使用版本

本举例是在F1000-AI-55的R8860版本上进行配置和验证的。

组网需求

如下图所示，内网主机通过Device与外网相连，通过在Device上配置带宽管理功能，实现当内网流量的出口发生拥塞时优先保证FTP业务的需求。具体要求如下：

• 限制内网用户，访问外网爱奇艺应用流量的上行最大带宽和下行最大带宽均为30Mbps。

• 保证内网用户，访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30Mbps。

• 限制外网出接口的最大带宽为100Mbps。

图-1 单通道模式带宽管理配置组网图

注意事项

带宽管理业务会占用较多的系统资源，仅建议内存在2GB以上的设备启用，其他设备请谨慎启用。

配置带宽管理时，需要注意的是：

• 带宽策略支持嵌套关系，目前支持配置四级带宽策略。

• 子策略引用的带宽通道中的最大带宽不能大于父策略引用的带宽通道中的最大带宽。

• 父策略引用的带宽通道中的保证带宽不能小于子策略引用的带宽通道中的保证带宽之和。

• 子策略与父策略不能引用同一个带宽通道。

• 接口期望带宽的缺省值较小时，在流量较大的情况下，很容易出现丢包现象，这时可以将此接口的期望带宽值调大。比如Tunnel口的默认带宽是64kbps，流量比较大的情况下，易出现丢包现象，这时可将Tunnel接口的期望带宽值调大。

• 如果被复制的带宽策略中含有子带宽策略，则只会复制父带宽策略的内容。

配置步骤

1. 配置接口的IP地址，并将接口加入安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

·            安全域：Trust。

·            选择“IPv4地址”页签，配置IP地址/掩码长度：10.1.1.1/24。

·            其他配置项保持默认情况即可。

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

·            安全域：Untrust。

·            选择“IPv4地址”页签，配置IP地址/掩码：20.1.1.1/24。

·            其他的配置项保持默认情况即可。

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

• 名称：Trust-Untrust

• 源安全域：Trust

• 目的安全域：Untrust

• 源IPv4地址：10.1.1.2/24

• 动作：允许

• 其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

3. 配置带宽通道

# 选择“策略 > 带宽管理 > 带宽通道”，单击<新建>按钮，进入新建带宽通道页面，配置如下。

图-2 新建带宽通道aiqiyi

# 其他配置项使用缺省值。

# 单击<确定>按钮，完成配置。

# 按照同样的步骤，添加带宽通道profileftp，配置如下。

图-3 新建带宽通道profileftp

# 其他配置项使用缺省值。

# 单击<确定>按钮，完成配置。

4. 配置带宽策略

# 选择“策略 > 带宽管理 > 带宽策略”，单击<新建>按钮，进入新建带宽策略页面，新建带宽策略aiqiyi，配置如下。

图-4 新建带宽策略aiqiyi

图-5 新建带宽策略aiqiyi

# 其他配置项使用缺省值。

# 单击<确定>按钮，完成配置。

# 新建带宽策略成功后，选中此策略，并单击<启用>按钮，开启带宽策略。

# 按照同样的步骤，新建带宽策略FTP，配置如下。

图-6 新建带宽策略FTP

图-7 新建带宽策略FTP

# 其他配置项使用缺省值。

# 单击<确定>按钮，完成配置。

# 新建带宽策略成功后，选中此策略，并单击<启用>按钮，开启带宽策略。

5. 配置接口带宽

# 选择“策略 > 带宽管理 > 接口带宽”，单击<新建>按钮，进入新建接口带宽页面，配置如下。

图-8 新建接口带宽

# 单击<确定>按钮，完成配置。

验证配置

配置完成后，当出接口GigabitEthernet1/0/2的流量达到100Mbps后，爱奇艺应用的流量最大只能达到30Mbps，FTP应用的流量能够保证最少达到30Mbps。

