本,那么所有策略内的用户共同使用这15M的带宽,即这10条策略流量加起来不会超过15M。默认情况下每策略隐藏起来了,不能被选择。
流量优先级:对于防火墙转发的在策略中使用traffic shaper功能的流量,其优先级可以分为高、中、低三个级别,级别高的流量会优先被防火墙转发。分别对应于转发队列的到、Medium、从。可以根据业务类型进行分类,将VOIP等业务设置为高优先级,http, pop3,sntp,OA系统等配置为中优先级,其他的业务放入低优先级。如果策略中未指定任何级别的优先级,则默认被放入高优先级。
[b] 最大带宽:[/b]该策略所能达到的最大带宽,单位 kbps 。当流量超过该闸值的时候,超过流量的数据包会被丢弃。配置为0 ,则意味着最大带宽不受限制。
带宽保证:该该策略能够得到的保证带宽。当流量低于该值的时候,数据包会被放入到队列0 中,也就是获得最优先的转发,保证该业务占用的最少带宽数量。不建议对非关键业务配置该参数。当策略占用带宽介于最大带宽和保证带宽之间的时候,则按照策略内定义的优先级进行转发。
④ 为了启用每策略,我们可以在新建好的整形器上点击鼠标右键,弹出子菜单中选择【在CLI中编辑】;
⑤ 在命令窗口中输入命令 set per-policy enable,启用每策略。
⑥ 再次查看流量整形器,可以看到已经多出一个每策略选项。
⑦ 为了能查看到流量整形器带来的变化,我们可以修改上网策略,记录全部的流量日志。
流量整形策略
FortiOS 5.4的流量整形策略与FortiOS 5.2有很大的不同。FortiOS 5.2在上网策略里加入流量整形器,而FortiOS 5.4需要建立独立的流量整形策略,和上网策略分开。
① 选择菜单【策略&对象】-【流量整形策略】,点击【新建】。
② 这条流量整形策略的作用是所有在172.20.3.20~172.20.3.240之间IP地址的电脑,访问宽带Wan1,共用最高上行和下行为5M的带宽。
【提示】 FortiOS 5.4 流量整形策略只有一个流出接口,也就是只对流出接口进行流量监控,不管源地址是来自哪个接口,只要指定了IP地址,流量整形就会起效果。
效果测试
我们通过网速测试软件,分别测试没有加流量整形和有加流量整形的网速,就可以看出来流量整形是不是起作用了。
① 这是没有启用流量整形时正常的网络速度。
② 这是启用了流量整形后的测试速度,很明显下载速度受到了限制。
③ 选择菜单【FortiView】-【源】,可以看到内网中IP地址的带宽情况。
④ 选择菜单【FortiView】-【流量整形】,可以看到经过流量整形策略的带宽和流量情况。
飞塔技术-老梅子 QQ:57389522
什么是带宽
在单位时间内从网络中的某一点到另一点所能通过的“最高数据率”。对于带宽的概念,比较形象的一个比喻是高速公路。单位时间内能够在线路上传送的数据量,常用的单位是bps(bit per second)。计算机网络的带宽是指网络可通过的最高数据率,即每秒多少比特。
① 网络带宽可分为上行速率(上传的带宽)和上行速率(下载的带宽)。上行速率是指用户电脑向网络发送信息时的数据传输速率,比如用FTP上传文件到网上去,影响上传速度的就是“上行速率”;下行速率是指网络向用户电脑发送信息时的传输速率,从网上下载文件,影响下载速度的就是“下行速率”。
流量整形器
流量整形(Traffic Shaping)是一种主动调整流量输出速率的措施。
① 默认的情况下,流量整形功能是启用的,如果在菜单中没有找到流量整形,那么也选择菜单【系统管理】-【功能选择】,在额外功能分类里找到并打开【流量整形】选项。
② 选择菜单【策略&对象】-【流量整形器】,可以看到系统有五条默认的流量整形。我们可以修改默认的流量整形后再使用,也可以建立新的流量整形,这里点击【新建】。
③ 流量整形类型:分为共享、每IP和每策略,每IP好理解,就是每个IP限制多少流量,每策略则是每个使用该整形器的策略独立进行流控。比如有10条策略引用了15M的流控脚本,那么每条策略均可以使用15M的带宽。共享则是所有使用该脚本的策略共同进行流控。比如有10条策略引用了15M的流控脚本,那么所有策略内的用户共同使用这15M的带宽,即这10条策略流量加起来不会超过15M。默认情况下每策略隐藏起来了,不能被选择。
