hcsce防火墻虛擬化和帶寬管理技術(shù)實(shí)驗(yàn)

目目 實(shí)驗(yàn)?zāi)?組網(wǎng)需 實(shí)驗(yàn)拓?fù)? 實(shí)驗(yàn)步驟 驗(yàn)證結(jié) 2帶寬管理實(shí) 在內(nèi)控與安全的場(chǎng)景中實(shí)施帶寬管 實(shí)驗(yàn)?zāi)?組網(wǎng)需 實(shí)驗(yàn)拓?fù)? 實(shí)驗(yàn)步驟 驗(yàn)證結(jié) 通過虛擬系統(tǒng)企業(yè)部網(wǎng)絡(luò)管理策略，則會(huì)導(dǎo)致配置復(fù)雜。N作為企業(yè)網(wǎng)絡(luò)的出口網(wǎng)關(guān)，通過虛擬系統(tǒng)某中型企業(yè)A了一臺(tái)作為網(wǎng)關(guān)。由于其內(nèi)網(wǎng)員工眾多，根據(jù)權(quán)限不同劃分財(cái)經(jīng)部門Internet，研發(fā)部門只有部分員工可以 企企業(yè)內(nèi)部網(wǎng)N研發(fā)部財(cái)經(jīng)部 行政部1-1Step1VSYSA、VSYSBVSYSC，并為其分配資源。創(chuàng)建資源類r1。- um -number300[USG6000-resource-class-r1]resource-item-limituser -number300[USG6000-resource-class-r1]resource-item-limituser-group [USG6000-resource-class-r1]resource-item-limitbandwidth-ingress 和[USG6000]vsys[USG6000]vsysname[USG6000-vsys-vsysa]assigninterfaceGigabitEthernet1/0/3[USG6000]vsysnamevsysb[USG6000-vsys-vsysb]assigninterfaceGigabitEthernet1/0/4[USG6000]vsysnamevsyscStep2在根下切換至虛擬系統(tǒng)vsysa視圖[USG6000]switchvsys vsysa netweb[USG6000-vsysa-aaa]bindmanager-useradmin@@vsysarolesystem-參考上述步驟為虛擬系統(tǒng)VSYSB和VSYSC創(chuàng)建管理員“admin@@vsysb”Step3IP地址（略Step4根配置路由和相關(guān)策根系統(tǒng)管理員為內(nèi)網(wǎng)用戶Internet配置路由、安全策略和NAT策略。將根下Virtualif0接口加入Trust區(qū)域（具體步驟省略）配置根到Internet的靜態(tài)路由[USG6000]ip[USG6000]iproute-staticGigabitEthernet1/0/1配置靜態(tài)路由將VSYSA內(nèi)員工Internet的回程流量引入VSYSA[USG6000]iproute-static -instance 配置靜態(tài)路由將VSYSC內(nèi)員工Internet的回程流量引入VSYSC[USG6000]iproute-static -instance -security]rulenameNAT -nat]rulename -nat-rule-nat1]egress-interfaceGigabitEthernet1/0/1 -nat-rule-nat1]source-address16 -nat-rule-nat1]actionnateasy-Step5VSYSAIP地址、路由和安全策略。在根下切換至虛擬系統(tǒng)VSYSA視圖。[USG6000]switchvsys Virtualif1Untrust注釋：VirtualifID占用情況自動(dòng)分配。所以實(shí)際配置時(shí)，可能不是Virtualif1Virtualif的對(duì)應(yīng)關(guān)系可以在本系統(tǒng)的“接口列表”配置將VSYSA內(nèi)員工Internet的流量引入根系統(tǒng)的靜態(tài)路由[USG6000-vsysa]iproute-static 配置將VSYSA內(nèi)員工Internet的回程流量引入VSYSA的靜態(tài)路由[USG6000-vsysa]ip[USG6000-vsysa]iproute-staticGigabitEthernet1/0/3[USG6000-vsysa]ipaddress-setipaddress1typeobject 配置允許特定網(wǎng)段的員工Internet的安全策略以及所有員工Internet-security]rulename-security]rulenameStep6財(cái)經(jīng)部門和行政部門的管理員分別使用管理員賬號(hào)“admin@@vsysb和“admin@@vsysc”VSYSB、VSYSCIP地址、安全區(qū)IP財(cái)經(jīng)部門無需創(chuàng)建地址范圍，直接配置一條所有財(cái)經(jīng)部門地址Step1和使用根系統(tǒng)管理員賬號(hào)登錄設(shè)備Web界面。