Netscreen防火墻流量管理原理與配置當(dāng)企業(yè)把越來越多的核心業(yè)務(wù)轉(zhuǎn)移到信息系統(tǒng)中時，網(wǎng)絡(luò)帶寬逐漸成為企業(yè)最寶貴的資源。如何合理并充分利用有限的帶寬資源（尤其是專線和Internet接入帶寬），給網(wǎng)絡(luò)管理人員帶來了一項新的挑戰(zhàn)。防火墻流量整形機制通過ASIC硬件實現(xiàn)高效的流量管理功Netscreen能，可以在接口或通過策略提供靈活的流量控制能力?？蔀椴煌愋偷木W(wǎng)絡(luò)應(yīng)用提供最小保證帶寬和最大可用帶寬，并依據(jù)業(yè)務(wù)的重要性定義相應(yīng)的優(yōu)先處理級別，在擁塞發(fā)生時保證關(guān)鍵業(yè)務(wù)流量優(yōu)先轉(zhuǎn)發(fā)，同時不會對其余業(yè)務(wù)流量帶來明顯負面影響。本文對Netscreen防火墻流量整形機制和配置方法進行較系統(tǒng)的介紹。Netscreen流量整形原理Juniper公司自主研發(fā)的Netscreen流量整形方案通過硬件實現(xiàn)高效的流量整形功能，為關(guān)鍵流量提供帶寬保證和高優(yōu)先級響應(yīng)，能夠為突發(fā)流量提供平滑的整形機制，最大限度地利用網(wǎng)絡(luò)帶寬。單一令牌桶流量整形在網(wǎng)絡(luò)發(fā)生擁塞情況下，令牌桶機制能夠保證業(yè)務(wù)獲得基本的可用帶寬，避免業(yè)務(wù)流量因網(wǎng)絡(luò)擁塞而中斷，令牌桶工作原理如下圖所示：ersxnDataQueuedAtVariableYesDecrementTokensersxnDataQueuedAtVariableYesDecrementTokensSendDatesTokensAddedAt !=!Constant CTP(S，R，豆;啟用流量整形功能后，按照應(yīng)用分類獲得各自的令牌桶，并按照特定的速率往令牌桶中存放令牌，即：每類應(yīng)用將獲得指定的最小保證帶寬。當(dāng)桶中的令牌數(shù)量滿足數(shù)據(jù)包傳輸要求時，數(shù)據(jù)包通過消耗相應(yīng)數(shù)量令牌而得以轉(zhuǎn)發(fā)，數(shù)據(jù)包完成轉(zhuǎn)發(fā)后相應(yīng)數(shù)量的令牌將被清除出令牌桶。當(dāng)令牌桶中令牌數(shù)量不滿足數(shù)據(jù)包對帶寬要求時，數(shù)據(jù)包在緩存隊列中處于等待狀態(tài)，直到有足夠的令牌供其消費。令牌桶機制有效地保證了業(yè)務(wù)所需的可靠帶寬，同時容許一定的流量突發(fā)（如果令牌桶中還有剩余令牌的話），但是我們也看到令牌桶機制未能夠充分利用網(wǎng)絡(luò)帶寬資源，如果持續(xù)的令牌流將令牌桶注滿（如果沒有數(shù)據(jù)包要轉(zhuǎn)發(fā)或轉(zhuǎn)發(fā)數(shù)據(jù)包數(shù)量少于單位時間內(nèi)令牌注入的數(shù)量），溢出的令牌將被丟棄。雙令牌桶擁塞控制機制為充分利用有限的帶寬資源，避免溢出令牌的白白浪費，可以采用雙令牌桶機制將溢出的令牌進行再利用，雙令牌桶工作原理如下圖所示：將流量分類，每類流量均有屬于自己的令牌桶，同時提供一個公用令牌桶，分類流量令牌桶空閑時溢出的令牌將被放到公用令牌桶中，供突發(fā)流量使用。當(dāng)令牌的數(shù)量滿足數(shù)據(jù)包傳輸需求時，數(shù)據(jù)包消耗對應(yīng)數(shù)量令牌后得以轉(zhuǎn)發(fā)。當(dāng)桶中令牌數(shù)量小于包的大小時，消耗公用令牌桶中令牌進行數(shù)據(jù)包轉(zhuǎn)發(fā)（公用令牌桶中需有滿足數(shù)據(jù)包轉(zhuǎn)發(fā)需要的令牌），如公用令牌桶中沒有足夠的可用令牌，數(shù)據(jù)包將在緩存隊列中進行等待，直到有足夠的令牌供其消費。雙令牌桶機制在保證業(yè)務(wù)可用的基礎(chǔ)上，提供了良好的流量突發(fā)處理機制，充分利用網(wǎng)絡(luò)帶寬資源。