华为Eudemon 防火墙BT限流测试方案

华为Eudemon 防火墙BT限流测试方案
华为Eudemon 防火墙BT限流测试方案
华为Eudemon 防火墙BT限流测试方案 Eudemon 防火墙包含了对BT,电骡和电驴等P2P应用的限流功能,对BT带宽支持硬件限流,P2P流带宽控制在100kbps和1Gbps之间任意配置;支持基于时间段的带宽设置,不同时间段,设置不同的BT带宽;支持用ACL进行用户控制,用ACL设定指定用户可以不做BT限制。

下面着重介绍BT的限流测试方法和组网,因为目前网上绝大部分P2P流是BT应用。

除了BT限流,比较常用的还有 IP带宽限制,IP连接数限制等功能,Eduemon防火墙上如何配置也给出了详细配置步骤。

1.BT下载原理简介BT:BT是一种用来进行文件下载的共享软件,全名叫"BitTorrent"。

BitTorrent是一个多点下载的源码公开的P2P软件,使用非常方便,就像一个浏览器插件,很适合新发布的热门下载。

其特点简单的说就是:下载的人越多,速度越快 。

P2P软件目前种类比较多,如电驴等等,但国内目前BT是应用较广泛的,绝大部分都是BT应用。

一般来讲,下载是把文件由服务器端传送到客户端,例如FTP,HTTP,PUB等等。

工作原理如下图: 但是这样就出现了一个问题,随着用户的增多,对带宽的要求也随之增多,用户过多就会造成瓶颈,而且搞不好还会把服务器挂掉,所以很多的服务器会都有用户人数的限制,下载速度的限制,这样就给用户造成了诸多的不便。

但BT就不同,用BT下载反而是用户越多,下载越快,这是为什么呢?因为BT用的是一种传销的方式来达到共享的,BT首先在上传者端把一个文件分成了Z个部分,甲在服务器随机下载了第N各部分,乙在服务器随机下载了第M个部分,这样甲的BT就会根据情况到乙的电脑上去拿乙已经下载好的M部分,乙的BT就会根据情况去到甲的电脑上去拿甲已经下载好的N部分,这样就不但减轻了服务器端得负荷,也加快了用户方(甲乙)的下载速度,效率也提高了,更同样减少了地域之间的限制。

比如说丙要连到服务器去下载的话可能才几K,但是要是到甲和乙的电脑上去拿就快得多了。

所以说用的人越多,下载的人越多,大家也就越快,BT的优越性就在这里。

而且,在你下载的同时,你也在上传(别人从你的电脑上拿那个文件的某个部分),所以说在享受别人提供的下载的同时,你也在贡献。

2.BT协议和下载方法介绍综述BitTorrent(简称BT,比特洪流)是一个文件分发协议。

它通过URL识别内容并且和网络无缝结合。

它和普通HTTP协议相比优势在于,同时下载一个文件的下载者在下载同时不断互相上传数据,使文件源可以在很有限的负载增加的情况下支持大量下载者同时下载。

一个BT式文件分发需要以下实体:一个普通网络服务器一个静态元信息文件('Metainfo' file)一个BT Tracker一个“原始”下载者('original' downloader)网络终端的浏览器网络终端的下载者这里假设理想情况下一个文件有多个网络终端的下载者。

架设一个BT服务器步骤如下:1.开始运行Tracker(已运行的跳过这一步);2.开始运行普通网络服务器程序,如Apache,已运行的跳过这一步;3.在网络服务器上将.torrent文件关联到Mime类型 application/x-bittorrent(已做过关联的跳过这一步);4.用要发布的完整文件和Tracker的URL创建一个元信息文件(.torrent文件);5.将元信息文件放置在网络服务器上;6.在网页上发布元信息文件(.torrent文件)的链接;7.原始下载者开始提供完整的文件(原本)。

通过BT下载步骤如下:1.安装BT客户端程序(已安装的跳过这一步);2.上网;3.点击一个链到.torrent文件的链接;4.选择本地存储路径,或者选定未完成的下载的续传;5.等待下载完成;6.下载者退出下载(之前下载者不停止上传)。

连通性如下:网站正常提供静态文件,并且启动客户端上的BitTorrent helper(这里说官方的客户端程序);Tracker即时接收所有下载者信息,并且给每个下载者一份随机的peer列表。

