在包含多台计算机的大型网络中,通过防火墙的数据量会很大。 网络管理员可以使用流量管理和服务质量 (QoS) 操作来防止重要业务应用程序的数据丢失,同时确保关键业务应用程序优先于其他流量。
流量管理和 QoS 带来了许多好处。 您可以:
要将流量管理应用于策略,需要定义流量管理操作,该操作是可以应用于一个或多个策略定义的设置集合。 这样,您就无需在每个策略中分别配置流量管理设置了。 如果要对不同策略应用不同的设置,可以定义其他流量管理操作。
为了保证性能,所有流量管理和 QoS 功能都默认禁用。 您必须在全局设置中启用这些功能,然后才能使用它们。
带宽保留可防止连接超时。 在必要时,具有保留带宽和低优先级的流量管理队列可将带宽提供给具有较高优先级的实时应用程序,并且不会断开连接。 当未用的保留带宽可用时,其他流量管理队列可以利用此带宽。
例如,假设您的公司在外部网络上有一台 FTP 服务器,您希望该 FTP 可以始终保证每秒至少有 200 千字节 (KBps) 通过外部接口。 您还可能会考虑设置可信任接口的最小带宽,以确保连接具有端到端的保证带宽。 为此,可创建一个流量管理操作,将外部接口上的 FTP 流量的最小带宽定义为 200 KBps。 然后,可以创建一个 FTP 策略并应用该流量管理操作。 这可允许 200 KBps 的 ftp put。 要实现 200 KBps 的 ftp get,必须要将可信任接口上的 FTP 流量的最小带宽也配置为 200 KBps。
再举个例子,假设您的公司使用多媒体材料(流媒体)来培训外部客户。 此流媒体使用的是端口 554 上的 RTSP。 您会经常进行从可信任接口到外部接口的 FTP 上传,并且不希望这些上传与接收流媒体的客户争用带宽。 要保证足够的带宽,应该对流媒体端口的外部接口应用流量管理操作。
保证带宽设置与为每个外部接口配置的“传出接口带宽”设置共同工作,这可确保您不会保证超出实际存在量的带宽。 此设置还有助于确保保证带宽设置的总量不会占用全部链路以使非保证的流量无法通过。 例如,假设链路带宽为 1 Mbps,而您尝试使用的流量管理操作为该链路上的 FTP 策略保证了 973 Kbps(即 0.95 Mbps)的带宽。 这样的设置可让 FTP 流量使用绝大部分可用带宽,从而导致其他类型的流量无法使用这个接口。
要为其他应用程序保留可用带宽,可以限制某些流量类型或应用程序的带宽。 这样还能在用户发现应用程序的运行速度大幅降低时,阻止使用某些应用程序。
流量管理操作中的“最大带宽”设置可让您设定流量管理操作所允许的流量限制。
例如,假设您要允许 FTP 下载,但同时又要限制用户下载文件的速度。 您可以添加一项流量管理操作,将可信任接口上的最大带宽设置为较低的量,如 100 kbps。 这样有助于在可信任接口上的用户发现 FTP 速度较慢时,减少 FTP 下载。
QoS 标记可以为不同类型的出站网络流量创建不同的服务类型。 在标记流量时,最多可更改数据包头字段中的六位。 在数据包从网络中的一点传输到另一点时,其他设备可以利用此标记并对该数据包进行适当的处理。
可以为单个接口或策略启用 QoS 标记。 定义了接口的 QoS 标记后,从该接口发出的每个数据包都将被标记。 定义了策略的 QoS 标记后,使用该策略的所有数据包也都将被标记。
可以为策略或来自特定接口的流量指定不同级别的优先级。 通过在防火墙内划分流量的优先顺序,可以管理多个服务类型 (ToS) 队列,并为实时数据或流数据保留最高的优先级。 当链路发生阻塞导致流量必须争抢带宽时,具有高优先级的策略可以占用现有低优先级连接的带宽。