Netscreen 防火墙流量管理原理与配置 当企业把越来越多的核心业务转移到信息系统中时,网络带宽逐渐成为企业最宝贵的资源。如何合理并充分利用有限的带宽资源(尤其是专线和 Internet 接入带宽),给网络管理人员带来了一项新的挑战。 Netscreen 防火墙流量整形机制通过ASIC 硬件实现高效的流量管理功能,可以在接口或通过策略提供灵活的流量控制能力。可为不同类型的网络应用提供最小保证带宽和最大可用带宽,并依据业务的重要性定义相应的优先处理级别,在拥塞发生时保证关键业务流量优先转发,同时不会对其余业务流量带来明显负面影响。本文对Netscreen 防火墙流量整形机制和配置方法进行较系统的介绍。 Netscreen 流量整形原理 Juniper 公司自主研发的Netscreen 流量整形方案通过硬件实现高效的流量整形功能,为关键流量提供带宽保证和高优先级响应,能够为突发流量提供平滑的整形机制,最大限度地利用网络带宽。 单一令牌桶流量整形 在网络发生拥塞情况下,令牌桶机制能够保证业务获得基本的可用带宽,避免业务流量因网络拥塞而中断,令牌桶工作原理如下图所示: 2 启用流量整形功能后,按照应用分类获得各自的令牌桶,并按照特定的速率往令牌桶中存放令牌,即:每类应用将获得指定的最小保证带宽。当桶中的令牌数量满足数据包传输要求时,数据包通过消耗相应数量令牌而得以转发,数据包完成转发后相应数量的令牌将被清除出令牌桶。当令牌桶中令牌数量不满足数据包对带宽要求时,数据包在缓存队列中处于等待状态,直到有足够的令牌供其消费。令牌桶机制有效地保证了业务所需的可靠带宽,同时容许一定的流量突发(如果令牌桶中还有剩余令牌的话),但是我们也看到令牌桶机制未能够充分利用网络带宽资源,如果持续的令牌流将令牌桶注满(如果没有数据包要转发或转发数据包数量少于单位时间内令牌注入的数量),溢出的令牌将被丢弃。 双令牌桶拥塞控制机制 为充分利用有限的带宽资源,避免溢出令牌的白白浪费,可以采用双令牌桶机制将溢出的令牌进行再利用,双令牌桶工作原理如下图所示:将流量分类,每类流量均有属于自己的令牌桶,同时提供一个公用令牌桶,分类流量令牌桶空闲时溢出的令牌将被放到公用令牌桶中,供突发流量使 3 用。 当令牌的数量满足数据包传输需求时,数据包消耗对应数量令牌后得以转发。当桶中令牌数量小于包的大小时,消耗公用令牌桶中令牌进行数据包转发(公用令牌桶中需有满足数据包转发需要的令...
