限制篇(5.2) 03. 流量控制 - 基于模板限速 ❀ 飞塔 (Fortinet) 防火墙
2017-01-06 11:03
295 查看
【简介】在实际工作经常会遇到这种情况,公司的互联网带宽有限,但上网的人很多,还有人不自觉的下载大文件、看视频等等,造成网络很卡、很慢,一开视频会议就掉线或卡带,BOSS很生气。增加互联网带宽领导不批,开源不行,那就只有节流了,解决办法就是在防火墙上限制网速。
怎么看宽带速度
我们常用的宽带一般分为固定宽带和拨号宽带,网速分为下载速度和上传速度。一般安装宽带交费的时候,会告诉你宽带是20M或是100M,但是我们在下载文件的时候,往往只有几M,这是为什么呢?
这里显示的是深圳电信100M ADSL拨号宽带连接飞塔防火墙没有做任何限制下的测速情况。我们看到有两个计算单位,一个是Mbps,一个是KB/S。
传输速率 Mbps(兆位/秒),是指设备的的数据交换能力,也常称为 “带宽”,象电脑的网卡、交换机等,都有100M、1000M的说法,带宽是下载速度加上传速度的总和。
相同宽带的环境下,无线网卡经无线路由器测试的宽带速度,很明显示低于直接通过网卡测试的宽带速度,这就是因为无线网卡及无线环境拖累了速度。
经常用电脑下载的人,其实更习惯另一个计算单位,那就是MB/S,我们理解为每秒多少M,很多人把宽带的100M理解为每秒下载速度是100M,这是错误的。
我们来科普一下 Mbps 与 MB/S 或 KB/S 的区别。
1Mbps代表每秒传输1,048,576位,即每秒传输的数据量为: 1,048,576/8=128K字节/秒=131072字节/秒
其中:
bit代表位,存放一位二进制数,即 0 或 1,最小的存储单位
Byte代表字节,8个二进制位为一个字节,即1Byte=8bit,Byte为数据量常用单位
注意:
字母大小写的区别,小写b代表bit,大写B代表Byte,不能混用;Mbps缩写中严格限定M为大写,b、p、s为小写
常用单位还有Kbps 、Mbps 、Gbps(同样K、M、G严格限定为大写,参见KB)
Mbps与MB/s换算
Mbps(Mb/s)的含义是兆比特每秒,指每秒传输的位数量(小写b代表bit)
MB/s的含义是兆字节每秒,指每秒传输的字节数量(大写B代表Byte)
1Mbps=131072字节/秒=0.125M/S
IEC标准规定如下
1Byte=8bit
1 KB = 1,024 Bytes
1 MB = 1,024 KB= 1,048,576 Bytes
1 GB = 1,024 MB= 1,048,576 KB= 1,073,741,824 Bytes
1 TB = 1,024 GB= 1,048,576 MB= 1,073,741,824 KB= 1,099,511,627,776 Bytes
理论上,宽带的上传速度和下载速度应该是对等的,也就是下载速度有多快,上传速度也有多快,但现实往往不是这样,这里可以看到下载速度与上传速度差距很大。
这是因为ADSL拨号上网时代,由于电话线分成了电话、上行和下行三个相对独立的信道,为了避免了相互之间的干扰,其下行与上行带宽之比被设置为了8:1或10:1的比例。也就是说4M的宽带,理论上市拥有512KB/s的下载速度,但对应的上传速度大约仅有50KB/s。虽然上传和下载速度不对等,但这是业界公认的标准,也是正常的。
在如今的光纤时代,技术上已经解决了上行和下行网速不对等的问题。也就是说,从技术层面上讲,从ADSL拨号上网发展到光纤上网,已经解决上下行速率不对等的问题。但是仍有会发现光纤宽带的下载速度和上传速度也会有明显的不对等,这又是怎么回事呢?
