DPI深度安全技术之带宽管理

TOC

带宽管理简介

带宽管理是一种能够对IP网络流量进行精细化管理的技术。管理员在网关上应用带宽管理功能可针对不同的业务需求合理分配带宽资源，从而保证关键业务带宽，限制非关键业务带宽，提高带宽资源利用率。

技术亮点

丰富的过滤条件：

带宽管理可以基于安全域、IP地址、用户、应用等多种过滤条件对通过设备的流量进行管理和控制。

灵活的限流方式：

带宽管理既可以限制流量总带宽，又可以分别限制上下行带宽，同时也可以限制每IP/每用户流量带宽。

高效的带宽利用：

带宽管理可以采用父子策略的方式充分利用有限带宽资源，满足各项业务需求。

实时的带宽监测：

带宽管理可以对流量进行实时监测，当流量带宽超过带宽阈值时向用户发送告警日志。

运行机制

带宽管理流程

带宽管理通过带宽策略来区分不同需求的业务报文后，将匹配动作为限流的策略规则的业务报文导入到对应的带宽通道，利用带宽通道对流量的带宽进行限制，从而实现精细化带宽控制。在报文从出接口发送之前，带宽管理对报文的总体处理流程如下图所示。

报文经过带宽管理处理、并经出接口转发的步骤如下 ：

1. 报文按照配置顺序与带宽策略规则依次进行匹配。
2. 若报文与某条带宽策略规则中的所有过滤条件匹配，则表示与该规则匹配成功。
3. 若报文未与任何策略规则匹配成功，则直接放行报文，不限流。
4. 对成功匹配规则的报文执行规则中配置的动作。
5. 阻断：直接丢弃报文。
6. 限流：将报文引入到规则引用的带宽通道中，经带宽通道处理后，未超过带宽限额的报文从出接口转发。
7. 不限流：放行报文，报文不经过带宽通道直接从出接口转发。
8. 报文从出接口转发，根据接口上的带宽和QoS策略等配置对流量进行进一步的限制。

带宽策略

带宽策略决定了对经由设备转发的哪些网络流量进行管理，以及如何进行带宽管理。带宽策略由若干个带宽策略规则组成，每个规则中定义了若干报文过滤条件及一个报文处理动作。

带宽管理支持父子策略方式，即一条父策略规则下可以配置多条子策略规则。父、子策略规则所引用的带宽通道分别用于控制整体流量带宽和局部流量带宽。匹配父子策略规则的流量首先经子规则所引用的带宽通道处理后，再进入父规则所引用的带宽通道，按照各子通道最大带宽占比（例如下图所示1：2：3）分配父规则带宽通道的总体带宽资源。通过这种层级式带宽通道管理模式，既可以在业务种类较少时，保障单业务带宽需求，也可以在业务种类较多时，均衡分配总业务带宽资源，实现带宽资源的充分利用。

带宽通道

带宽通道定义了业务流量的带宽资源限制参数，是进行带宽管理的基础。流量匹配带宽策略后进入带宽通道，不仅可以实现带宽限流，还可以实现会话连接数限制等功能。

带宽限制

既可以限制流量总带宽，又可以分别限制上下行带宽，同时也可以基于每IP/每用户限制流量带宽，从而保证关键业务带宽。

连接数限制

对用户的新建会话数量及速率进行控制，避免用户在短时间内频繁访问服务器，消耗服务器大量资源。

DSCP重标记

重新标记报文的DSCP值，保证重要流量在网络中被优先转发。

带宽阈值告警

基于源IP地址对进入带宽通道的流量进行实时检测，当流量超过配置的带宽阈值时，设备将向用户发送告警日志。