流量优先级:对于防火墙转发的在策略中使用traffic shaper功能的流量,其优先级可以分为高、中、低三个级别,级别高的流量会优先被防火墙转发。分别对应于转发队列的到、Medium、从。可以根据业务类型进行分类,将VOIP等业务设置为高优先级,http, pop3,sntp,OA系统等配置为中优先级,其他的业务放入低优先级。如果策略中未指定任何级别的优先级,则默认被放入高优先级。
[b] 最大带宽:[/b]该策略所能达到的最大带宽,单位 kbps 。当流量超过该闸值的时候,超过流量的数据包会被丢弃。配置为0 ,则意味着最大带宽不受限制。
带宽保证:该该策略能够得到的保证带宽。当流量低于该值的时候,数据包会被放入到队列0 中,也就是获得最优先的转发,保证该业务占用的最少带宽数量。不建议对非关键业务配置该参数。当策略占用带宽介于最大带宽和保证带宽之间的时候,则按照策略内定义的优先级进行转发。
④ 为了启用每策略,我们可以在新建好的整形器上点击鼠标右键,弹出子菜单中选择【在CLI中编辑】;
⑤ 在命令窗口中输入命令 set per-policy enable,启用每策略。
⑥ 再次查看流量整形器,可以看到已经多出一个每策略选项。
⑦ 为了能查看到流量整形器带来的变化,我们可以修改上网策略,记录全部的流量日志。
流量整形策略
FortiOS 5.4的流量整形策略与FortiOS 5.2有很大的不同。FortiOS 5.2在上网策略里加入流量整形器,而FortiOS 5.4需要建立独立的流量整形策略,和上网策略分开。
① 选择菜单【策略&对象】-【流量整形策略】,点击【新建】。
② 这条流量整形策略的作用是所有在172.20.3.20~172.20.3.240之间IP地址的电脑,访问宽带Wan1,共用最高上行和下行为5M的带宽。
【提示】 FortiOS 5.4 流量整形策略只有一个流出接口,也就是只对流出接口进行流量监控,不管源地址是来自哪个接口,只要指定了IP地址,流量整形就会起效果。
效果测试
我们通过网速测试软件,分别测试没有加流量整形和有加流量整形的网速,就可以看出来流量整形是不是起作用了。
① 这是没有启用流量整形时正常的网络速度。
② 这是启用了流量整形后的测试速度,很明显下载速度受到了限制。
③ 选择菜单【FortiView】-【源】,可以看到内网中IP地址的带宽情况。
④ 选择菜单【FortiView】-【流量整形】,可以看到经过流量整形策略的带宽和流量情况。
飞塔技术-老梅子 QQ:57389522
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 限制篇(5.4) 05. 应用控制 - 限制 QQ 的功能 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.2) 05. 流量控制 - 每个 IP 限速 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.2) 03. 流量控制 - 基于模板限速 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.2) 04. 流量控制 - 共享带宽限速 ❀ 飞塔 (Fortinet) 防火墙
- 防护篇(5.4) 03. 防范 DDoS 攻击 ❀ 飞塔 (Fortinet) 防火墙
- 教程篇(5.4) NSE4 03. 防火墙策略 ❀ 飞塔 (Fortinet) 网络安全专家
- 限制篇(5.4) 04. 应用控制 - 功能介绍 ❀ 飞塔 (Fortinet) 防火墙
- 考题篇(5.4) NSE4 03. 防火墙策略 ❀ 飞塔 (Fortinet) 网络安全专家
- 限制篇(5.2) 06. 流量控制 - 保留带宽 ❀ 飞塔 (Fortinet) 防火墙
- 接口篇(5.4) 03. 交换机连接(单臂路由) ❀ 飞塔 (Fortinet) 防火墙
- 宽带篇(5.4) 03. 防火墙策略 ❀ 飞塔 (Fortinet) 防火墙
- 宽带篇(5.4) 01. 宽带上网设置 ❀ 飞塔 (Fortinet) 防火墙
- CentOS-TC(流量控制)-单IP上传(下载)限制
- 限制篇(5.4) 01. 禁止指定的 IP 上网 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.4) 02. 禁止修改 IP 上网 ❀ 飞塔 (Fortinet) 防火墙
- 接口篇(5.4) 02. 交换机连接(回程路由) ❀ 飞塔 (Fortinet) 防火墙