目前,光纤宽带上传速度和下载速度出现不对等,主要是由于宽带运营商为了谋利,依旧沿用了ADSL时代的潜规则导致的。由于对数普通用户上网,上传东西比较少,一般都是下载速度、浏览网页,只要下载速度快,基本不会在意其它。但对于一些视频制作或者经常在网上分享资源的用户来说,上传速度过慢,会明显影响效率。
限制网速环境
我们先来建立一个测试限制网速的环境。
① 防火墙的1-5口是交换模式,共用IP地址172.16.1.1,我们把测试电脑接到3口。
② 测试电脑网卡的IP地址改为172.16.1.38,之所以要用静态IP地址,是因为我们要在策略中控制这台电脑。另外测试用的是网卡,而不是无线网卡,因为无线网卡会慢一些,测试数据不准确。
③ 新建一个IP地址对象,IP地址为测试电脑的IP。
④ 新建一条上网策略,允许指定IP的电脑可以上网。
⑤ 将新建的策略移到默认上网策略的上方,优先执行。这样测试环境就建好了。
网络限速
网络限速是通过策略实现的。打开刚才建立的策略。
① 打开策略里的“共享流量控制”,点击右边的下拉菜单,可以看到默认建立的流量控制选项。
② 选择 “高优先级”,点击最右边的查看图标。
③ “高优先级” 流量整形器内容如上:
Per policy:每个使用该整形器的策略独立进行流控。比如有10条策略引用了15M的流控脚本,那么每条策略均可以使用15M的带宽。
所有策略使用这个整形器:所有使用该脚本的策略共同进行流控。比如有10条策略引用了15M的流控脚本,那么所有策略内的用户共同使用这15M的带宽,即这10条策略流量加起来不会超过15M。
流量优先级:对于防火墙转发的在策略中使用traffic shaper功能的流量,其优先级可以分为高、中、低三个级别,级别高的流量会优先被防火墙转发。分别对应于转发队列的到、Medium、从。可以根据业务类型进行分类,将VOIP等业务设置为高优先级,http, pop3,sntp,OA系统等配置为中优先级,其他的业务放入低优先级。如果策略中未指定任何级别的优先级,则默认被放入高优先级。
最大带宽:该策略所能达到的最大带宽,单位 kbps 。当流量超过该闸值的时候,超过流量的数据包会被丢弃。配置为0 ,则意味着最大带宽不受限制。
带宽保证:该该策略能够得到的保证带宽。当流量低于该值的时候,数据包会被放入到队列0 中,也就是获得最优先的转发,保证该业务占用的最少带宽数量。不建议对非关键业务配置该参数。当策略占用带宽介于最大带宽和保证带宽之间的时候,则按照策略内定义的优先级进行转发。
DSCP:是否使用DSCP差分服务代码点,其用于整个网络中配置端点到端点的QOS服务。。
④ 默认的流量整型器 “high-priority”、“medium-priority"、”low-priority" 除了流量优先级外配置完全相同,流量优先级对应 “到”、“Medium”、“从”。
⑤ 默认的流量整型器 “guarantee-100kbps” 与“high-priority" 相比除了多一个带宽保证参数外其它配置完全相同,适合Voip等视频流量限速。
⑥ 默认的流量整型器 “shared-1M-pipe" ,所有策略使用这个整形器,最大宽带1M。
自建流量整形器
虽然可以通过选择默认流量整形器,再修改参数来达到设置目的,但也可以新建流量整形器。
① 选择菜单【策略&对象】-【对象】-【流量整形】,点击 ”Create New"。
② 这里新建一个每个IP允许5M带宽的流量整形。
③ 可以看到默认的六条流量整形和新建的一条流量整形。
④ 在策略里引用新建的每个IP流量整形。
⑤ 再次测网速,这台电脑的下载速度控制在5Mbps 左右了。
飞塔技术-老梅子 QQ:57389522
怎么看宽带速度
我们常用的宽带一般分为固定宽带和拨号宽带,网速分为下载速度和上传速度。一般安装宽带交费的时候,会告诉你宽带是20M或是100M,但是我们在下载文件的时候,往往只有几M,这是为什么呢?
