教程篇(6.4) 04. 流量整形 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7
Posted meigang2012
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教程篇(6.4) 04. 流量整形 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7相关的知识,希望对你有一定的参考价值。
在这节课中,你将学习流量整形。
完成此部分后,你应该能够实现此幻灯片上显示的目标。
通过展示流量整形方面的能力,你应该能够有效地将特定的流量优先于FortiGate上的其他流量。
流量整形尝试将流量高峰和突发规格化,以便将某些流优先于其他流。
FortiGate通过应用带宽限制和优先级来提供QoS。通过使用流量整形,你可以调整FortiGate如何为不同的流量类型分配资源,以提高对延迟敏感或带宽密集型网络应用程序的性能和稳定性。
由于带宽是有限的,而且某些类型的流量是缓慢的、抖动或丢包敏感、带宽密集、或操作至关重要。QoS是优化网络上各种应用程序性能的有用工具。
发现网络上每种流量类型的需求和相对重要性将帮助你设计适当的总体方法,包括如何配置每种可用的QoS组件技术。
流量监管就是丢弃不符合带宽限制的数据包。
流量整形包括执行带宽限制的流量监管和调整优先级队列以帮助数据包实现隔离速率的流量监管。
排队确保数据包按照为该物理接口分配的优先级队列的顺序传输。
完成此部分后,你应该能够实现此幻灯片上显示的目标。
通过展示流量整形配置的能力,你应该能够配置不同类型的整形器,并在流量整形策略上启用它们。
在为你的网络配置流量整形时,有三种不同的方法可以控制网络流量,以确保所需的流量通过,同时也限制不太重要或占用带宽的流量的带宽。
有三种方法:
● 通过策略整形,可以定义安全策略的最大带宽和保证带宽集。
● 每IP整形使你能够在更细粒度的级别上定义流量控制。
● 基于接口整形则更进一步,启用基于接口带宽百分比的流量控制。
可以在流量整形策略中使用一些预配置的整形器来控制流量。
你还可以监控显示当前带宽利用率和丢失字节的整形器的实时统计信息。
你可以使用最大带宽选项来设置使用启用此成形器的策略所允许的最大流量。如果流量超过这个限制,那么FortiGate将开始丢弃数据包。
你可以使用保证带宽选项,以确保通过策略的流量有一致的预留带宽可用。流量应显著小于接口的带宽容量。否则,它将给通过该整形器策略的其他流量带来不必要的延迟。
在“流量优先级”下拉列表中,可以选择“高”、“中”或“低”。
禁用per-policy选项时(默认禁用)。FortiGate将整形规则应用于使用此整形器的所有策略。如果启用了per-policy选项,那么FortiGate将整形规则分别应用于每个策略。
在本幻灯片所示的示例中,分配了最大带宽30Mbps,并保证了10Mbps带宽。因此,通过该策略的流量将保证在任何时间点10Mbps的带宽。
每IP流量整形允许你限制策略的每个IP地址的行为,以防止一个用户使用所有可用带宽;它在一个群体内被平等地分享。你还可以定义一个IP地址的最大并发会话数。
例如,如果你对整个网络应用5Mbps的每IP整形器,Fortios将为每个用户IP地址分配5Mbps的带宽。即使网络只包含一个用户,FortiOS为它们分配5Mbps。如果有10个用户,每个用户获得5Mbps的带宽,总计50Mbps的出站流量。在这张幻灯片显示的示例中,每个用户将被分配5Mbps的最大带宽和一次5个并发会话。
流量整形策略控制如何整形流量。
你需要使用不同的选项(源地址、目的地址等)定义标准,然后通过使用适当的整形器定义出接口来应用动作,或者将其分类为一个组,用于基于接口的整形。
你可以通过指定应用、应用分类或URL分类来控制流量。
在本幻灯片所示的示例中,首先配置了启用应用程序控制的安全策略,因此你有一个为YouTube保证100kbps带宽的流量整形策略。
在流量整形策略上启用共享整形器只会影响出方向的流量。
在幻灯片上显示的示例中,在流量整形策略上启用了共享整形和反向整形选项。FortiGate将在访问YouTube时限制上传和下载速度。
流量有一个与你配置的带宽限制大小相关联的桶。令牌以固定的配置速率添加到桶中(表示可用带宽),一直达到桶的容量,多余的令牌被丢弃。
每个令牌通常代表一个包或包中的一个字节数。因此,可能需要几个令牌来匹配一个数据包。当一个包要被处理时,就检查桶。如果桶中包含与报文匹配的令牌数,则将令牌从桶中移除,报文继续发送。如果可用令牌数量不足,将丢弃数据包。
保证带宽特性试图达到或超过速率,而不是限制它。FortiGate不像最大带宽那样丢弃不符合标准的数据包。相反,当流没有达到该速率时,FortiGate会增加包优先级队列以努力提高速率。
通过设计,在防火墙策略、应用列表或流量整形策略中配置的流量整形使用初始突发方式。这意味着在从无流量到有流量的过渡期间,在过渡的第一秒,速率可以高达配置速率的两倍。然后,在过渡的第一秒后,速率降至配位速率,并保持不变。
有时,你会看到特定整形器的当前带宽利用率超过了配置的最大带宽限制。
完成此部分后,你应该能够实现此幻灯片上显示的目标。
通过展示基于接口的流量整形的能力,你应该能够在接口级别上配置流量整形。
由于SD-WAN的存在,整形配置文件条目使整形更加灵活。因为SD-WAN可以将流量导向任何链路,而不同的链路可以有不同的带宽,所以为每种类型的流量定义接口带宽的百分比更有意义。
配置基于接口的整形有三个步骤:
1. 通过流量整形策略将流量划分到不同的组。
