双外线接入后AC网桥流量管理勿忘修改 前一阶段我公司网络升级为双外线接入,对应的防火墙、VPN等设备都做了相应的配置修改。请参考相关链接:
NGAF双链路策略路由配置实例
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=35712
SSLVPN实现双外线自动选路功能
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=36975
拓扑结构如图:
当初部署AC的时候为了不改变网络结构,采用的是透明网桥的部署模式。这次添加新的外网线路本以为AC是透明模式不需要改变什么,但心里总觉得少了点什么似的。于是今天打开AC配置界面浏览了一下原来的配置,看到了流量管理这一项,突然想到这地方居然忘记了修改!
如图,AC扼内网出外网的咽喉,所有内外网之间的流量都要流经AC,而AC的流量管理当初是按照单外线设置的,如今上了双线路,很显然带宽增加了,AC的流量管理应根据实际情况作相应的修改。
流量管理里面主要有两项需要配置:虚拟线路、通道配置。
首先修改虚拟线路的配置,原来是单外线100M,上下行带宽都是12.5MB/s。至于这个数字的由来就不多说了,是100除以8得到的。记得社区帖子专门有一个转换的讨论贴,大家可以去学习一下。现在变成了双百兆,带宽扩大了一倍,我想这地方应该改成两个外线带宽叠加的总和吧。于是乘以2,得到25.6MB/s。
当然,这个地方可以建立多条虚拟线路,但是所有虚拟线路的总和也必须等于所有外线带宽叠加的总和。
后面就是对通道配置中的带宽分配做相应的修改了。下面是我做的带宽分配设置。记得社区曾经组织过一次晒流量配置的活动。这部分应该是仁者见仁智者见智,不同的应用环境不同的设置需求就会有不同的数值。更重要的是这些带宽分配的数值应该根据实际的应用测试情况不断调整,最后才能得到一个比较合理的适合自己环境的配置参数。我的配置如下:
我的指导思想是:关键业务应该得到带宽的保障,例如视频会议系统、VPN等;其他普通的用户或应用应该限制一下单用户的带宽,免得出现一人下载大家都卡死的现象,我测试普通上网用户上下行200-500KB/s已经足矣,上行稍小点,下行少大点;另外我设置了一个异常用户惩罚组,这个组我把它限制为上行50K,下行100K,如果有用户流量异常,比如整天流量处于较大状态,我就会把它放到这个组里,既不让他断网,但也几乎不能上网,折磨死他!哈哈。这需要应用到相应的用户组设置才能生效。例如:
最后再提醒一下,添加了双线路,不要忘记流量管理也要做相应的修改!不妨也晒一下你单位的流量设置情况。谢谢!
| 
发表于 2017-10-31 17:26
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-10-31 17:31
技术员1级 
