问
F100带宽管理实现
16小时前提问
- 0关注
- 0收藏,52浏览
zhiliao_Gixe
五段
H3C F100可实现上述需求,核心基于QoS带宽管理,授权情况:基础IP级带宽管控自带,应用级智能带宽管理需应用识别授权。
配置关键步骤:
1. 单IP限速(防单设备大量下载):配置域间QoS策略,traffic classifier匹配源IP,traffic behavior配置car(如car cir 1M cbs 125k egress),应用到trust→untrust域间。
2. 多设备均衡:配置加权公平队列(WFQ)或带宽保障,总带宽池划分保障带宽,超出部分共享,避免个别设备占用过多。
3. 专线上下行隔离:分别在专线接口入(上行)、出(下行)方向配置QoS,保障专线业务带宽,限制非关键流量。
配置关键步骤:
1. 单IP限速(防单设备大量下载):配置域间QoS策略,traffic classifier匹配源IP,traffic behavior配置car(如car cir 1M cbs 125k egress),应用到trust→untrust域间。
2. 多设备均衡:配置加权公平队列(WFQ)或带宽保障,总带宽池划分保障带宽,超出部分共享,避免个别设备占用过多。
3. 专线上下行隔离:分别在专线接口入(上行)、出(下行)方向配置QoS,保障专线业务带宽,限制非关键流量。
暂无评论
先说结论:F100 系列(包括 F100-M-G 等)完全能实现你要的 3 个需求,而且基础带宽管理 / QoS 功能不需要额外授权,默认就带;只有应用识别(如精准识别迅雷、PCDN、视频类)才需要特征库 / 授权。
下面按你的三个需求讲 “能不能 + 怎么做 + 授权情况”。
一、需求 1:防止某设备从互联网大量下载把网络拖垮
能不能?
能。单 IP 限速 + 最大带宽限制即可。
怎么做(Web 界面思路)
- 定义地址对象:把要限制的设备 IP 做成一个对象(例如
Bad-Download-PC)。 - 新建带宽通道:
- 方向:下行(download)
- 最大带宽:例如 10Mbps(按你宽带设)
- 保证带宽:可设 2Mbps
- 新建带宽策略:
- 源:
Bad-Download-PC - 目的:any
- 应用:any(或 P2P / 下载类)
- 动作:限流 → 引用上面带宽通道
- 源:
- 策略应用在 外网口入方向 / 内网口出方向。
命令行示意(V7)
plaintext
address-group Bad-PC
ip 192.168.1.100
traffic-policy LIMIT-POL
classifier LIMIT-CL
if-match source address-group Bad-PC
behavior LIMIT-BEH
bandwidth downstream maximum 10240
bandwidth downstream guaranteed 2048
traffic-policy LIMIT-POL
classifier LIMIT-CL behavior LIMIT-BEH
interface GigabitEthernet 0/1 # 外网口
qos apply policy LIMIT-POL inbound
授权:
基础带宽限速不需要授权;如果要精准匹配 “迅雷、网盘、PCDN” 等应用,才需要应用特征库授权 / 升级。
二、需求 2:多设备同时下载时,速度均衡,且不影响其他人
能不能?
能。用:
- 每 IP 限速(per-ip) + 动态均分
- 全局带宽做 “父通道”,保证整体不超宽带,剩余带宽多机均分。
怎么做
- 先做线路总带宽(父通道):
- 假设宽带 100Mbps 下行:父通道最大 100Mbps,保证 80Mbps。
- 子通道(给所有内网用户):
- 开启 per-ip 限速:
- 下行最大:例如 15Mbps/IP
- 保证:5Mbps/IP
- 开启最大带宽动态均分:多个人下载时,空闲带宽自动分给各 IP,又互不抢死。
- 开启 per-ip 限速:
- 策略:
- 源:内网网段(192.168.0.0/24)
- 动作:限流 → 引用上述子通道。
效果:
- 任何人最多 15Mbps;
- 大家一起下时,自动均分剩余带宽;
- 正常网页 / 办公有保证带宽,不会卡死。
授权:
per-ip 限速、动态均分都是基础 QoS,不需要额外授权。
三、需求 3:专线流量不影响正常用户(上传 / 下载隔离)
能不能?
能。用多线路带宽管理 + 优先级 / 带宽隔离。
典型场景:
- 普通上网:走宽带(eth0/1)
- 专线业务:走专线接口(eth2)
做法
- 分别创建线路带宽通道:
- 宽带线路:上下行按宽带大小设(例如 100M/20M)
- 专线线路:按专线带宽设(例如 50M/50M)
- 专线流量单独做策略:
- 源 / 目的:专线网段 / 业务
- 绑定专线线路通道,限制专线最大带宽,并设置较高优先级
- 普通用户走宽带通道,有自己的保证带宽。
结果:
- 专线上传 / 下载再大,只会占专线带宽,不会挤占宽带;
- 普通用户上网稳定,互不干扰。
授权:
多线路带宽管理、优先级调度,默认自带,不需要授权。
四、授权总结(很关键)
- ✅ 基础带宽管理、接口限速、per-ip 限速、动态均分、多线路带宽控制:默认自带,无需 License。
- ✅ 仅当你需要:
- 精准识别并控制 迅雷、网盘、视频、PCDN 等应用
- 或者开启 IPS、AV、URL 过滤 才需要购买 / 升级应用特征库 License。
暂无评论
H3C F100 防火墙完全能够实现你提出的这三项带宽管理需求。
关于授权问题:F100 防火墙的基础带宽管理(流量监管/整形)功能属于设备自带的基础 QoS 能力,通常不需要额外购买授权即可使用。
针对你的三个具体需求,最佳的实现方案是配置“带宽策略 + 带宽通道(父子通道模式)”。这种方式既能限制单个设备的霸网行为,又能保证整体带宽的均衡。
针对你需求的方案映射
- 避免某设备大量下载导致网络变卡:
通过在子通道中开启“每IP限速”并设置合理的单IP最大带宽(如 5Mbps),直接限制了单台设备的下载上限,彻底解决“霸网”问题。 - 多个设备同时下载均衡速度:
由于所有设备都被限制在相同的单IP带宽阈值内,大家“雨露均沾”,自然就实现了下载速度的均衡。 - 专线避免上传下载影响正常用户:
- 限制上传:在带宽通道中,不仅要限制“最大带宽(出/下行)”,一定要同时限制“最大带宽(入/上行)”。很多网络卡顿是因为内网有设备上传数据(如网盘备份、P2P软件)占满了上行带宽。
- 业务保障:如果专线承载了视频会议等核心业务,可以在带宽通道中为核心业务IP设置“保证带宽”,确保无论网络多拥堵,核心业务都有最低带宽可用。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论