2. 配置流量整形配置文件;为保证的最大带宽分配一个基于百分比的值,并为每个组分配优先级。
3. 将整形配置文件分配给配置了出方向带宽的接口。
最多可以配置30个组或类ID,范围为2~31。
在本幻灯片显示的示例中,根据不同的源地址对流量进行了分类。组3是为Admin人员网络配置的,所有其他流量(非Admin人员)被划分为组2(默认类)。
你将在流量整形配置文件中使用这些已配置的组。
整形配置文件定义了不同整形组或流量类的优先级。
根据流量整形策略的配置,可以将流量划分为不同的组,用于配置流量整形配置文件。
为每个组分配一个保证带宽、最大带宽(以百分比表示)和优先级值,该优先级值将使用接口上配置的出方向带宽限制进行整形。
组3 (Admin_Staff)分配70%的接口带宽,缺省组2(Non_Admin_Staff)分配30%的接口带宽。
在本幻灯片所示的示例中,SD-WAN有两个成员:port1和port2。两个链接有不同的ISP管道;port1为100mbps, port2为80mbps。
来自Admin_Staff网络通过port1的流量将保证为100 Mbps的70%(接口上配置的超带宽),即70 Mbps;当通过port2时,它将保证70%的80Mbps,这将导致56Mbps。
来自Non_Admin_Staff网络的流量通过port1将保证达到30%的100mbps,也就是30Mbps;当通过port2时,它将保证30%的80Mbps,这将导致24Mbps。
例如接口带宽配置为100Mbps。
第2类和第3类将首先分配它们的保证带宽,每个20Mbps (100Mbps的20%)。然后,剩余的60Mbps可用带宽将分配给第2类,因为它的优先级更高。
如果你分配了多个具有相同优先级的类,那么将带宽分配给相同优先级的类的规则如下:
当相同的优先级类竞争可用带宽时,分配给每个类的带宽将与其隔离带宽百分比成正比。考虑一个稍微复杂一些的例子:所有类将首先分配它们的保证带宽,对于类2来说是20Mbps,对于类3来说是20Mbps。还有30Mbps的类4。剩余的30Mbps将分配给第2类和第4类。因为他们有更高的优先权。剩余的30Mbps的分配将与保证的带宽成比例。在这种情况下,第2类是12Mbps (30Mbps *20/50),第4类是18Mbps (30mbps*30/50)。
完成此部分后,你应该能够实现此幻灯片上显示的目标。
在这个示例中,SIP音频流量和数据流量通过一个100Mbps ISP链路的FortiGate。你希望优先考虑SIP流量,限制任何流媒体站点访问,并为所有其他流量分配中等优先级。
在本幻灯片所示的示例中,配置了三个整形器,并且每个整形器都在流量整形策略上启用。
VolP流量的保证带宽为20Mbps,最大允许带宽为50Mbps,优先级高。
第二整形器为视频流量分配,其最大带宽仅配置为5Mbps。策略2配置了该整形,并在URL类别列表中,流媒体和下载被选择为匹配条件。你需要一个带有web过滤器的IPv4策略来让这个设置工作。
第三个整形器为不符合前两个策略条件的剩余流量配置。在这个整形器中,最大带宽是100Mbps,优先级设置为中。
基于上一张幻灯片中讨论的配置,考虑以下场景:
SIP音频流量将始终保证为20Mbps,流媒体视频流量将最大达到5Mbps。任何超过5Mbps的视频流量都会被FortiGate屏蔽。所有其他流量将使用可用带宽。
如果SIP流量继续增加,FortiGate将继续将SIP优先级高于视频包,直到SIP流量达到定义的最大带宽值。当这种情况发生时,FortiGate将开始丢弃SIP包。
由于视频包没有带宽保证,且视频包的优先级较低,因此在与SIP流量和所有其他流量竞争时,这些视频包将首先被丢弃。
完成此部分后,你应该能够实现此幻灯片上显示的目标。
通过展示故障排除能力,你应该能够在运行调试流时识别不同的消息,并识别使用不同整形器的会话。
使用本幻灯片上显示的命令,你可以查看特定整形器正在积极使用的带宽、优先队列值,以及如果流量超过最大带宽时丢弃的数据包数量。
当配置成形器时,你配置的带宽值以Kbps为单位;但是在CLI调试中,你会看到以KBps为单位的输出。
当你使用每IP整形器时,你可以清楚地看到,对于每个IP,只允许5个并发会话,任何多余的数据包都被整形器丢弃。
在会话表中,你可以看到整形器信息和其他详细信息,如数据包丢弃计数器。
你可以在会话表中看到与特定会话相关联的每IP整形。
在共享和每IP的整形器配置中,当流量超过配置的最大带宽时,你将在运行调试流时看到“exceeded shaper limit, drop”消息。
在每IP整形器配置中,如果一个IP超过了配置的并发会话限制,你将看到“blocked by quota check, drop”消息。
使用本幻灯片中显示的命令,你可以根据优先级确定为特定的类ID分配的带宽。
这张幻灯片显示了你在本课中涉及的目标。
通过掌握本课中涉及的目标,你学习了如何配置流量整形,以限制或整形FortiGate上不同流量的带宽使用。
以上是关于教程篇(6.4) 04. 流量整形 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7的主要内容,如果未能解决你的问题,请参考以下文章
考题篇(6.4) 04 ❀ 企业防火墙 ❀ Fortinet 网络安全架构师 NSE7
教程篇(6.4) 02. 路由会话和性能SLA ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7
教程篇(6.4) 03. SD-WAN规则 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7