Q1: 实现基于域名的安全策略需要下发的配置能有哪些？

A1:安全策略放通dns解析流量；配置域名对象组；安全策略调用该域名对象组；开启dns snooping功能。示例如下：

#              

 dns snooping enable

#

object-group ip address dns_snooping

 0 network host name ***.***

#

#

security-policy ip

 rule 0 name dns

  action pass

  service dns-udp

 rule 1 name dns_snooping

  action pass  

  destination-ip dns_snooping

#

Q2：如何查看FW记录的解析结果

A2：参考命令如下：

#

RBM_P<FW_01>disp object-group ip host object-group-name dns_snooping    ---显示主机名对应IP地址的相关信息

object group : dns_snooping

  Object ID        : 0

    Host name      : ***.***

    VPN instance   : -

    Updated at     : 2024-02-23 18:40:16

    IP addresses   : 

      106.11.45.35

      106.11.211.236        ---域名对应的IP，该表项存在则安全策略生效

#

RBM_P[FW_01-probe]disp system internal dns snooping host   ---显示DNS Snooping记录的域名解析信息，该表项的老化时间由dns回应报文的老化时间决定

Total number: 1

No.  Host name                           Server                            TTL                QType              IP addresses

1    ***.***          114.114.114.114           104                 A                      106.11.45.35        

#

RBM_P[FW_01-probe]disp system internal dns kernel snooping-rule host   ---显示内核中DNS Snooping监听域名解析结果的规则，查看配置是否生效

Slot: 1

Type:

  D: Domain    S: Subdomain

 

No.   VPN instance              Domain/Subdomain       Rule-type QTYPE IgnoreVpn

1                               ***.***  D         A     N

 

实际使用中，前两条命令经常会用到，以对比终端dns解析结果和FW上记录表项是否一致。

Q3：域名老化时间很短，终端访问过程中没有触发FW dns snooping记录表项并上报策略，导致终端访问时断时续，如何解决？

A3：配置对象组主机名对应IP地址的老化时间，对应命令：object-group dns-aging。设置一个合适的时间即可。

object-group dns-aging命令用来开启主机名对应IP地址的老化功能。

undo object-group dns-aging命令用来关闭主机名对应IP地址的老化功能。

【命令】

object-group dns-aging [ time aging-time ]

undo object-group dns-aging

【缺省情况】

主机名对应IP地址的老化功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

time aging-time：主机名对应IP地址的老化时间，取值范围为1～70000000，单位为分钟，缺省值为120。

【使用指导】

非缺省vSystem不支持本命令。

在同一主机名对应多个IP地址的负载均衡场景中，DNS解析主机名获得的IP地址会在多个IP地址之间进行不断切换。缺省情况下，每次切换，对象组模块都会通告相关策略（如安全策略）变更IP地址，会造成相关策略频繁提交加速，大量耗费设备内存，此时可通过开启主机名对应IP地址的老化功能解决此问题。

开启该功能后，对象组针对每个主机名维护一个IP地址组。当通过DNS解析该主机名获得的IP地址不在该组内，会将新的IP地址添加至组内，并将该组新的IP地址范围告知相关策略；当获得的IP地址在该组内，则不会告知相关策略，并更新该IP地址的老化时间。若组内某个IP地址达到老化时间，则会将其从组内删除，并告知相关策略。从而减少相关策略加速次数，降低设备内存占用。

建议所配置主机名对应IP地址的老化时间大于DNS服务器上配置的解析记录生存时间（TTL）。

【举例】

# 配置主机名对应IP地址的老化时间为5分钟。

<Sysname> system-view

[Sysname] object-group dns-aging

[Sysname] object-group dns-aging time 5

Q4：配置了object-group dns-aging命令之后，域名老化时间按照哪个解析结果来算？

A4：以disp object-group ip host object-group-name xxx的解析结果为准。

测试条件如下：域名的老化时间2分钟，设置域名对象组老化时间为30min。2min后查看结果：