这里显示的是深圳电信100M ADSL拨号宽带连接飞塔防火墙没有做任何限制下的测速情况。我们看到有两个计算单位,一个是Mbps,一个是KB/S。
传输速率 Mbps(兆位/秒),是指设备的的数据交换能力,也常称为 “带宽”,象电脑的网卡、交换机等,都有100M、1000M的说法,带宽是下载速度加上传速度的总和。
相同宽带的环境下,无线网卡经无线路由器测试的宽带速度,很明显示低于直接通过网卡测试的宽带速度,这就是因为无线网卡及无线环境拖累了速度。
经常用电脑下载的人,其实更习惯另一个计算单位,那就是MB/S,我们理解为每秒多少M,很多人把宽带的100M理解为每秒下载速度是100M,这是错误的。
我们来科普一下 Mbps 与 MB/S 或 KB/S 的区别。
1Mbps代表每秒传输1,048,576位,即每秒传输的数据量为: 1,048,576/8=128K字节/秒=131072字节/秒
其中:
bit代表位,存放一位二进制数,即 0 或 1,最小的存储单位
Byte代表字节,8个二进制位为一个字节,即1Byte=8bit,Byte为数据量常用单位
注意:
字母大小写的区别,小写b代表bit,大写B代表Byte,不能混用;Mbps缩写中严格限定M为大写,b、p、s为小写
常用单位还有Kbps 、Mbps 、Gbps(同样K、M、G严格限定为大写,参见KB)
Mbps与MB/s换算
Mbps(Mb/s)的含义是兆比特每秒,指每秒传输的位数量(小写b代表bit)
MB/s的含义是兆字节每秒,指每秒传输的字节数量(大写B代表Byte)
1Mbps=131072字节/秒=0.125M/S
IEC标准规定如下
1Byte=8bit
1 KB = 1,024 Bytes
1 MB = 1,024 KB= 1,048,576 Bytes
1 GB = 1,024 MB= 1,048,576 KB= 1,073,741,824 Bytes
1 TB = 1,024 GB= 1,048,576 MB= 1,073,741,824 KB= 1,099,511,627,776 Bytes
理论上,宽带的上传速度和下载速度应该是对等的,也就是下载速度有多快,上传速度也有多快,但现实往往不是这样,这里可以看到下载速度与上传速度差距很大。
这是因为ADSL拨号上网时代,由于电话线分成了电话、上行和下行三个相对独立的信道,为了避免了相互之间的干扰,其下行与上行带宽之比被设置为了8:1或10:1的比例。也就是说4M的宽带,理论上市拥有512KB/s的下载速度,但对应的上传速度大约仅有50KB/s。虽然上传和下载速度不对等,但这是业界公认的标准,也是正常的。
在如今的光纤时代,技术上已经解决了上行和下行网速不对等的问题。也就是说,从技术层面上讲,从ADSL拨号上网发展到光纤上网,已经解决上下行速率不对等的问题。但是仍有会发现光纤宽带的下载速度和上传速度也会有明显的不对等,这又是怎么回事呢?
目前,光纤宽带上传速度和下载速度出现不对等,主要是由于宽带运营商为了谋利,依旧沿用了ADSL时代的潜规则导致的。由于对数普通用户上网,上传东西比较少,一般都是下载速度、浏览网页,只要下载速度快,基本不会在意其它。但对于一些视频制作或者经常在网上分享资源的用户来说,上传速度过慢,会明显影响效率。
限制网速环境
我们先来建立一个测试限制网速的环境。
① 防火墙的1-5口是交换模式,共用IP地址172.16.1.1,我们把测试电脑接到3口。
② 测试电脑网卡的IP地址改为172.16.1.38,之所以要用静态IP地址,是因为我们要在策略中控制这台电脑。另外测试用的是网卡,而不是无线网卡,因为无线网卡会慢一些,测试数据不准确。
③ 新建一个IP地址对象,IP地址为测试电脑的IP。
④ 新建一条上网策略,允许指定IP的电脑可以上网。
⑤ 将新建的策略移到默认上网策略的上方,优先执行。这样测试环境就建好了。
网络限速
网络限速是通过策略实现的。打开刚才建立的策略。
① 打开策略里的“共享流量控制”,点击右边的下拉菜单,可以看到默认建立的流量控制选项。
② 选择 “高优先级”,点击最右边的查看图标。
③ “高优先级” 流量整形器内容如上:
Per policy:每个使用该整形器的策略独立进行流控。比如有10条策略引用了15M的流控脚本,那么每条策略均可以使用15M的带宽。
所有策略使用这个整形器:所有使用该脚本的策略共同进行流控。比如有10条策略引用了15M的流控脚本,那么所有策略内的用户共同使用这15M的带宽,即这10条策略流量加起来不会超过15M。
