带宽管理指的是FW基于入接口/源安全区域、出接口/目的安全区域、源地址/地区、目的地址/地区、用户、服务、应用、URL分类、时间段和报文DSCP优先级信息，对通过自身的流量进行管理和控制。

目的

带宽管理提供带宽限制、带宽保证和连接数限制功能，可以提高带宽利用率，避免带宽耗尽。

• 带宽限制
  限制网络中非关键业务占用的带宽，避免此类业务消耗大量带宽资源，影响其他业务。
• 带宽保证
  保证网络中关键业务所需的带宽，当线路繁忙时，确保此类业务不受影响。
• 连接数限制（包括并发连接数限制和每秒新建连接速率限制）
  限制业务的连接数，有利于降低该业务占用的带宽，还可以节省设备的会话资源。

 

带宽通道：

通过带宽通道，可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽资源。带宽通道使用多个参数来对带宽资源进行描述和控制，包括整体的保证带宽和最大带宽、每IP/每用户的最大带宽、连接数限制和DSCP优先级重标记。此外，带宽通道还可以实现带宽资源的闲时复用。

整体的保证带宽和最大带宽

整体的保证带宽是指进入带宽通道的流量可获得的最小带宽资源，整体的最大带宽是指进入带宽通道的流量可获得的最大带宽资源。流量进入带宽通道后，FW将当前流量与带宽通道中设置的保证带宽/最大带宽进行比较，采取不同的处理方式：

• 如果流量小于保证带宽，这部分流量在出接口发送环节能够确保被转发。
• 如果流量大于最大带宽，则直接丢弃超出最大带宽的流量。
• 超出保证带宽的流量，在出接口发送环节将会与其它带宽通道中同类型的流量自由竞争带宽资源。带宽通道的优先级越高，就会更优先获得剩余带宽资源。获得带宽资源后发送流量，否则丢弃流量。

每IP/每用户的保证带宽和最大带宽

除了设置整体的保证带宽和最大带宽之外，还可以在带宽通道中定义针对IP或用户的保证带宽和最大带宽，实现粒度更加细化的带宽限制。

当带宽通道被带宽策略引用后，FW会基于IP地址或用户，对符合带宽策略匹配条件的流量进行统计，每IP/每用户的保证带宽和最大带宽的作用与整体带宽类似，只是作用范围细化至每IP/用户范围。

另外，FW还提供了基于整体最大带宽和在线IP/用户数量，为每一个IP/用户实现带宽动态均分的控制方式，充分利用闲置带宽的同时，还保证了带宽使用的公平性。

连接数限制（并发连接总数限制和新建连接速率限制）

通信双方建立的连接在FW上体现为会话，一条会话对应一个连接。FW通过限制自身生成的会话数量，来实现连接数限制功能，主要作用包括：

• P2P（Point to Point）业务会产生大量的连接，限制其连接数有利于减少P2P业务的流量，降低带宽占用。
• 在部署了内网服务器的场景中，连接数限制功能可以辅助FW防范针对内网服务器的DDoS（Distributed Denial Of Service）攻击。
• 节省FW上的会话资源。

带宽通道中可以配置整体的最大连接数，也可以配置针对源IP或用户的最大连接数，实现更加细化的连接数限制。

上下行带宽独立控制和整体控制

在上面提到的最大带宽、保证带宽和连接数限制均支持上下行分别配置。在带宽通道中，上下行代表的含义跟带宽策略本身有关：流量传输方向与带宽策略同向时，定义为上行；与带宽策略反向时，定义为下行。换言之，流量命中带宽策略，定义为上行流量；将带宽策略中的源和目的互换进行反向查询，命中的流量定义为下行流量。

例如，如果需要限制trust到untrust的流量，可以有以下两种方式：

• 带宽策略的源区域为trust，目的区域为untrust，带宽通道中配置对上行带宽进行管控（与带宽策略同向）。
• 带宽策略的源区域为untrust，目的区域为trust，带宽通道中配置对下行带宽进行管控（与带宽策略反向）。

此外，除了上下行带宽独立控制这种细粒度的管控方式，FW还提供了基于上行和下行流量之和的带宽管控方式，大大增加了管理的灵活度。

策略独占和策略共享

带宽通道被带宽策略引用后，整体最大带宽、整体保证带宽和整体最大连接数就会在带宽策略中起作用，其工作方式包括策略独占和策略共享两种：

• 策略独占
  每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束，即符合该带宽策略匹配条件的流量，独享最大带宽资源。
• 策略共享
  所有引用带宽通道的带宽策略都共同受到该带宽通道的约束，即符合多条带宽策略匹配条件的流量，共享最大带宽资源。

