一、實驗拓撲

?配置流程：
1、帶寬通道：整體帶寬、每個用戶帶寬、連接數、優先級信息
2、帶寬策略
3、策略+通道，引用
4、配置接口出入帶寬

二、實驗需求和配置?

1、基礎配置?

接口配置?

[dianxin]interface GigabitEthernet 0/0/0
[dianxin-GigabitEthernet0/0/0]ip add 12.0.0.2 24

[liantong]interface GigabitEthernet 0/0/0
[liantong-GigabitEthernet0/0/0]ip add 13.0.0.2 24

[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip add 12.0.0.1 24
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip add 13.0.0.1 24
[FW]int g 1/0/2.10
[FW-GigabitEthernet1/0/2.10]ip add 192.168.1.254 24
[FW]interface GigabitEthernet 1/0/2.20
[FW-GigabitEthernet1/0/2.20]int g 1/0/2.30
[FW-GigabitEthernet1/0/2.30]ip add 192.168.3.254 24
[FW-GigabitEthernet1/0/2.30]int g 1/0/2.40
[FW-GigabitEthernet1/0/2.40]ip add 192.168.4.254 24
[FW]interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3]ip add 10.1.1.254 24

配置VLAN并劃分接口?

[SW1]vlan batch 10 20 30 40
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk?
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[SW1]int g 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access?
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1]int g 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access?
[SW1-GigabitEthernet0/0/3]port default vlan 20
[SW1]int g 0/0/4
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-GigabitEthernet0/0/4]port default vlan 30
[SW1]int g 0/0/5
[SW1-GigabitEthernet0/0/5]port link-type access?
[SW1-GigabitEthernet0/0/5]port default vlan 40

劃分安全區域?

?firewall zone untrust
?set priority 5
?add interface GigabitEthernet1/0/0
?add interface GigabitEthernet1/0/1

firewall zone trust
?set priority 85
?add interface GigabitEthernet0/0/0
?add interface GigabitEthernet1/0/2.10
?add interface GigabitEthernet1/0/2.20
?add interface GigabitEthernet1/0/2.30
?add interface GigabitEthernet1/0/2.40

firewall zone dmz
?set priority 50
?add interface GigabitEthernet1/0/3

配置路由?

[FW]ip route-static 0.0.0.0 0 12.0.0.2
[FW]ip route-static 0.0.0.0 0 13.0.0.2?

配置NAT策略?

nat-policy
?rule name 01
? source-zone trust
? action source-nat easy-ip?

2、帶寬管理配置?

需求一?

?企業組織架構中存在部門A，部門A中存在銷售組1和研發組2：
銷售部門---->Email、ERP業務
可以對部門A中的銷售組進行帶寬資源細分，保證銷售員工的業務流量正常轉發：
1、部門A中的下行最大帶寬不超過60M
2、部門A的銷售組下行最大帶寬不超過30M
3、部門A的銷售組的Email業務下行最小帶寬不低于20M

分析：需求之間存在父子關系
A部門帶寬通道---最大60M
?? ?部門A銷售組帶寬通道---最大30M
?? ??? ?部門A銷售組Email業務帶寬通道---最小20M

?帶寬策略配置一

?[FW]traffic-policy ?---- 進入帶寬策略配置視圖
[FW-policy-traffic]profile 01 ? ?----創建一個帶寬通道，名稱為01
[FW-policy-traffic-profile-01]bandwidth maximum-bandwidth whole downstream 60000 ? ----設定帶寬，最大帶寬，下行60M

[FW]traffic-policy
[FW-policy-traffic]display this ?
?rule name 01 ? ? ?----策略名稱
? description A
? source-zone trust
? destination-zone untrust
? source-address 192.168.1.0 mask 255.255.255.0
? source-address 192.168.2.0 mask 255.255.255.0
? action qos profile 01 ? ? ? ?----動作為限流，且調用帶寬通道

?

[FW]traffic-policy?? ?
[FW-policy-traffic]profile 02
[FW-policy-traffic-profile-02]bandwidth maximum-bandwidth whole downstream 30000

[FW]traffic-policy
[FW-policy-traffic]display this?
?rule name 02 parent 01
? description A_xiaoshou
? source-zone trust
? destination-zone untrust
? source-address 192.168.1.0 mask 255.255.255.0
? action qos profile 02

?

?[FW]traffic-policy
[FW-policy-traffic]display this?
?profile 03
? bandwidth guaranteed-bandwidth whole downstream 20000
?rule name 03 parent 02
? description A_xiaoshou_email
? source-zone trust
? destination-zone untrust
? source-address 192.168.1.0 mask 255.255.255.0
? action qos profile 03

?

安全策略?

[FW]security-policy?
[FW-policy-security]dis th
security-policy
?rule name 01
? description 帶寬策略（01）引入
? source-zone trust
? destination-zone untrust
? source-address 192.168.1.0 mask 255.255.255.0
? source-address 192.168.2.0 mask 255.255.255.0
? action permit?

需求二?

給部門A和部門B劃分可使用的帶寬資源。要避免P2P業務占據較多的帶寬，還需要限制部門A和部門B使用P2P業務的帶寬總和。
1、部門A下行最大帶寬60M
2、部門B下行最大帶寬40M
3、部門A和部門B的P2P業務下行最大帶寬不超過80M
4、P2P流量需要計算到各自部門的總流量中?

帶寬策略配置二?

P2P帶寬通道：?

