华为防火墙：通过动态均分方式为每个用户平均分配带宽资源

华为防火墙：通过动态均分方式为每个用户平均分配带宽资源

本例通过每用户的动态均分方式，根据实际在线用户数量动态为每个用户平均分配带宽资源。

组网需求

如图1所示，某企业的部门A下的上网用户数量不固定，为了让在线用户公平的使用带宽，企业管理员希望利用FW提供的带宽管理功能，根据实际的在线上网用户数量，每个用户平均分配已有的带宽资源，具体需求如下：

• 部门A的下行最大带宽不超过60M。
• 根据实时的上网用户数量，对部门A的60M带宽资源进行均分，供每个用户使用。

图1 通过动态均分方式，为每个用户平均分配带宽资源

配置思路

1. 配置接口IP地址和安全区域，完成网络基本参数配置。
2. 配置基于部门A的带宽通道，整体下行最大带宽为60Mbps，每用户限流方式选择动态均分。
3. 配置基于部门A的带宽策略，并引用为部门A配置的带宽通道。

• 上行和下行，在FW的带宽策略中，均是相对于带宽策略的方向而言。有时为了语言描述的简洁，在没有提及带宽策略方向而单独出现的上行或下行描述，均对应trust到untrust、untrust到dmz方向的带宽策略。
• 假设安全区域、路由、安全策略等都已经完成配置，在此基础上，本例只介绍配置带宽管理的内容。

操作步骤

1. 配置接口IP地址和安全区域，完成网络基本参数配置。

2. 选择。

3. 单击GE0/0/3对应的，按如下参数配置。
   安全区域 trust
   IPv4
   IP地址 10.3.0.1/24

4. 单击“确定”。

5. 参考上述步骤按如下参数配置GE0/0/1接口。
   安全区域 untrust
   IPv4
   IP地址 1.1.1.1/24

6. 为部门A配置带宽通道。

7. 选择。

8. 单击“新建”，按如下参数配置。
   名称 profile_dep_a
   限流方式 分别设置上下行带宽
   整体限流
   引用方式 策略独占
   整体下行最大带宽 60Mbps
   每IP/每用户限流
   限流对象 每用户
   动态均分 启用

9. 单击“确定”。

10. 针对部门A进行带宽管理。

11. 选择。

12. 单击“新建”，按如下参数配置。
    此处假设已完成基于部门A的用户认证配置。
    名称 policy_dep_a
    源安全区域 trust
    目的安全区域 untrust
    用户 dep_a
    动作 限流
    带宽通道 profile_dep_a

13. 单击“确定”。

配置脚本

仅给出与本例相关的命令行配置脚本。

# 
sysname FW 
# 
interface GigabitEthernet0/0/1 
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
# 
interface GigabitEthernet0/0/3 
 undo shutdown
 ip address 10.3.0.1 255.255.255.0
# 
firewall zone trust 
 set priority 85 
 add interface GigabitEthernet0/0/3 
# 
firewall zone untrust 
 set priority 5 
 add interface GigabitEthernet0/0/1 
# 
traffic-policy 
 profile profile_dep_a 
 bandwidth maximum-bandwidth whole downstream 60000 
 bandwidth average per-user manual multiplier 1 minimum 1000 
 rule name policy_dep_a 
 source-zone trust 
 destination-zone untrust 
 user user-group /default/dep_a 
 action qos profile profile_dep_a 
# 以下创建用户/组的配置保存于数据库，不在配置文件体现
user-manage group /default/dep_a