通过HTTP或HTTPS协议实现;下载者定时向Tracker登记,使之知道每个人的进度,并和那些直接连接上的peer互相进行数据的上传下载。

这些连接遵循BitTorrent peer协议,通过TCP协议进行通信。

原始下载者只上传不下载,他拥有整个文件,所以向网络中传输完文件的所有部分是很必要的。

在一些人气很旺的下载中,原始下载者经常可以在较短的时间后退出上传,因为许多下载已经完成,并且可能依然在运行(此时相当于替原始下载者接着提供上传)。

3.BT测试方案1.不在现网上测试:此时要自己搭建BT测试环境。

BT测试,至少需要两个PC, 其中一台PC2,作为BT的服务器。

同时也可以把该机器作为一个BT客户端,原始文件在这台机器上,同时它也是种子。

另外一台PC1,作为BT客户端下载,下载的同时,它也是种子。

具体BT服务架设过程,可以参见上面的BT协议介绍和下载部分,很简单,下面简单介绍一下:PC2上安装BT服务器软件 MYBT SERVER(运行安装文件mybtEx.exe,安装过程请参见里面的安装说明,好象不支持WIN98;XP下是可以的)。

然后PC2和PC1上分别安装一个BT客户端软件,如BITTORRENT 4.0,该软件安装完成后提供两个功能,一是BT下载客户端,另外一个是做种子文件的功能。

点击 MYBT SERVER的“访问本机WEB页面”按钮,可以看到WEB界面。

在在PC2上做一个.torrent的种子文件,该文件实际指明了被下载文件(假定是电影文件)在INTERNET网上的下载地址和文件在该机器上的目录位置,别的PC如果有了该种子文件,通过BT客户端软件就可以连接到该PC上,然后下载,考虑测试需要,用来被下载的文件较好选用一百多兆的大文件。

在MYBT SERVER 的WEB界面上,上载该种子文件。

然后PC2上运行BT客户端软件,选择做好的种子文件,下载电影文件,可以看到下载很快完成(因为被下载文件也在PC上,所以很快)。

同时刷新WEB界面,可以看到有一个PC在提供种子。

PC1访问PC2上的WEB 服务器(网址要指定PC2的IP和端口,缺省是6969),取下.torrent的种子文件,当然也可以直接从拷贝过去。

PC1上运行BT客户端软件,选取种子文件,下载电影文件。

正常情况下是可以下载的。

如果下载不成功,一是防火墙 安全策略配置不对,要保证PC1和PC2能正常访问,域间安全策略可以用 packet filter default permit all 配置成全通;二是种子文件做的不对,可以用Bittorrent软件在停止下载的状态下,查看种子文件相关信息,应该看到显示的被下载文件所在位置应该是PC2的IP地址;三是PC2上运行BITTORRENT软件时,在本机上电影文件还没有下载成功,此时无法给PC1机器提供有效的种子(用低版本的BITTORRENT软件有时会遇到这样的情况)。

如果PC1上下载成功,刷新WEB页面,可以看到有两个机器在提供种子,P2P的下载的特点就是,自己在下载的同时,也为别人提供种子。

从组网上讲,可以配置路由/NAT,透明等多种模式进行测试。

防火墙限流功能测试过程:1)测试不配置 BT限流时,较大能下载的速率。

PC1从PC2上(PC2是种子),用BT下载。

从BITTORRENT软件上可以看见BT下载速度,一般能达到700Kbps以上。

注意用BITTORRENT4.0版本,上面有个左右移动的拉条,是用于决定该种子机器较大对外提供的带宽,原则上设置到较大。

因此PC2上应设置较大。

如果速度上不去,可能是有误码,观察防火墙接口误码统计,一般是网口工作模式不匹配,和PC机直连的时候,常见的是设置成百兆自适应。

2)测试配置 BT限流时,能否限制到预设的BT带宽设置BT 带宽速率为200kbps. 然后停止上面的BT下载,然后再重新或者继续下载,这时候可以看到下载速率逐渐上升,当上升到200kbps左右时,就上升不上去,误差很小。

停止一下的原因: 因为BT限流,采用的是基于会话的流方式(路由器因为支持的是单包转发,所以路由器上很难支持)。

如果防火墙上设置限流前,一个已经建立了会话的正在下载的BT流,防火墙限制不了该流。

但是如果下载中断一下,再次发起下载,BT流就会被识别并被限制。

但现实网络中,BT下载流是经常断续的,和其它种子不断建立新的连接,因此网络上BT流很快就会全部受限。

当然如果想立即对所有的BT流立即见效,也可以用命令清空防火墙会话表,这时原来的BT下载会立即全部中断,新发起的BT流,立即会被识别(但不建议这样做)。

注意下面命令里写的是P2P,而不是BT,原因是该命令同时包含了BT、电骡、电驴等多种P2P应用的限流功能,不仅仅是BT。

命令1: firewall p2p-car default-permit 使能 BT限流功能。

命令2:firewall p2p-car cir cir-value<100-1000000 kbps> 配置BT带宽具体命令解释参见后面。

3) 测试修改BT带宽时,带宽设置是否生效在防火墙上修改BT缺省带宽参数,例如修改成400kbps. 这时可以看到刚才下载速度为200kbps,现在速率则渐渐上升,较后停止在400kbps左右。

