fortios 5.4 流量控制的配置改变...
TRANSCRIPT
FortiOS 5.4 流量控制的配置改变
“流量整形策略”
版本 1.0
时间 2016年 3月
支持的版本 FortiGate v5.4.x
作者 刘康明
状态 待审核
Fortinet 公司 第 2 页 / 共 11 页 www.fortinet.com.cn
目录 流量整形策略简介.................................................... 3
流量整形策略的三种限速方式.......................................... 5
流量整形策略配置举例................................................ 7
流量整形策略配置第一步:功能特性库中开启“流量整形”功能........ 7
配置举例情形一:共享式限速...................................... 8
配置举例情形二:每 IP式限速..................................... 9
Fortinet 公司 第 3 页 / 共 11 页 www.fortinet.com.cn
流量整形策略简介
本文主要讨论 FortiOS5.4 的新功能——一流量整形策略,新版本对于流量控制的
配置从此有了很大的改变。
在 v5.2 中,流控功能在策略中实现:
相比,在 v5.4 中“流量控制”的部分在策略中被移除,而是使用独立的且功能更加强
大的“流量整形策略”模块用于流量控制,即本文所讨论的主题“流量整形策略”。
独立流量整形策略模块的优点:
1. 更好的针对的 Application、Application Category、URL Category 等应用层面进
行细粒度的流量控制
2. 简化流量控制的配置,举例说明:
需求:如果 FGT拥有 1000条策略,并且管理员想要实现针对 VOIP进行带宽保证。
在 v5.2 中,需要配置 999条策略的带宽限速,然后再配置 1条关于 VOIP 的带宽保
证策略,这样才能达到 VOIP 的带宽保障效果。
在 v5.4中,独立的流量整形策略模块只需要 1条策略 —— 1条用于针对 VOIP 带
宽保证的策略即可。
Fortinet 公司 第 4 页 / 共 11 页 www.fortinet.com.cn
相比旧版本,在 v5.4 中“流量控制”在策略中被移除:
在 v5.4中,专门的“流量整形策略(Traffic Shaping Policy)”被用来实现流控:
Fortinet 公司 第 5 页 / 共 11 页 www.fortinet.com.cn
流量整形策略的三种限速方式
“流量整形策略”有三种实现流量限速方式:
共享式限速(保证带宽和最大带宽)
每 IP 式限速 (每 IP带宽和并发数)
应用控制式限速 (应用程序分类 / 应用 / URL分类)
Fortinet 公司 第 6 页 / 共 11 页 www.fortinet.com.cn
最终使用“ 流量整形策略(Traffic Shaping Policy)” 调用上述的三种限速方式即可
实现想要的限速效果。如下图所示:
Fortinet 公司 第 7 页 / 共 11 页 www.fortinet.com.cn
流量整形策略配置举例
Client1 192.168.111.100Client2 192.168.111.110
Port2 192.168.111.1
Port1172.16.111.1
FTP_Server 172.16.111.100流量限速策略在FTP下载过程中进行限速
举例环境拓扑图
配置情形一:共享式限速
192.168.111.0/24 网段共享 FTP流量 2048kb/s(2Mbps)
配置情形二:每 IP限速
192.168.111.0/24 网段每 IP限速 400kb/s(50KByte/s 左右)
流量整形策略配置第一步:功能特性库中开启“流量整形”功能
首先需要在 GUI 的功能特性库( Feature Select)开启“流量整形”。在 v5.4 中
功能特性的选择扩展到了每 VDOM 功能特性。
WEB GUI:系统管理 -- > Features Select (无 VDOM的时候)
WEB GUI:VDOM -- > 系统管理 -- > Features Select (有 VDOM的时候)
见下图:
Fortinet 公司 第 8 页 / 共 11 页 www.fortinet.com.cn
配置举例情形一:共享式限速
“配置情形一:共享式限速
192.168.111.0/24网段共享 FTP流量 2048kb/s(2Mbps)”
策略&对象 –> 流量整形器(Traffic Shapers)–> 配置 Shared 规则
策略&对象 –> 流量整形策略(Traffic Shapers Policy)–> 配置流量整形策略
调用
Fortinet 公司 第 9 页 / 共 11 页 www.fortinet.com.cn
PC1/PC2 Client 向 FTP-Server 发起下载请求,查看共享限速效果
PC1 和 PC2 FTP 下载数据情况共享 2M
在 FGT 上查看会话有有限速标签
在 FGT 上 FortiView 查看 Traffic Shaping 详细限速情况
配置举例情形二:每 IP 式限速
配置情形二:每 IP 限速。
192.168.111.0/24网段每 IP限速 400kb/s(50KByte/s 左右)
策略&对象 –> 流量整形器(Traffic Shapers)–> 配置 Shared 规则
Fortinet 公司 第 10 页 / 共 11 页 www.fortinet.com.cn
策略&对象 –> 流量整形策略(Traffic Shapers Policy)–> 配置流量整形策略
调用
PC1/PC2 Client 向 FTP-Server 发起下载请求,查看每 IP 限速效果
Fortinet 公司 第 11 页 / 共 11 页 www.fortinet.com.cn
PC1 和 PC2 FTP 下载数据情况每 IP 40~50KB/s
在 FGT 上查看会话有限速标签
在 FGT 上 FortiView 查看 Traffic Shaping 详细限速情况
参考文档资料:
FortiOS Handbook 5.4
http://docs.fortinet.com/fortigate/admin-guides/v5.4
Whats New in FortiOS 5.4
docs.fortinet.com/d/fortigate-whats-new-in-fortios-5.4