防火墙流量管理

带宽管理介绍

针对企业用户流量，防火墙提供了带宽管理功能，基于出/入接口、源/目的安全区域、源/目的地址、时间段、报文DSCP优先级等信息，对通过自身的流量进行管理和控制。

带宽管理提供带宽限制、带宽保证和连接数限制功能，可以提高带宽利用率，避免带宽耗尽。

带宽管理处理流程

防火墙通过带宽策略、带宽通道和接口带宽来实现带宽管理功能。

带宽策略：带宽策略定义了被管理的对象和动作，并引用带宽通道。

带宽通道：带宽通道定义了被管理的对象所能够使用的带宽资源。

接口带宽：接口带宽定义了接口入方向和出方向的实际带宽，出方向上的流量发生拥塞时，启用队列调度机制。

带宽管理的整体处理流程如下：

流量匹配带宽策略，经过带宽策略的分流后，进入相应的带宽通道进行处理。带宽通道的处理包括：

丢弃超过了预先定义的最大带宽的流量。
限制业务的连接数。
标记流量的优先级，作为后续队列调度的依据。

受入接口带宽的限制，如果流量大于入接口带宽，将根据带宽通道中设置的转发优先级对流量进行队列调度，保证高优先级的报文被优先发送。

流量最终从出接口发送时，受出接口带宽的限制。如果流量大于出接口带宽，将根据转发优先级对流量进行队列调度，保证高优先级的报文被优先发送。

带宽策略

带宽策略规则

带宽策略决定了对网络中的哪些流量进行带宽管理，以及如何进行带宽管理。

带宽策略是多个带宽策略规则的集合，带宽策略规则由条件和动作组成：

条件：防火墙匹配报文的依据。

动作：防火墙对报文采取的处理方式，主要包括：

限流：对符合条件的流量进行管理。当动作为限流时，需在带宽策略中引用带宽通道，对流量的具体管理措施由该带宽通道决定。

不限流：对符合条件的流量不进行管理。

默认情况下，防火墙上存在一条缺省的带宽策略，所有匹配条件均为任意（any），动作为不限流。若所有规则都没有匹配到，则按照缺省的带宽策略进行处理。

带宽策略类型

防火墙可配置多条带宽策略，主要分为同级策略和多级策略两种类型。

同级策略：多条带宽策略之间相互独立。流量匹配多条同级策略是按照从上往下的顺序依次匹配，一旦匹配上一条策略的所有条件，会立即执行带宽通道的动作，不在继续匹配剩下的规则。

多级策略：又称为父子策略，即一条带宽策略下可以配置多条带宽子策略。流量匹配多级策略时，先匹配父策略，再匹配子策略，直到匹配到最后一级可以匹配到的子策略为止。华为防火墙最多支持四级父子策略。

防火墙进行带宽限制时，配置多级策略能达到更好的带宽复用效果。（目前V6R7C20版本防火墙支持四级)

上图是一个20M的应用流量匹配带宽策略时，过程如下：

首先匹配父策略，发现小于父策略的最大带宽60M，则继续匹配一级子策略；

匹配一级子策略时，发现小于子策略1的最大带宽40M，则继续匹配二级子策略；

匹配二级子策略时，发现小于子策略1-1最大带宽20M，则流量全部通过，若应用流量大于20M时，则将限速20M。

带宽通道

介绍：

流量匹配带宽策略后进入带宽通道，带宽通道定义了具体的带宽资源，是进行带宽管理的基础。

通过带宽通道，可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽资源。带宽通道通过以下方面来对带宽资源进行限制，包括整体的保证带宽和最大带宽、每IP/每用户的最大带宽、连接数限制和DSCP优先级重标记等。此外，带宽通道还可以实现带宽资源的闲时复用。

整体的保证带宽和最大带宽：进入带宽通道的流量可获得的最小带宽资源和最大带宽资源。

每IP/每用户的保证带宽和最大带宽：在带宽通道中针对IP或用户设置的最小带宽和最大带宽，实现粒度更加细化的带宽限制。

连接数限制：防火墙通过限制自身生成的会话数量，来实现连接数限制功能。

上下行带宽独立控制和整体控制：在上面提到的最大带宽、保证带宽和连接数限制均支持上下行分别配置。在带宽通道中，上下行代表的含义跟带宽策略本身有关。
		流量传输方向与带宽策略同向时，定义为上行；
		与带宽策略反向时，定义为下行。

DSCP优先级重标记：DSCP字段也称为DSCP优先级，是网络设备进行流量分类的依据。防火墙可以在带宽通道中对符合条件的报文修改其DSCP字段值，进而对不同DSCP优先级的流量采取差异化的处理。

带宽复用：多条流量进入同一个带宽通道后，带宽通道内的带宽资源可以实现动态分配。

流量转发优先级：防火墙支持为带宽通道配置流量转发优先级，不同的优先级对应着流量监管和流量整形两种不同的带宽限制方式。

带宽通道参数设置带宽设置可以包含以下重要参数：

整体的保证带宽和最大带宽；

连每IP/每用户的保证带宽和最大带宽；

上下行带宽独立控制和整体控制；连接数限制（并发连接总数限制和新建连接速率限制）。

整体的保证带宽是指进入带宽通道的流量可获得的最小带宽资源，整体的最大带宽是指进入带宽通道的流量可获得的最大带宽资源。流量进入带宽通道后，防火墙将当前流量与带宽通道中设置的保证带宽/最大带宽进行比较，采取不同的处理方式：