如果设置成100kbps,则可以看到速率逐渐下降,很快停留在100kbps. 防火墙是采用硬件流控,流控基本不消耗防火墙性能,而且带宽控制的比较精确。

目前Eudemon防火墙可以限制BT流在100kbps- 1Gbps带宽之间任意设置。

注意这项的测试,不需要暂停一下BT客户。

这是因为该BT会话流已经被打上了BT流标记,因此后续自然会限制到设定的带宽。

4) 测试基于时间段的带宽。

从运营商角度,为了保证给用户一定BT带宽,又不影响网络其它业务,因此常常希望在不同时段,分配不同的BT带宽,在网络流量高峰期,把BT流量限制更低。

Eudemon防火墙可以配置 10个时间段,以及一个缺省的BT带宽(上面3和4项测试实际就是配置缺省的BT带宽)。

这10个时间段,从1到10优先匹配时间段的速率,如果没有时间段速率或者当前不处于任何配置的时间段,使用缺省速率。

具体当前使用的是哪个时间段的,可以用命令display p2p-car 查看。

命令:firewall p2p-car cir cir-value<100-1000000 kbps> [ cir-id time-rang]具体命令解释参见后面。

5)测试选择用户功能,对特定用户允许BT下载不受限制,哪些用户受限制。

这个功能是用ACL组来设定的,每个组下面可以设定多个ACL。

ACL组要应用在域间,这个测试里是应用在TRUST和UNTRUST之间,通过acl来控制对该域间的某些用户做BT限流,某些用户不做限流。

注意acl的优先级高于全局的缺省配置。

即这里的ACL指定的用户不受限制时,即使配置了BT限流,对这些用户的BT流也不限制。

举例:对于trust-untrust域间ip为2.2.2.2用户除外的所有用户做BT限流,10:00~10:05的带宽为 400kbps,其他时间为 200kbps 。

(这里为验证方便,时间设置的比较短)acl number 2001 定义ACL组 rule deny source 2.2.2.2 0firewall p2p-car default-permit 打开BT限流功能firewall p2p-car 200 设定缺省BT带宽firewall p2p-car 400 1 aaa 设定基于时间端的带宽time-range aaa 10:00 to 10:05 daily /*配置时间段*/firewall interzone trust untrust p2p-cr 2001 域间应用ACL组2.现网测试组网考虑: 现在城域网和校园网出口应用BT限流比较多。

特别是有的城域网出口运营商涉及网间流量结算,减少BT过高的带宽消耗,是有必要的;而学校学生更是BT应用较活跃的一层,流量消耗很大,导致很多学校网络很慢。

校园网出口,应用NAT比较普遍,而Eudemon防火墙同时又是一款非常优秀的NAT设备,NAT ALG支持非常丰富,和BT限流结合起来,非常适合这类应用。

城域网上,应用透明模式比较多,此时防火墙类似一个二层交换机(差别在于防火墙对于报文,实际会进行三层以上处理),只需要把防火墙插在现有网络中间就可以。

这是出于多种原因考虑:1.现网改造的问题:如果在路由模式下,还需要对现网进行改造,而透明模式不需要。

2.如果城域网有动态路由协议,甚至MPLS等应用,对防火墙这些特性的支撑要求也很高(Eudemon防火墙支持动态路由协议,但MPLS目前还无法支持)。

3.如果采用透明模式,互通性好。

因为对MPLS,动态路由协议报文或其它未知的特殊报文,防火墙上即使不识别这些报文类型,可以采用穿透方式,即这些不能识别的报文只工作在二层(MPLS三层报文,2005年底,Eudemon防火墙上会支持识别,也可以进行三层安全处理)。

对普通的的IP报文,则可以进行安全和BT限流等处理。

4.透明模式下,故障恢复快。

这种组网对现网改造小,对现网可能带来的影响也小。

如果万一发现有其它问题,恢复也很快,只需要把相关网线或光纤拔回就可以了。

Eudemon防火墙在透明模式下,接口也可以单独配置IP,满足远程网管和维护需要。

另外,城域网出口如果可靠性要求很高,可以配置双机热备,确保故障时可以倒换。

在透明模式和路由等模式下,都可以实现双机热备倒换。

Eudemon防火墙硬件是电信级设计的,接口卡、风扇可热拔插,支持双电源,内部有温度监控,调整风速,非常适合城域网等对设备可靠性的需求。

当然,有的城域网上出口有NAT需求,这时Eudemon防火墙也非常合适,对MSN /QQ的语音视频,H.323、RTSP等NAT ALG丰富的支持,可以充分满足城域网应用需要。

