Netscreen防火墙流量管理原理与配置方法_无忧网客联盟

Netscreen防火墙流量管理原理与配置方法_无忧网客联盟_百度空间

当企业把越来越多的核心业务转移到信息系统中时，网络带宽逐渐成为企业最宝贵的资源。如何合理并充分利用有限的带宽资源（尤其是专线和Internet接入带宽），给网络人员带来了一项新的挑战。

Netscreen整形机制通过ASIC硬件实现高效的管理功能，可以在接口或通过策略提供灵活的流量控制能力。可为不同类型的网络应用提供最小保证带宽和{zd0}可用带宽，并依据业务的重要性定义相应的优先处理级别，在拥塞发生时保证关键业务流量优先转发，同时不会对其余业务流量带来明显负面影响。本文对Netscreen流量整形机制和进行较系统的介绍。

Netscreen流量整形

Juniper公司自主研发的Netscreen流量整形方案通过硬件实现高效的流量整形功能，为关键流量提供带宽保证和高优先级响应，能够为突发流量提供平滑的整形机制，{zd0}限度地利用网络带宽。

单一令牌桶流量整形

在网络发生拥塞情况下，令牌桶机制能够保证业务获得基本的可用带宽，避免业务流量因网络拥塞而中断，令牌桶工作原理如下图所示：

启用流量整形功能后，按照应用分类获得各自的令牌桶，并按照特定的速率往令牌桶中存放令牌，即：每类应用将获得指定的最小保证带宽。当桶中的令牌数量满足数据包传输要求时，数据包通过消耗相应数量令牌而得以转发，数据包完成转发后相应数量的令牌将被xx出令牌桶。当令牌桶中令牌数量不满足数据包对带宽要求时，数据包在缓存队列中处于等待状态，直到有足够的令牌供其消费。令牌桶机制有效地保证了业务所需的可靠带宽，同时容许一定的流量突发（如果令牌桶中还有剩余令牌的话），但是我们也看到令牌桶机制未能够充分利用网络带宽资源，如果持续的令牌流将令牌桶注满（如果没有数据包要转发或转发数据包数量少于单位时间内令牌注入的数量），溢出的令牌将被丢弃。

双令牌桶拥塞控制机制

为充分利用有限的带宽资源，避免溢出令牌的白白浪费，可以采用双令牌桶机制将溢出的令牌进行再利用，双令牌桶工作原理如下图所示：将流量分类，每类流量均有属于自己的令牌桶，同时提供一个公用令牌桶，分类流量令牌桶空闲时溢出的令牌将被放到公用令牌桶中，供突发流量使用。

令牌的数量满足数据包传输需求时，数据包消耗对应数量令牌后得以转发。当桶中令牌数量小于包的大小时，消耗公用令牌桶中令牌进行数据包转发（公用令牌桶中需有满足数据包转发需要的令牌），如公用令牌桶中没有足够的可用令牌，数据包将在缓存队列中进行等待，直到有足够的令牌供其消费。双令牌桶机制在保证业务可用的基础上，提供了良好的流量突发处理机制，充分利用网络带宽资源。但是我们应看到，具有相同优先级设置的应用将以轮询方式竞争带宽，业务的优先级和吞吐量需求在这里并没有得到充分考虑。　

　　Netscreen拥塞控制机制

Netscreen自有专利的拥塞控制机制主要要素有：基于策略对应用进行分类，根据每类应用分配{zd0}带宽和保证带宽，基于应用的优先级使用共享带宽。 Netscreen自主流量整形机制如下图所示。

1. 根据策略分类应用，分别为每类策略定义最小保证带宽和{zd0}可用带宽。当业务流量突发超过最小保证带宽且低于{zd0}可用带宽时，各类突发流量在共享带宽中严格根据优先级决定包的转发。 2. 基于策略定义的业务流量不应超过{zd0}可用带宽，当数据包数量超过{zd0}带宽时，将在队列中等候，直到获得足够令牌后转发，或获得共享带宽后转发。

3. 如果数据包超过最小带宽但低于{zd0}带宽，多余的数据包将被放到共享带宽中进行排队，严格根据优先级决定转发包转发次序。

这种2+1模式的令牌桶机制为流量管理提供了灵活控制机制，{zd0}限度地利用了带宽资源。

Netscreen流量整形配置

Netscreen通过两种方式启用流量整行功能，一种是在物理接口上做带宽管理，对所有进来或出去的流量定义{zd0}可用带宽，采用单令牌桶控制机制。通过策略进行带宽管理可配置最小保证带宽、{zd0}可用带宽及优先级。每个策略可得到其保证带宽并基于优先级共享剩余的带宽 (直至达到其{zd0}可用带宽限制)。

