转自杜松之家;http://www.juniperbbs.net/index.php
企业把越来越多的核心业务转移到信息系统中时,网络带宽逐渐成为企业最宝贵的资源。如何合理并充分利用有限的带宽资源(尤其是专线和Internet接入带宽),给网络管理人员带来了一项新的挑战。
Netscreen防火墙流量整形机制通过ASIC硬件实现高效的流量管理功能,可以在接口或通过策略提供灵活的流量控制能力。可为不同类型的网络应用提供最小保证带宽和最大可用带宽,并依据业务的重要性定义相应的优先处理级别,在拥塞发生时保证关键业务流量优先转发,同时不会对其余业务流量带来明显负面影响。本文对Netscreen防火墙流量整形机制和配置方法进行较系统的介绍。
单一令牌桶流量整形
在网络发生拥塞情况下,令牌桶机制能够保证业务获得基本的可用带宽,避免业务流量因网络拥塞而中断,令牌桶工作原理如下图所示:
启用流量整形功能后,按照应用分类获得各自的令牌桶,并按照特定的速率往令牌桶中存放令牌,即:每类应用将获得指定的最小保证带宽。当桶中的令牌数量满足数据包传输要求时,数据包通过消耗相应数量令牌而得以转发,数据包完成转发后相应数量的令牌将被清除出令牌桶。当令牌桶中令牌数量不满足数据包对带宽要求时,数据包在缓存队列中处于等待状态,直到有足够的令牌供其消费。令牌桶机制有效地保证了业务所需的可靠带宽,同时容许一定的流量突发(如果令牌桶中还有剩余令牌的话),但是我们也看到令牌桶机制未能够充分利用网络带宽资源,如果持续的令牌流将令牌桶注满(如果没有数据包要转发或转发数据包数量少于单位时间内令牌注入的数量),溢出的令牌将被丢弃。
双令牌桶拥塞控制机制
为充分利用有限的带宽资源,避免溢出令牌的白白浪费,可以采用双令牌桶机制将溢出的令牌进行再利用,双令牌桶工作原理如下图所示:将流量分类,每类流量均有属于自己的令牌桶,同时提供一个公用令牌桶,分类流量令牌桶空闲时溢出的令牌将被放到公用令牌桶中,供突发流量使用。
当令牌的数量满足数据包传输需求时,数据包消耗对应数量令牌后得以转发。当桶中令牌数量小于包的大小时,消耗公用令牌桶中令牌进行数据包转发(公用令牌桶中需有满足数据包转发需要的令牌),如公用令牌桶中没有足够的可用令牌,数据包将在缓存队列中进行等待,直到有足够的令牌供其消费。双令牌桶机制在保证业务可用的基础上,提供了良好的流量突发处理机制,充分利用网络带宽资源。但是我们应看到,具有相同优先级设置的应用将以轮询方式竞争带宽,业务的优先级和吞吐量需求在这里并没有得到充分考虑。
screen流量整形配置
Netscreen通过两种方式启用流量整行功能,一种是在物理接口上做带宽管理,对所有进来或出去的流量定义最大可用带宽,采用单令牌桶控制机制。通过策略进行带宽管理可配置最小保证带宽、最大可用带宽及优先级。每个策略可得到其保证带宽并基于优先级共享剩余的带宽 (直至达到其最大可用带宽限制)。
1、物理接口带宽限制配置:(适用于zone中单一接口环境下)
CLI命令行方式:
set traffic-shaping mode on打开流量整形功能
set interface ethernet1 bandwidth ingress mbw 5000(单位KB)
set interface ethernet1 bandwidth egress mbw 2000
配置完成后使用,使用下面命令显示当前端口实际吞吐量。
get traffic-shaping interface eth1
WEB页面方式:
使用web页面配置接口带宽限制更为方便,先在WEB页面configuration-advanced traffic shaping中打开流量整形功能,然后在network-interface界面下直接配置带宽参数。
配置完成后用get traffic-shaping interface eth1命令查看限制结果。
2、基于策略的带宽限制配置:
set traffic-shaping mode auto动态开启流量整形功能,允许系统在策略需要时开启信息流整形,在策略不需要时将其关闭。
set policy name "Marketing" from trust to untrust marketing any
any permit traffic gbw 10000 priority 0 mbw 15000
设置Marketing部门的地址保证带宽10M(gbw)、最大带宽15M(mbw)、优先级为0(最高)。
注:具有相同优先级设置的策略将以轮询方式竞争带宽。
set policy from untrust to trust 1.1.1.1/32 2.2.2.0/24 ftp permit traffic gbw 1000 priority 0 mbw 2000
设置基于地址和应用的保证带宽、最大带宽和优先级。
set policy my_ftp from untrust to trust any any ftp permit traffic pbw 10000 在untrust入口设置到trust区的ftp最大带宽为1M(pbw管制带宽,等同于最大带宽mbw,两者不可同时使用)。
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