選擇“面板”，在“系統(tǒng)信息”面板中選擇“系統(tǒng)>虛擬系統(tǒng)>資源類”，單擊“新建”選擇“系統(tǒng)>虛擬系統(tǒng)>虛擬系統(tǒng)”，單擊“新建”選擇“接口分配”頁(yè)簽，單擊按鈕將接口GE1/0/3分配給VSYSAVSYSBVSYSCGE1/0/4VSYSB，將接口GE1/0/5分配給VSYSC。Step2選擇“系統(tǒng)>管理員>管理員”，單擊“新建”參考上述步驟為虛擬系統(tǒng)VSYSB和VSYSC創(chuàng)建管理員“admin@@vsysb”Step3根配置路由和相關(guān)策根系統(tǒng)管理員為內(nèi)網(wǎng)用戶Internet配置路由、安全策略和NAT策略選擇“網(wǎng)絡(luò)>接口”，單擊GE1/0/1接口對(duì)應(yīng)的按鈕，按如下參數(shù)為其配置Virtualif0Trust選擇“網(wǎng)絡(luò)>路由>靜態(tài)路由”，單擊“新建”單擊“新建”，按如下參數(shù)配置靜態(tài)路由。這條靜態(tài)路由的作用是將VSYSA內(nèi)員工Internet的回程流量引入VSYSA。單擊“新建”，按如下參數(shù)配置靜態(tài)路由。這條靜態(tài)路由的作用是將VSYSC內(nèi)員工Internet的回程流量引入VSYSC。選擇“策略>安全策略>安全策略列表”，單擊“新建”，按如下參數(shù)配置安全策略。這條安全策略的作用是允許內(nèi)網(wǎng)的員工Internet。虛擬系統(tǒng)管理員可以針對(duì)內(nèi)網(wǎng)員工的IP地址配置嚴(yán)格的安全策略，所以根系統(tǒng)管理員在配置策略時(shí)選擇“策略>NAT策略>源NAT>源NAT”，單擊“新建”，按如下參數(shù)配置NAT策略。Step4VSYSAIP地址、路由和安全策略。使用虛擬系統(tǒng)A管理員賬號(hào)“admin@@vsysa”登錄設(shè)備Web界面。選擇“網(wǎng)絡(luò)>接口”，單擊GE1/0/3接口對(duì)應(yīng)的按鈕，按如下參數(shù)為其配置Virtualif1Untrust注釋：VirtualifID占用情況自動(dòng)分配。所以實(shí)際配置時(shí)，可能不是Virtualif1Virtualif的對(duì)應(yīng)關(guān)系可以在本系統(tǒng)的“接口列表”選擇“網(wǎng)絡(luò)>路由>靜態(tài)路由”，單擊“新建”，按如下參數(shù)配置靜態(tài)路由。這條靜態(tài)路由的作用是將VSYSA內(nèi)員工 Internet的流量引入根系統(tǒng)。注釋：在本例中，對(duì)網(wǎng)絡(luò)拓?fù)浜吐酚膳渲眠M(jìn)行了簡(jiǎn)化。假設(shè)VSYSA只有私網(wǎng)跟Internet“目的地址/掩碼”/，即缺省所有報(bào)送往根系統(tǒng)。實(shí)際配置時(shí)，為了保證路由信息的準(zhǔn)確，應(yīng)該將“目的地址/掩碼”配置為特定的允許的Internet地址范圍。錯(cuò)誤配置路由可能導(dǎo)致VSYSA所連接的多個(gè)私網(wǎng)無法正常通信。單擊“新建”，按如下參數(shù)配置靜態(tài)路由。這條靜態(tài)路由是VSYSA選擇“對(duì)象>地址>地址”，單擊“新建”，按如下參數(shù) 選擇“策略>安全策略>安全策略列表”，單擊“新建”，按如下參數(shù)配置安全策略。這條安全策略的作用是允許特定網(wǎng)段的員工Internet。 Internet的策略這條策Step5財(cái)經(jīng)部門和行政部門的管理員分別使用管理員賬號(hào)“admin@@vsysb和“admin@@vsysc”登錄設(shè)備Web界面，為虛擬系統(tǒng)VSYSB、VSYSC配置IP地IP財(cái)經(jīng)部門無需創(chuàng)建地址范圍，直接配置一 所有財(cái)經(jīng)部門地行政部門無需創(chuàng)建地址范圍，直接配置一條允許所有行政部門地址問 的安全策略以及根系統(tǒng)NAT策略配置正確。 失敗，說明IP地址和VSYSB的從研發(fā)部門的內(nèi)網(wǎng)選擇一臺(tái)允許 Internet的主機(jī)，和一臺(tái)不允許Internet的主機(jī)，如果結(jié)果符合預(yù)期，說明IP地址和VSYSA的安全策略的在內(nèi)控與安全的場(chǎng)景中實(shí)施帶寬管通過本實(shí)驗(yàn)，介紹 作為內(nèi)控與安全設(shè)備時(shí)，如何實(shí)施帶寬管理 限制，將會(huì)影響網(wǎng)絡(luò)質(zhì)量。為此，網(wǎng)絡(luò)管理員希望利用N 限制研發(fā)部的業(yè)務(wù)流量最大過5M，研發(fā)部1和研發(fā)部2可以使用的3M限制市場(chǎng)部的業(yè)務(wù)流量最大過6M，其中每一個(gè)員工可以使用的最大帶寬過2M。能超過200。 Web服務(wù)器的并發(fā)連接數(shù)都過6000，市場(chǎng)