?traffic-policy
? ? ?profile 05_P2P
? ? ? bandwidth reference-mode rule-shared
? ? ? bandwidth maximum-bandwidth whole downstream 80000?

?

[FW]traffic-policy
[FW-policy-traffic]dis th
?rule name 05 parent 01
? description A_P2P業務
? source-zone trust
? destination-zone untrust
? source-address 192.168.1.0 mask 255.255.255.0
? source-address 192.168.2.0 mask 255.255.255.0
? application app Oracle_MySQL
? action qos profile 05_P2P
?rule name 04
? description B
? source-zone trust
? destination-zone untrust
? source-address 192.168.3.0 mask 255.255.255.0
? source-address 192.168.4.0 mask 255.255.255.0
? action qos profile 04
?rule name 06 parent 04
? description B_P2P業務
? source-zone trust
? destination-zone untrust
? source-address 192.168.3.0 mask 255.255.255.0
? source-address 192.168.4.0 mask 255.255.255.0
? application app Oracle_MySQL
? action qos profile 05_P2P?

?

?

需求三?

在不影響正常用戶上網和web服務器正常提供對外服務的情況下，實現以下功能：
1、將從ISP購買的100M帶寬進行劃分
? ? 上網高峰期(工作日下午3點-6點)，上網用戶下行帶寬60M(U-T)，外用用戶下行帶寬40M(D-U)
2、2臺web服務器，限制每一臺web服務器對外提供的最大下行帶寬不超過20M
3、假設，總共30個上網用戶，在上網高峰期，限制每個用戶訪問Internet的最大下行帶寬不超過2M?

新建時間段：?

?

帶寬策略配置三

?profile 06
? bandwidth maximum-bandwidth whole downstream 60000
? bandwidth maximum-bandwidth per-ip downstream 2000
?rule name 07
? description 企業上網用戶策略
? source-zone trust
? destination-zone untrust
? source-address 192.168.0.0 mask 255.255.0.0
? time-range time_01
? action qos profile 06?

?profile 07
? bandwidth maximum-bandwidth whole downstream 40000
? bandwidth maximum-bandwidth per-ip downstream 20000
?rule name 08
? description 外網用戶訪問服務器
? source-zone untrust
? destination-zone dmz
? destination-address 10.1.1.0 mask 255.255.255.0
? action qos profile 07?

?需求四

部門A的上網用戶數量不固定，為了讓用戶公平的使用帶寬，根據實際在線上網用戶數量，平均分配帶寬：
1、部門A的下行最大帶寬60M
2、根據實時的上網用戶數量，對部門A的60M帶寬資源進行均分

動態均分功能：在配置了整體最大帶寬的前提下，FW根據在線IP/用戶的個數和帶寬使用率，動態的對每一個IP/用戶能夠使用的最大帶寬進行平均分配。?

?計算方式：每個IP/用戶最大帶寬=MAX(帶寬最小值，整體最大帶寬/IP用戶數*平均分配系數)。?

帶寬通道：?

?profile 08
? bandwidth maximum-bandwidth whole downstream 60000
? bandwidth average per-ip manual multiplier 1 minimum 1000?

?

平均分配系數----與帶寬使用率存在反比關系
0?? ??? ??? ??? ?<70%
1?? ??? ??? ??? ?70-75%
2?? ??? ??? ??? ?75-80%
3
4

帶寬策略配置四?

?rule name 09
? description A_用戶帶寬分配
? source-zone trust
? destination-zone untrust
? source-address 192.168.1.0 mask 255.255.255.0
? source-address 192.168.2.0 mask 255.255.255.0
? action qos profile 08?

?需求五

?設定出入接口帶寬：

電信購買帶寬100M
聯通購買帶寬50M?

?

需求六–配額策略?

? ? 運營商--->流量套餐--->對中小企業500G/月，超出部分，額外計費
? ? 限額--->每一個員工規定上網時長
1、員工40人，10名管理人員+30名牛馬
? ? 高管-->20G/月
? ? 牛馬-->10G/月
2、牛馬--->4h/日，流量500M/日
3、超額后限制
? ? 牛馬--->禁止上網
? ? 高管--->超過配額后最大帶寬限定為800K?

?

[FW]quota-policy ? ? ? ----進入配額策略視圖
[FW-policy-quota]profile niuma ? ? ? ? ?-----創建配額通道
[FW-policy-quota-profile-niuma]stream-daily 500 ? ? -----每日流量限額
[FW-policy-quota-profile-niuma]stream-monthly 10240 ? ? ? ?----每月流量配額
[FW-policy-quota-profile-niuma]time-daily 240 ? ? ?------設定上網時長
[FW-policy-quota-profile-niuma]limit-bandwidth 0 ? ? -----超出配額后的限制帶寬為0

[FW-policy-quota]rule name niuma
[FW-policy-quota-rule-niuma]user user-group /default/niuma ? -----策略應用用戶
[FW-policy-quota-rule-niuma]action quota profile niuma

?

?

quota-policy
?profile gaoguan
? stream-monthly 20480
? limit-bandwidth 800
?rule name gaoguan
? description 高管
? user user-group /default/gaoguan
? action quota profile gaoguan?

?

需求七—流量整形和流量監管?

無法在web界面實現。?

流量監管：對進入接口的，超出限制速率的報文進行丟棄。
流量整形：對接口發送的，超出限制速率的報文先進行緩存，等待流量不超出速率時發送。?