bm功能特點和產品部署培訓.ppt

SANGFOR BM 新產品培訓,BM基本功能介紹,BM設備部署模式,實際應用配置實例,目 錄,什么是BM？,1、客戶需要專業(yè)且高性能的流控設備。 2、客戶反感上網(wǎng)行為審計功能，尤其是政府類的客戶，比如說政府信息中心，領導最擔心的就是自己的上網(wǎng)行為被審計，所以需要不帶審計功能的流控設備（流量審計除外）。,BM（Bandwidth Management）是專業(yè)的流量管理設備。,為什么需要BM設備呢？,BM部署模式介紹,只有網(wǎng)橋模式，支持多網(wǎng)橋部署。,BM部署模式介紹,BM部署模式介紹,BM基本功能介紹,BM基本功能介紹,用戶認證功能： BM的用戶認證功能不支持DKEY認證，其他認證功能與AC一致。,BM基本功能介紹,上網(wǎng)控制功能： BM設備增加流量配額功能，即控制單個用戶每天/每月的上網(wǎng)總流量，超過此設置值，用戶則無法上網(wǎng)。上網(wǎng)應用控制，網(wǎng)頁過濾，流量統(tǒng)計與上網(wǎng)計時其他功能頁面與AC一致。,BM基本功能介紹,內置數(shù)據(jù)中心： BM設備只支持內置數(shù)據(jù)中心，只能查詢被拒絕的上網(wǎng)行為日志，保留流量查詢和流量統(tǒng)計的功能。,流量統(tǒng)計,用于查詢被拒絕的上網(wǎng)行為,流量查詢,BM基本功能介紹,流量管理功能： BM流量管理功能，支持虛擬線路。,虛擬線路應用場景,應用場景：設備單網(wǎng)橋部署，公網(wǎng)電信、網(wǎng)通兩條100M線路，對于內網(wǎng)P2P數(shù)據(jù)限制為總帶寬的50%。 可能出現(xiàn)的問題：所有的數(shù)據(jù)都跑到一條線路上，導致一條線路帶寬占用很滿，一條線路空閑。 解決方案： 1. 將一條網(wǎng)橋線路虛擬劃分成多條線路。 2.然后根據(jù)IP和端口指定數(shù)據(jù)由哪條虛擬線路出去。,虛擬線路,注意： 虛擬線路之間帶寬不能借用，虛擬線路的帶寬之和不能超過實際線路的總帶寬。,實際應用配置實例,客戶需求 1.部署B(yǎng)M設備于防火墻與核心交換機之間；設備配置48/24的地址，防火墻的地址是54，核心交換機與防火墻互聯(lián)的地址為；內網(wǎng)全部啟用以IP方式認證，全部放入默認組，內網(wǎng)網(wǎng)段為：/24； 2. 公網(wǎng)電信、網(wǎng)通兩條100M線路，分別限制兩條線路的P2P、迅雷下載等應用帶寬不超過線路帶寬的50%。 3. 禁止對論壇發(fā)貼，禁止上WEB郵件網(wǎng)站發(fā)送webmail郵件。 4.針對內網(wǎng)每個用戶限制一天之內流量最多不允許超過3G。 5.每天針對針對流量出一個使用情況匯總報表，并且需要保存3個月左右流量日志；,配置思路分析： 1.設備單網(wǎng)橋模式配置，部署在防火墻與核心交換機之間，并且有空閑的鏈路IP提供給我們配置網(wǎng)橋IP；按照正常模式配置設備部署模式以及網(wǎng)橋IP、網(wǎng)關IP以及DNS即可； 2.客戶需求全網(wǎng)啟用IP方式認證，新建一個默認組，然后啟用新用戶認證，以IP為新用戶名，綁定IP，自動添加到默認組里面； 3.客戶要求電信網(wǎng)通兩條線路的P2P、迅雷下載等應用不超過線路帶寬的50%；啟用虛擬通道技術，新建立兩條虛擬通道，命名為電信、網(wǎng)通，并且?guī)捲O備與外網(wǎng)線路一致；并且設置和前置防火墻相同的線路選路轉發(fā)規(guī)則，針對某些IP或者端口來進行轉發(fā)，然后兩條虛擬線路分別做P2P 、迅雷下載等應用的帶寬限制策略；,配置思路分析：,4.自定一個URL組，URL為，對這個URL組和內置庫WEBMAIL設置僅允許登錄HTTP POST。另外設置單用戶每天的流量配額為3G。 5.每天的流量匯總報表可以直接在內置數(shù)據(jù)中心的報表里面自動生成即可，因為流量日志的使用空間不大，可以直接由設備保存即可，設備的磁盤空間是遠遠足夠的；,1.BM設備部署配置,1.BM設備部署配置,點擊“完成”后，設備將重啟，重啟完成后，請用設置的網(wǎng)橋IP登錄BM的控制臺進行后面的配置。,1.1 路由設置,為保證BM設備能夠與內網(wǎng)通信，則需要加到內網(wǎng)網(wǎng)段的回包路由交給核心交換機,2.認證方式配置,電信,網(wǎng)通,設置步驟： 1、建立兩條虛擬線路，帶寬設置分別對應電信和網(wǎng)通兩條線路的帶寬100M。 2、設置和前置防火墻相同的線路選路轉發(fā)規(guī)則，針對某些IP或者端口來進行轉發(fā)， 3.針對兩條虛擬線路分別做P2P 、迅雷下載等應用的總帶寬不超過外網(wǎng)帶寬的50%；,指定虛擬線路做為P2P帶寬策略的“生效線路”,3.流量控制,4. 上網(wǎng)策略,4.1 網(wǎng)頁過濾設置,4. 上網(wǎng)策略,4.2 流量配額設置,動動手,1. 部署B(yǎng)M設備于防火墻與核心交換機之間；當時之間的鏈路網(wǎng)路是一段30位掩碼的地址；設備在網(wǎng)絡模式配置的時候如何配置？ 2. 公網(wǎng)電信、網(wǎng)通兩條20M線路，分別保證兩條線路的HTTP、郵件等應用帶寬最少帶寬可占線路帶寬的50%。 3.如果設備需要支持一進兩出的網(wǎng)絡部署方式，請問BM應該如何部署？ 4.禁止訪問加密網(wǎng)站,1.BM支持哪些部署模式？ 2.某用戶購買了一臺BM設備，