生產(chǎn)

文件服務(wù)

N

服務(wù)器出口網(wǎng)

2-1Step1IP地址、安全區(qū)域及安全策略（略Step2[USG6000]user-managegroup/default/research[USG6000-usergroup-/default/research]quit[USG6000]user-managegroup/default/marketing[USG6000-usergroup-/default/marketing]quit[USG6000]user-manage[USG6000]user-managegroup/default/research[USG6000-usergroup-/default/research]quit[USG6000]user-managegroup/default/marketing[USG6000-usergroup-/default/marketing]quit[USG6000]user-managegroup/default/manufacture[USG6000-usergroup-/default/manufacture]quit[USG6000]user-manageuserresearch_1[USG6000-localuser-research_1]parent-group/default/research[USG6000]user-manageuserresearch_2Step3配置路由，使均可服務(wù)器區(qū)[USG6000]iproute-static Step4-traffic]profile downstream um-bandwidthper-ip um-bandwidthper-ip um-bandwidth um-bandwidth um-bandwidth -traffic]rule -traffic]rule [USG6000--traffic]rulename_research_1parent _research_1]action -traffic]rulename parent Step

_research_2]action -traffic]profile um-bandwidthper-user -traffic]rulename _marketing]source-zone -traffic]profile-traffic]profileconnection-limitper-user -traffic]rulename rule--traffic]profilerule--traffic]profileconnection-limitper-rule-traffic]rule 0 -traffic]rulename 0 Step1IP地址、安全區(qū)域及安全策略（略Step2為三個(gè)部門分別創(chuàng)建用戶組。研發(fā)部門創(chuàng)建兩個(gè)用戶Step3配置路由，使均可服務(wù)器區(qū)Step4選擇“策略>帶寬管理>帶寬通道”。單擊“新建”單擊“確定”單擊“新建”，按如下參數(shù)配置單擊“確定”單擊“新建”，按如下參數(shù)配置單擊“確定”選擇“策略>帶寬管理>帶寬策略”。單擊“新建”單擊“確定”單擊“新建”，按如下參數(shù)配置單擊“確定”單擊“新建”，按如下參數(shù)配置單擊“確定”Step5選擇“策略>帶寬管理>帶寬通道”。單擊“確定”選擇“策略>帶寬管理>帶寬策略”。