1、物理接口带宽限制配置：（适用于zone中单一接口环境下）

CLI命令行方式：

set traffic-shaping mode on 打开流量整形功能

set interface ethernet1 bandwidth ingress mbw 5000 （单位KB）

set interface ethernet1 bandwidth egress mbw 2000

配置完成后使用，使用下面命令显示当前端口实际吞吐量。

get traffic-shaping interface eth1

WEB页面方式：

使用web页面配置接口带宽限制更为方便，先在WEB页面configuration－advanced traffic shaping中打开流量整形功能，然后在network-interface界面下直接配置带宽参数。

配置完成后用get traffic-shaping interface eth1命令查看限制结果。

2、基于策略的带宽限制配置：

set traffic-shaping mode auto动态开启流量整形功能，允许系统在策略需要时开启信息流整形，在策略不需要时将其关闭。

set policy name "Marketing" from trust to untrust marketing any

any permit traffic gbw 10000 priority 0 mbw 15000

设置Marketing部门的地址保证带宽10M（gbw）、{zd0}带宽15M（mbw）、优先级为0（{zg}）。注：具有相同优先级设置的策略将以轮询方式竞争带宽。

set policy from untrust to trust 1.1.1.1/32 2.2.2.0/24 ftp permit traffic gbw 1000 priority 0 mbw 2000

设置基于地址和应用的保证带宽、{zd0}带宽和优先级。

set policy my_ftp from untrust to trust any any ftp permit traffic pbw 10000 在untrust入口设置到trust区的ftp{zd0}带宽为1M(pbw管制带宽，等同于{zd0}带宽mbw，两者不可同时使用)。

Netscreen防火墙简单配置实例
资料引用:http://www.knowsky.com/377401.html

第 1 楼：Netscreen防火墙简单配置实例

对照两个文档，可以实现简单配置netscreen防火墙。

Netscreen-100防火墙的基本配置流程

NetScreen系列产品，是应用非常广泛的NAT设备。NetScreen－100就是其中的一种。
NetScreen-100是个长方形的黑匣子，其正面面板上有四个接口。左边一个是DB25串口，右边三个是以太网网口，从左向右依次为Trust Interface、DMZ Interface、Untrust Interface。其中Trust Interface相当于HUB口，下行连接内部网络设备。Untrust Interface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。DMZ Interface介绍从略。

配置前的预备
1. PC机通过直通网线与Trust Interface相连，用IE登录设备主页。设备缺省IP为192.168.1.1/255.255.255.0，用户名和密码都为netscreen ；
2. 登录成功后修改System 的IP和掩码，建议修改成与内部网段同网段，也可直接使用分配给Trust Interface的地址。修改完毕点击ok，设备会重启；
3. 把PC的地址改为与设备新的地址同网段，重新登录，即可进行配置
4. 也可通过串口登录，在超级终端上通过命令行修改System IP

数据配置
数据配置包括三部分内容：Policy、Interface、Route Table。
1. 配置Policy
用IE登陆NetScreen，在配置界面上，依次点击左边竖列中的Network–〉Policy，然后选中Outgoing。如系统原有的与此不同，可点击表中{zh1}一列的Remove来删除掉，然后点击左下角的New Policy，重新设置。
2. 配置Interface
在配置界面上，依次点击左边竖列中的Configure–〉Interface选项，则显示如下所示的配置界面，其中主要是配置Trust Interface、Untrust Interface，必要时修改System IP。

在 Interface配置图当中;
说明：
1. Trust Interface下面的Inside IP，即指端口本身的IP。因为该端口是设备用以与局域网内部相连的，所以就相当于是设备对内的端口，故此把该端口的IP 就叫做设备的Inside IP。同理，Untrust Interface下面的Outside IP也是指该端口的IP ，因为该端口是面向局域网外部的；Trust Interface下面的Default Gateway，指局域网内部与Trust Interace相连的设备的接口的地址。在本例中即是上行口的地址。Untrust Interface下面的Default Gateway是指外出上公网的网关地址（即NAT的下一跳），本例中指与NAT相连的路由器的接口地址
2. 在接口的配置选项中，Traffic Bandwidth选项是对该端口传输带宽的描述，不用设置。因为两端口都是自适应的，会根据所连对端端口的带宽而自动调整。
3. 在Enable的选项中，Trust Interface端口按照缺省的选择即可。而Untrust Interface因为面对公网，为安全起见，应当把ping、telnet等性能屏蔽掉，不要选择。只有当有必要进行远程维护时，才把telnet选中。
4. 对于System IP，当{dy}次登录后把它修改为与Trust Interface或Untrust Interface的IP 在同一网段，则用户就只能从Trust Interface或Untrust Interface登录。为了实现从两个端口都可登陆，以便治理，需要在上述界面上把System IP 的值改为0.0.0.0
5. Untrust Interface和Trust Interface配置内容xx一样，上面的例图由于是用PrtSc屏拷下来的，不能把Untrust Interface的配置内容拷全，特此说明。
3. 配置Route Table
在配置界面上，依次点击左边竖列中的Configure –〉Route Table选项，则显示图5所示界面。

