联想网御Power V系列配置案例集23(带宽管理配置案例-共享带宽、防火墙主机带宽配置案例).doc

23.1 共享带宽配置案例 23.1.1 网络需求A和办公区B的下载流量做限速：假设企业总带宽是600KB，限制办公区A下载最大带宽为500KB ，当网络繁忙时至少保证带宽为200KB；限制对办公区B下载最大带宽为500KB ，当网络繁忙时至少保证带宽为200KB。 23.1.2 网络拓扑 防火墙：内网地址192.168.83.207 ，外网地址211.211.211.211 内网网段为192.168.83.0/24 对办公区A地址段为：192.168.83.1-192.168.83.100 对办公区B地址段为：192.168.83.101-192.168.83.200 网关都是192.168.83.207 23.1.3 配置流程 1）配置防火墙网络环境； （2）编辑内网口eth1：开启带宽管理（防火墙带宽是针对出口流量做限速，针对“下载”限速，防火墙的出口是内网口eth1）； （3）配置防火墙带宽规则：定义所需的带宽； （4）配置防火墙流量控制策略：调用所需的带宽； （5）配置防火墙安全策略：放通所需的流量。 23.1.4 配置步骤1）配置防火墙接口地址，公网网关 进入【网络管理】-【网络接口】-【物理设备】，设置eth1和eth2为内外网口地址。 进入【路由管理】-【基本路由】-【默认路由】-新建，设置公网网关为211.211.211.254，内网网段直连防火墙内网口，内网PC网关和防火墙内网口IP一致，确保连通性没有问题。 （2）配置内网口eth1：开启带宽管理 进入【网络管理】-【网络接口】-【物理设备】，编辑eth1口，点击高级选项，勾选开启带宽管理，点击自动检测，最后提交。 （3）配置防火墙带宽规则：定义所需的带宽 进入【防火墙】-【带宽】-【非共享带宽】-新建父带宽 这里调用的是防火墙内网口eth1，因为带宽限速是针对流出网口的流量做限速的，而下载流量的流出网口就是防火墙的内网口。 进入【防火墙】-【带宽】-【非共享带宽】-新建A/B用户的共享带宽 这里要注意的是单位换算问题，防火墙的单位是b，通常下载使用的单位是B，所以需要将所需值乘以8，例如：最大带宽是500KB，那么此处填入的值应该是500X8=4000Kb。 进入【防火墙】-【带宽】-【带宽资源组】-新建A/B用户的带宽资源组 这一步是把之前定义好的带宽整合到一起，便于下一步的调用 （4）配置防火墙流量控制策略：调用所需的带宽 进入【防火墙】-【带宽】-【非共享带宽】-新建A/B用户的地址段 ? 先定义所需地址，便于下一步的调用。 进入【防火墙】-【策略】-【流量控制策略】-新建两条针对A/B用户的调用限速下载带宽 源地址是A/B地址段，目的地址是任意，勾选服务，放通的服务也是任意，调用的是对应之前定义所需的带宽：源地址是办公区A的带宽资源是“办公区A”，源地址是办公区B的带宽资源是“办公区B”，其他配置选项默认即可。 （5）配置防火墙安全策略：放通所需的流量 进入【防火墙】-【策略】-【安全策略】-放通内网上网的流量 源地址是A/B地址段，目的地址是任意，动作是允许，其他配置选项默认即可。 ???? 如上注意所有细节，正常情况下，内网A/B用户下载东西最大带宽只有500KB，当两个办公区用户都是大流量状态时，在保证每个办公区至少200KB的流量的基础上，两个办公区抢占使用剩余的流量（但不会超过最大带宽）。 注意事项： 1、针对防火墙，下载的流出网口是内网口，反之，上传的流出网口是外网口，若要限速上传，需要开启eth2的带宽管理，针对eth2定义所需的带宽。 2、3.6.0.2防火墙带宽限速只支持路由模式，透明模式下带宽不生效。 23.2 防火墙主机带宽配置案例 23.2.1 网络需求200KB。 23.2.2 网络拓扑 防火墙：内网地址192.168.83.207 ，外网地址211.211.211.211 内网网段为192.168.83.0/24 23.2.3 配置流程 1）配置防火墙网络环境； （2）配置防火墙流量控制策略：配置主机带宽； （3）配置防火墙安全策略：放通所需的流量。 23.2.4 配置步骤1）配置防火墙接口地址，公网网关 进入【网络管理】-【网络接口】-【物理设备】，设置eth1和eth2为内外网口地址。 进入【路由管理】-【基本路由】-【默认路由】-新建，设置公网网关为211.211.211.254，内网网段直连防火墙内网口，内网PC网关和防火墙内网口IP一致，确保连通性没有问题。 （2）配置防火墙流量控制策略：配置主机带宽 进入【防火墙】-【地址】-【地址】-新建内网网段 先定义内网网段，便于下一步的调用。 进入【防火墙】-【策略】-【流量控制策略】-新建主机带宽 ??? 这一步就是实现对内网网段每个主机的下载流量做限速：源地址是