但是我們應(yīng)看到，具有相同優(yōu)先級設(shè)置的應(yīng)用將以輪詢方式競爭帶寬，業(yè)務(wù)的優(yōu)先級和吞吐量需求在這里并沒有得到充分考慮。Netscreen擁塞控制機制Netscreen自有專利的擁塞控制機制主要要素有：基于策略對應(yīng)用進行分類，根據(jù)每類應(yīng)用分配最大帶寬和保證帶寬，基于應(yīng)用的優(yōu)先級使用共享帶寬。Netscreen自主流量整形機制如下圖所示。DataBorrowMT.SharedTokensAllocatedByPriorityYesMT,GTSendD@taBucketSystemPerPoEicyMaximumjDataBorrowMT.SharedTokensAllocatedByPriorityYesMT,GTSendD@taBucketSystemPerPoEicyMaximumjBandwidth<MBW)1、根據(jù)策略分類應(yīng)用，分別為每類策略定義最小保證帶寬和最大可用帶寬。當(dāng)業(yè)務(wù)流量突發(fā)超過最小保證帶寬且低于最大可用帶寬時，各類突發(fā)流量在共享帶寬中嚴格根據(jù)優(yōu)先級決定包的轉(zhuǎn)發(fā)。2、基于策略定義的業(yè)務(wù)流量不應(yīng)超過最大可用帶寬，當(dāng)數(shù)據(jù)包數(shù)量超過最大帶寬時，將在隊列中等候，直到獲得足夠令牌后轉(zhuǎn)發(fā)，或獲得共享帶寬后轉(zhuǎn)發(fā)。3、如果數(shù)據(jù)包超過最小帶寬但低于最大帶寬，多余的數(shù)據(jù)包將被放到共享帶寬中進行排隊，嚴格根據(jù)優(yōu)先級決定轉(zhuǎn)發(fā)包轉(zhuǎn)發(fā)次序。這種2+1模式的令牌桶機制為流量管理提供了靈活控制機制，最大限度地利用了帶寬資源。Netscreen流量整形配置Netscreen通過兩種方式啟用流量整行功能，一種是在物理接口上做帶寬管理，對所有進來或出去的流量定義最大可用帶寬，采用單令牌桶控制機制。通過策略進行帶寬管理可配置最小保證帶寬、最大可用帶寬及優(yōu)先級。每個策略可得到其保證帶寬并基于優(yōu)先級共享剩余的帶寬（直至達到其最大可用帶寬限制）。1、物理接口帶寬限制配置：（適用于zone中單一接口環(huán)境下）CLI命令行方式：settraffic-shapingmodeon打開流量整形功能setinterfaceethernetlbandwidthingressmbw5000（單位KB）setinterfaceethernet1bandwidthegressmbw2000配置完成后使用，使用下面命令顯示當(dāng)前端口實際吞吐量。gettraffic-shapinginterfaceeth1WEB頁面方式：使用web頁面配置接口帶寬限制更為方便，先在WEB頁面configuration—advancedtrafficshaping中打開流量整形功能，然后在network-interface界面下直接配置帶寬參數(shù)。rTrafficBandwidtliEgress MaximumBandwidth KbpsIngress MaximumBandwrdth屈J口,吾:野，『窄?配置完成后用gettraffic-shapinginterfaceethl命令查看限制結(jié)果。2、基于策略的帶寬限制配置：settraffic-shapingmodeauto動態(tài)開啟流量整形功能，允許系統(tǒng)在策略需要時開啟信息流整形，在策略不需要時將其關(guān)閉。setpolicyname"Marketing"fromtrusttountrustmarketinganyanypermittrafficgbw10000priority0mbw15000設(shè)置Marketing部門的地址保證帶寬10M（gbw）、最大帶寬15M（mbw）、優(yōu)先級為0（最高）。注：具有相同優(yōu)先級設(shè)置的策略將以輪詢方式競爭帶寬。setpolicyfromuntrusttotrust/32/24ftppermittrafficgbw1000priority0mbw2000設(shè)置基于地址