Eduemon 1000防火墙目前可以支持较多6个GE接口,吞吐量3Gbps (采用 IBM的RAINIER高端网络处理器)。

2005年底有10G 接口的T比特防火墙开发出来,满足更高性能的应用。

测试方法:现网测试方法和上面类似。

注意只有经过防火墙的BT流,才会被BT限流,因此,防火墙放置的位置要合理;为了验证效果,可以采用和上面类似的方法。

当放防火墙在城域网出口,要选用城域网外的种子进行测试。

两个方法可以观察设置BT限流前后的效果,一是观察本地客户端BT下载速率的变化,此外就是观察防火墙接口上的报文速率和带宽统计变化。

此外Eudemon防火墙,还支持基于单个IP的带宽控制,即IP CAR功能。

这个功能与BT控制结合在一起,可以有效控制单个用户占用过多带宽。

4.P2P配置命令1、 [undo] firewall p2p-car default-permit该命令在系统视图下执行,[去]使能缺省限流,执行firewall p2p-car default-permit后缺省(没有命中配置3所配置的acl时)对所有用户做p2p流量限流;执行undo firewall p2p-car default-permit后缺省对所有用户都不做p2p流量限流2、firewall p2p-car cir cir-value<100-1000000 kbps> [ cir-id time-rang]该命令在系统视图下执行,用于配置速率,可以配置一个缺省速率,和10个带时间段的速率,从1到10优先匹配时间段的速率,如果没有时间段速率或者当前不处于任何配置的时间段,使用缺省速率。

3、p2p-car acl-number该命令在域间配置,通过acl来控制对该域间的某些用户做p2p car,某些用户不做p2p car,acl的优先级高于全局的缺省配置举例:对于trust-untrust域间ip为2.2.2.2用户除外的所有用户做p2p car,7:00~8:00的带宽为500M,其他时间为100Macl number 2001 rule deny source 2.2.2.2 0firewall p2p-car default-permitfirewall p2p-car 100000firewall p2p-car 500000 1 aaatime-range aaa 7:00 to 8:00 daily /*配置时间段*/firewall interzone trust untrust p2p-car 20014、display p2p-car该命令在所有视图都可以执行,用于查看p2p-car的带宽情况,*号表示当前p2p car使用的带宽 id car-cir value time-range* 0 100000 1 500000 aaa 5. IP 带宽和连接数限制(附加)Eudemon防火墙还支持对每个IP发起的连接数数量进行限制;对每个IP允许的带宽进行设置。

防火墙可以根据连接发起方向(主动发起或被连接)和特定的连接种类的连接数目进行限制;也可以根据IP报文流的方向(入和出)以及特定的流的种类进行带宽限制。

因此可以很灵活的设置,满足各种应用的安全需求。

因为IP数量众多,对每个IP单独设置一个带宽或者连接数无必要。

目前是采用较多分配七个等级,即连接数和IP 带宽都分别可以设置七个不同的数量(等级)的限制。

A)连接数限制功能配置基本步骤:1)定义基本ACL,后面的连接数统计限制命令会关联该ACL,命中该ACL则会对这些IP发起的连接数进行限制。

命令: 略2)定义高级ACL,命中上面定义的基本ACL的IP报文,还要再关联一条高级ACL, 命中该高级ACL的连接报文,才会进行连接数限制,这主要是为拓宽应用范围,有些应用,需要对由该IP发起的特定连接,或者向该IP发起的特定连接数量进行限制(例如对邮件服务器,有时候要限制外面一个IP对其发起的连接数,否则邮件服务器可能速度很慢,这个有应用实例)。

命令: 略3)配置允许的IP连接数(可以设置7个等级)命令:firewall conn-class conn-class conn-num4)使得域IP统计。

只有使能域统计功能,连接数限制功能才可能有效。

如果对出域方向的连接数进行限制,则对OUTZONE流进行统计,反之,则配置INZONE命令:域模式下: statistic enable ip {outzone | inzone} 5)使能IP 连接数统计限制功能 ,该命令关联了步骤 1中的ACL和步骤3中的连接数等级 (对入和出方向连接数可以单独进行设置)命令:域模式下: statistics connect-number ip { tcp | udp } { inbound | outbound } conn-class acl acl-number6)指定特定的连接才作连接数限制,即关联 步骤2里面设定的高级ACL(指定方向) 。