带宽复用

带宽复用是带宽通道的重要特征，指的是多条流量进入同一个带宽通道后，带宽通道内带宽资源的动态分配方式。当带宽通道中某一条流量没有使用带宽资源时，该空闲的带宽资源可以借给其它流量使用；如果有流量需要使用带宽资源时，可以压缩其它流量的带宽，从而将带宽资源抢占回来。

带宽复用包括下面几种情况：

• 多条流量匹配到了同一个带宽策略，多条流量之间可以实现带宽复用。
• 多个带宽策略以策略共享的方式引用带宽通道，则匹配了带宽策略的多条流量之间可以实现带宽复用。
• 匹配了父子策略中的多个子策略的多条流量之间可以实现带宽复用。关于父子策略的介绍请参见多级策略。

流量转发优先级

FW支持为带宽通道配置流量转发优先级。当流量转发优先级配置为“中（4）”时，默认采用流量监管（Traffic Policing）的方式进行带宽限制；当带宽通道中的流量转发优先级不为“中（4）”时，默认采用流量整形（Traffic Shaping）的方式进行带宽限制。此时，超过带宽上限值的峰值流量和突发流量报文的转发优先级会被修改，优先级大于4的报文会被优先发送，优先级小于4的报文则会被延后发送。图1中展示了通过流量监管和流量整形两种方式进行带宽限制的主要区别。

• 流量监管（Traffic Policing）通过CAR机制限制网络中的峰值流量和突发流量，若某个连接的报文流量超过带宽通道中设置的带宽上限值，则报文会被直接丢弃。
• 流量整形（Traffic Shaping）则通过队列机制，将超过带宽上限值的峰值流量和突发流量报文延迟传输，在限制网络中突发流量的同时调整流量的输出速率，使报文以比较均匀的速度向外发送。

 

带宽策略：带宽策略是多个带宽策略规则的集合，带宽策略规则由条件和动作组成

动作指的是FW对报文采取的处理方式，包括：

• 限流
  对符合条件的流量进行管理。当动作为限流时，还需在带宽策略中引用带宽通道，对流量的具体管理措施由该带宽通道决定。
• 不限流
  对符合条件的流量不进行管理。

默认情况下，FW上存在一条缺省的带宽策略，所有匹配条件均为任意（any），动作为不限流

级别策略：

FW的带宽策略功能支持多级配置方式，即在一条带宽策略下，还可以继续配置多条带宽子策略。目前FW支持四级策略，对于多条同级策略，FW按照界面上的排列顺序从上到下依次匹配，只要匹配了一条策略的所有条件，则执行带宽通道的动作，不再继续匹配剩下的规则；对于多级策略，流量先匹配父策略，再去匹配子策略，直到匹配到最后一级可以匹配到的子策略为止。

接口带宽：

通过配置接口出方向上的带宽限制功能，可以使出接口的实际带宽与运营商所提供的带宽资源相匹配。当流量超过接口可以使用的实际带宽时，FW可以感知拥塞，触发队列调度机制，优先转发关键业务的流量。

配置带宽通道：

分别设置上下行带宽

[FW-traffic-policy-profile profile-name] bandwidth maximum-bandwidth whole { upstream | downstream | both } max-value

[FW-traffic-policy-profile profile-name] bandwidth maximum-bandwidth { per-ip | per-user} { upstream | downstream | both } max-value

设置保证带宽

[FW-traffic-policy-profile profile-name] bandwidth guaranteed-bandwidth whole { upstream | downstream | both } guaranteed-value

[FW-traffic-policy-profile profile-name] bandwidth guaranteed-bandwidth { per-ip | per-user} { upstream | downstream | both } guaranteed-value

带宽策略：

[FW] traffic-policy

[FW-traffic-policy] rule name rule-name [ parent parent-name ]

[FW-traffic-policy-rule-rule-name ] source-zone zone

[FW-traffic-policy-rule-rule-name ] destination-zone zone

[FW-traffic-policy-rule-rule-name ] egress-interface  interface-name

[FW-traffic-policy-rule-rule-name ] ingress-interface interface-name

[FW-traffic-policy-rule-rule-name ] source-address address

[FW-traffic-policy-rule-rule-name ] destination-address address

[FW-traffic-policy-rule-rule-name ] user { user-name | user-group group-name | security-group group-name }

[FW-traffic-policy-rule-rule-name ] service service-name

[FW-traffic-policy-rule-rule-name ] app { app name | app-group name | category name | label name }

[FW-traffic-policy-rule-rule-name ] time-range time-range-name

[FW-traffic-policy-rule-rule-name ] dscp dscp-value

[FW-traffic-policy-rule-rule-name ] action { no-qos | qos profile profile-name }