流量优先级:对于防火墙转发的在策略中使用traffic shaper功能的流量,其优先级可以分为高、中、低三个级别,级别高的流量会优先被防火墙转发。分别对应于转发队列的到、Medium、从。可以根据业务类型进行分类,将VOIP等业务设置为高优先级,http, pop3,sntp,OA系统等配置为中优先级,其他的业务放入低优先级。如果策略中未指定任何级别的优先级,则默认被放入高优先级。
最大带宽:该策略所能达到的最大带宽,单位 kbps 。当流量超过该闸值的时候,超过流量的数据包会被丢弃。配置为0 ,则意味着最大带宽不受限制。
带宽保证:该该策略能够得到的保证带宽。当流量低于该值的时候,数据包会被放入到队列0 中,也就是获得最优先的转发,保证该业务占用的最少带宽数量。不建议对非关键业务配置该参数。当策略占用带宽介于最大带宽和保证带宽之间的时候,则按照策略内定义的优先级进行转发。
DSCP:是否使用DSCP差分服务代码点,其用于整个网络中配置端点到端点的QOS服务。。
④ 默认的流量整型器 “high-priority”、“medium-priority"、”low-priority" 除了流量优先级外配置完全相同,流量优先级对应 “到”、“Medium”、“从”。
⑤ 默认的流量整型器 “guarantee-100kbps” 与“high-priority" 相比除了多一个带宽保证参数外其它配置完全相同,适合Voip等视频流量限速。
⑥ 默认的流量整型器 “shared-1M-pipe" ,所有策略使用这个整形器,最大宽带1M。
自建流量整形器
虽然可以通过选择默认流量整形器,再修改参数来达到设置目的,但也可以新建流量整形器。
① 选择菜单【策略&对象】-【对象】-【流量整形】,点击 ”Create New"。
② 这里新建一个每个IP允许5M带宽的流量整形。
③ 可以看到默认的六条流量整形和新建的一条流量整形。
④ 在策略里引用新建的每个IP流量整形。
⑤ 再次测网速,这台电脑的下载速度控制在5Mbps 左右了。
飞塔技术-老梅子 QQ:57389522
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 限制篇(5.2) 04. 流量控制 - 共享带宽限速 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.2) 05. 流量控制 - 每个 IP 限速 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.2) 06. 流量控制 - 保留带宽 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.2) 02. MAC 地址绑定 - 基于 DHCP ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.4) 03. 控制下载和上传流量 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.2) 01. MAC 地址绑定 - 命令模式 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.4) 04. 应用控制 - 功能介绍 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.4) 05. 应用控制 - 限制 QQ 的功能 ❀ 飞塔 (Fortinet) 防火墙
- 宽带篇(5.2) 03. 多条宽带分流 ❀ 飞塔 (Fortinet) 防火墙
- 连接篇(5.2) 03. 配置线连接 ❀ 飞塔 (Fortinet) 防火墙
- 诊断篇(5.2) 03. 外网接口性能测试 ❀ 飞塔 (Fortinet) 防火墙
- 接口篇(5.2) 03. 接口的合并 ❀ 飞塔 (Fortinet) 防火墙
- 诊断篇(5.2) 04. Ping 包测试 ❀ 飞塔 (Fortinet) 防火墙
- 接口篇(5.2) 01. 修改接口IP地址 ❀ 飞塔 (Fortinet) 防火墙
- 连接篇(5.2) 04. 远程连接 ❀ 飞塔 (Fortinet) 防火墙
- 诊断篇(5.2) 05. 将日志保存到服务器 ❀ 飞塔 (Fortinet) 防火墙
- 接口篇(5.2) 04. 调整 DHCP 租约时间 ❀ 飞塔 (Fortinet) 防火墙