系统要正常运行，在NAT内部有两条路由是必不可少的，一条是去内部网段下面的用户网段的路由，其网关是与NAT相连的接口的地址。该路由为：10.10.0.0 255.255.0.0 10.100.0.1 Trust ；另一条是去外部公网的缺省路由，其网关是与NAT 相连的外部路由器的接口地址。该路由为： 0.0.0.0 0.0.0.0 202.99.6.193 Untrust。

从路由表中可以看出，后一条路由是系统缺省自动生成的，所以只需手工添加的{dy}条路由。点击界面左下角的New Entry创建新的路由。对于已生成的路由，可以通过点击Edit、Remove进行修改或删除。
至此，所有配置全部完成。

netscreen 配置文档

1、进入字符配置界面：
用随机带的CONSOLE线，一头接计算机串口，一头接E1端口，在计算机上打开超级终端进行配置，用户名，密码都是netscreen。

2、进入WEB配置界面：
用交叉网线连接E1和计算机的网卡，将计算机IP改成192.168.1.2（与E1端口在同一网段）。打开IE浏览器输入 http:/192.168.1.11（192.168.1.11为E1端口治理IP），用户名，密码都是netscreen。

3、配置端口IP和治理IP：
E1：内部网端口
端口IP192.168.1.20和治理IP192.168.1.11
更改为当地内部网的IP地址,E1的端口IP设为当地内部网网关，治理IP用于在内部网治理netscreen防火墙。

E3: 外网端口
端口IP192.168.42.66和治理IP192.168.42.68
更改为当地电信所分配的IP地址，E3的治理IP用于外网治理者在INTERNET上配置和治理netscreen防火墙。

4、配置由内网到外网的NAT：
在E3端口上配置NAT，用于将内部网地址转换成当地电信所分配的公网IP地址，以便访问INTERNET信息。

1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击OK：
Zone Name: Trust
IP Address/Netmask: 172.16.40.11/24（当地内部网网关IP）

2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：
Zone Name: Untrust
IP Address/Netmask: 215.3.4.11/24(当地电信所分配的IP地址)。

3. Network > Interfaces > Edit（对于ethernet3）> DIP > New：输入以下内容，然后单击OK：
ID: 6
IP Address Range
Start: 215.3.4.12（当地电信所分配的IP地址）
End: 215.3.4.210（当地电信所分配的IP地址，这是一个地址池，可大可小）
Port Translation: Enable

4. Policies > (From: Untrust, To: Trust) > New：输入以下内容，
然后单击OK：
Source Address:
Address Book: （选择） , Any
Destination Address:
Address Book: （选择） , Any
Service: Any
Action: Permit
> Advanced: 输入以下内容，然后单击Return，设置高级选项并返回基本配置页：
NAT: On
DIP On:（选择） , 6 (215.3.4.12–215.3.4.210)：上一步设的地址池。

5、配置由外网到内网的VIP：
在E3端口上配置VIP，可将一个外网IP和端口号对应到一个内网IP。通过这种方法可以将WEB服务器，邮件服务器或其他服务放到内网，而从外网只看到一个公网IP，增加安全性。

1. Network > Interfaces > Edit（对于ethernet1）：输入以下内容，然后单击Apply：
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24（当地内部网网关IP）

2. Network > Interfaces > Edit（对于ethernet3）：输入以下内容，然后单击OK：
Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24（当地电信所分配的IP地址）

VIP
3. Network > Interfaces > Edit（对于ethernet3）> VIP：输入以下地址，然后单击Add：
Virtual IP Address: 210.1.1.10（对外的服务器地址）

4. Network > Interfaces > Edit（对于ethernet3）> VIP > New VIP Service：输入以下内容，然后单击OK：
Virtual Port: 80
Map to Service: HTTP (80)：（此例为WEB服务器的配置，假如是其他的服务器，就加入其服务与对应的端口号）
Map to IP: 10.1.1.10（此为服务器本身IP，内网IP）

策略
5. Policies > (From: Untrust, To: Global) > New：输入以下内容，然后单击OK：
Source Address:
Address Book:（选择）, ANY
Destination Address:
Address Book:（选择）, VIP(210.1.1.10)：对外服务器地址
Service: HTTP（WEB服务器选项）
Action: Permit

qq交流群 42776821

文章转载至

郑重声明：资讯【Netscreen防火墙流量管理原理与配置方法_无忧网客联盟_百度空间】由发布，版权归原作者及其所在单位，其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实，请读者仅作参考，并请自行核实相关内容。若本文有侵犯到您的版权，请你提供相关证明及申请并与我们联系（qiyeku # qq.com）或【在线投诉】，我们审核后将会尽快处理。

—— 相关资讯 ——