防火墙带宽

1. bandwidth downstream maximum 1500

• downstream方向：在华三防火墙的带宽策略语境下，downstream通常指 “从高安全级别区域到低安全级别区域的流量”。例如，从您的内网（Trust）访问外网（Untrust）的出向流量，或者从服务器区（DMZ）流向内网（Trust）的流量。这可以粗略理解为“上行”或“出站”流量，但核心是安全级别由高到低。
• maximum 1500的含义：这指定了该带宽策略所匹配的所有流量的速率总和上限。单位是 kbps。所以 1500表示 1500 kbps，即约 1.5 Mbps。
  • 您的理解：如果策略匹配了10台设备，那么这10台设备产生的、符合策略方向的流量加起来，最大不能超过1.5 Mbps。这是一个共享的、总的带宽上限，而不是每台设备独享1.5 Mbps。

2. bandwidth downstream guaranteed per-ip 20000

• guaranteed：意为“保证带宽”。这是带宽策略中的另一个关键参数，用于确保即使网络拥塞，匹配的流量也能获得最低的带宽保障。
• per-ip 20000：这是最需要理解的部分。per-ip表示这个保证带宽的分配方式是基于每个源IP地址。
  • 含义：该策略会为每一个匹配的源IP地址，保证其至少有 20000 kbps（即 20 Mbps）的带宽。单位同样是 kbps。
  • 作用机制：假设策略匹配了5个IP地址。当这5个IP的流量同时通过时，防火墙会尽量确保每个IP都能获得至少20Mbps的带宽。如果总带宽充足，它们可以跑得更高（但受maximum限制）；如果总带宽紧张，它们会按照这个最低保障值进行争夺。

总结与举例

1. 总额限制（Maximum）：这三台电脑的总下载速度被限制在约 1.5 Mbps​ 以内。这是硬性天花板。
2. 单IP保障（Guaranteed per-ip）：防火墙会尝试在这总计1.5 Mbps的带宽池中，为 .10， .11， .12 每个IP​ 分配其应得的20 Mbps。但显然，总池子（1.5M）远小于三个IP的保障需求总和（60M）。
   • 此时实际发生的情况：由于“保证带宽”的总需求超过了“最大带宽”，maximum参数会生效并压制总带宽。实际的带宽分配会在1.5 Mbps的总量下，由防火墙的调度算法（通常是加权公平队列）在三个IP之间进行相对公平的分配。每个IP可能只能分到大约 0.5 Mbps（1500 kbps / 3），而无法达到其20 Mbps的“保证值”。“保证带宽”在此场景下更像一个权重参数。

1. 确认方向：务必清楚 downstream和 upstream在您的网络拓扑中具体对应哪种流量（内->外？服务器->用户？）。
2. 合理规划数值：guaranteed per-ip的值需要谨慎设置。所有IP的保证值总和不应远远超过 maximum总值，否则保证值将失去意义。通常 maximum设置的是物理接口或链路的总能力，而 per-ip guaranteed用于在用户间实现基本的公平性。
3. 单位注意：配置时请注意单位是 kbps。要设置100Mbps的带宽，数值应为 100000。

• maximum：是整个策略匹配流量的“总水桶”容量。
• guaranteed per-ip：是为每个IP预备的“最小水杯”，但所有水杯的水都从总水桶里取，水桶本身容量有限。

参考这个

https://www.h3c.com/cn/d_201912/1248796_30005_0.htm