如果流量小于保证带宽，这部分流量在出接口发送环节能够确保被转发。

如果流量大于最大带宽，则直接丢弃超出最大带宽的流量。

超出保证带宽的流量，在出接口发送环节将会与其它带宽通道中同类型的流量自由竞争带宽资源。带宽通道的优先级越高，就会更优先获得剩余带宽资源。获得带宽资源后发送流量，否则丢弃流量。

每IP/每用户的保证带宽和最大带宽：除了设置整体的保证带宽和最大带宽之外，还可以在带宽通道中定义针对IP或用户的保证带宽和最大带宽，实现粒度更加细化的带宽限制。

当带宽通道被带宽策略引用后，防火墙会基于IP地址或用户，对符合带宽策略匹配条件的流量进行统计，每IP/每用户的保证带宽和最大带宽的作用与整体带宽类似，只是作用范围细化至每IP/用户范围。

防火墙还提供了基于整体最大带宽和在线IP/用户数量，为每一个IP/用户实现带宽动态均分的控制方式，充分利用闲置带宽的同时，还保证了带宽使用的公平性。

连接数限制：通信双方建立的连接在防火墙上体现为会话，一条会话对应一个连接。
防火墙通过限制自身生成的会话数量，来实现连接数限制功能，主要作用包括：

P2P业务会产生大量的连接，限制其连接数有利于减少P2P业务的流量，降低带宽占用。
在部署了内网服务器的场景中，连接数限制功能可以辅助防火墙防范针对内网服务器的DDoS（Distributed Denial Of Service）攻击。
节省防火墙上的会话资源。

带宽通道中可以配置整体的最大连接数，也可以配置针对源IP或用户的最大连接数，实现更加细化的连接数限制。

上下行带宽独立控制和整体控制：在上面提到的最大带宽、保证带宽和连接数限制均支持上下行分别配置。在带宽通道中，上下行代表的含义跟带宽策略本身有关：流量传输方向与带宽策略同向时，定义为上行；与带宽策略反向时，定义为下行。换言之，流量命中带宽策略，定义为上行流量；将带宽策略中的源和目的互换进行反向查询，命中的流量定义为下行流量。

例如，如果需要限制Trust到Untrust的流量，可以有以下两种方式：
带宽策略的源区域为Trust，目的区域为Untrust，带宽通道中配置对上行带宽
进行管控（与带宽策略同向）。
带宽策略的源区域为Untrust，目的区域为Trust，带宽通道中配置对下行带宽进行管控（与带宽策略反向）。
此外，除了上下行带宽独立控制这种细粒度的管控方式，防火墙还提供了基于上行和下行流量之和的带宽管控方式，大大增加了管理的灵活度。

工作模式

带宽通道被带宽策略引用后，整体最大带宽、整体保证带宽和整体最大连接数就会在带宽策略中起作用，其工作方式包括两种：

带宽复用

介绍
带宽复用是带宽通道的重要特征，指的是多条流量进入同一个带宽通道后，带宽通道内带宽资源的动态分配方式。当带宽通道中某一条流量没有使用带宽资源时，该空闲的带宽资源可以借给其它流量使用；如果有流量需要使用带宽资源时，可以压缩其它流量的带宽，从而将带宽资源抢占回来。

带宽复用包括下面几种情况：

多条流量匹配到了同一个带宽策略，多条流量之间可以实现带宽复用。
多个带宽策略以策略共享的方式引用带宽通道，则匹配了带宽策略的多条流量之间可以实现带宽复用。
匹配了父子策略中的多个子策略的多条流量之间可以实现带宽复用。

在进行带宽限制时使用多级策略，与使用独立的带宽策略相比，可以达到更好的带宽复用效果。
例如，部门A中包括两个项目组：项目组1和项目组2，使用父策略限制部门A的最大带宽，同时使用两条子策略限制两个项目组的最大带宽。假设项目组2（子策略2）只有2M流量，项目组1（子策略1）就可以复用部门A（父策略）中剩余的2M带宽资源。如果不使用多级策略，而使用两条引用了不同带宽通道的独立的带宽策略，这两条带宽策略之间无法共用带宽通道，两个项目组之间也就无法实现带宽资源的复用。

接口带宽

接口带宽原理

防火墙作为大中型企业的出口网关时，企业向运营商申请的带宽资源一般都小于防火墙出接口的物理带宽。如果防火墙无法感知出接口上所能够使用的最大带宽资源，导致发出去的流量到达对端设备后产生拥塞，严重的话将会造成丢包。
通过配置接口出方向上的带宽限制功能，可以使出接口的实际带宽与运营商所提供的带宽资源相匹配。当流量超过接口可以使用的实际带宽时，防火墙可以感知拥塞，触发队列调度机制，优先转发关键业务的流量。
此外，也可以配置接口入方向上的实际带宽，当防火墙接收其它设备发送的流量时，限制进入接口的流量，防止内部服务器压力过大导致性能降低。