域模式下: statistic ip-stat { inbound | outbound } acl acl-numberB) IP 带宽限制功能配置基本步骤:1)定义基本ACL,后面的IP 带宽限制命令会关联该ACL, 命中该ACL的IP的流量才可能进行带宽限制命令:略 2)定义高级ACL,命中上面定义的基本ACL的IP报文,还要再关联一条高级ACL, 命中该高级ACL的IP报文,才会进行带宽限制,这主要是为拓宽应用范围,有些应用,需要对该IP发出的特定报文作带宽限制。

命令: 略3)配置允许的IP带宽等级(可以设置7个等级)命令:firewall car-class car-class band-width (注意这里单位是bps)4)使得域IP统计。

只有使能域统计功能,带宽限制功能才可能有效。

如果对出域的方向带宽进行限制,则对OUTZONE流进行统计,反之,则配置INZONE命令:域模式下: statistic enable ip {outzone | inzone} 5)指定对哪些IP的流量进行统计,即关联 步骤1里面设定的基本ACL 和步骤3中流量等级,可以对IP的域的入方向或者出方向单独限定带宽。

命令:命令:域模式下:statistics car ip { inbound | outbound } car-class acl acl-number6)指定对IP发出的那种流量才作带宽限制,即关联 步骤2里面设定的高级ACL 。

域模式下: statistic ip-stat statistic ip-stat { inbound | outbound } acl acl-number 配置命令描述操作命令(域模式下)配置IP连接数限制statistics connect-number ip { tcp | udp } { inbound | outbound } conn-class acl acl-number (域模式下)IP动态带宽限制statistics car ip { inbound | outbound } car-class acl acl-number (域模式下)IP统计过滤statistic ip-stat { inbound | outbound } acl acl-number全局IP带宽等级配置firewall car-class car-class band-width全局IP连接数等级配置firewall conn-class conn-class conn-num配置举例: 1)IP连接数限制IP连接数/CAR限制的方向均基于安全区域设置,无论outbound/inbound,均是对该域内的IP的连接数进行限制。

对照下图(图中的outbound/inbound指的是域间的方向,但这里我们说的是安全区域本身的入/出方向),如果是在untrust区域上,使用命令[Eudemon-zone-untrust]statistic connect-number ip tcp outbound 2 acl 2000 意思是限制从该区域出来的特定源IP的会话数量。

下边的命令[Eudemon-zone-untrust]statistic connect-number ip tcp inbound 2 acl 2000 意思是限制去untrust区域的特定目的IP的会话数量。

具体到会话数量的多少,可以全局定义7个等级,每个等级可以对应不同的会话数量。

使用命令firewall conn-class conn-class conn-num置。

上面这个配置还需要使能统计等功能才能有效,可参见上面的配置步骤。

2)IP CAR限制IP CAR 带宽限制,与IP连接数限制类似,只是限制的是该IP发起的或去该IP的所有TCP/UDP会话的总带宽(ICMP报文不作CAR)。

下边的命令[Eudemon-zone-untrust]statistic car ip outbound 2 acl 2000 指定从untrust域来的特定IP发起的会话的总带宽等级为2,注意这里的总带宽,是指该IP发起的会话的双向流量之和。

比如,如果untrust域穿过防火墙访问WWW服务器,则该会话中去服务器的流量加上WWW服务器回来的流量之和,不会超过设定的带宽等级。

如果服务器是FTP,则情况复杂一些,因为服务器的Port方式下载,其FTP数据通道是由服务器发起,此时还应增加如下配置[Eudemon-zone-untrust]statistic car ip inbound 2 acl 2000 才能够限制住该用户的FTP下载流量。

注:IP CAR 中限制的流量,只包含IP包载荷,不包含二层头。

接口、网络和安全区域的关系示意图ip car配置举例:client host地址: 100.1.1.100 在防火墙的trust域server host地址:110.1.1.110 在防火墙的untrust域现在有一个由client发起去server的tcp连接,如我们要对这个流进行带宽限制,配置如下[Eudemon-zone-trust]statistic enable ip outzone打开trust域outzone方向(出方向)的ip统计使能[Eudemon] firewall car-class 1 100000ip带宽等级配置,我们用的是等级1,带宽限为100000bps[Eudemon] acl number 2000[Eudemon-acl-basic-2000] rule permit source 100.1.1.100 0sip地址为client,基本acl的作用是用来绑定ip带宽配置[Eudemon] acl number 3000[Eudemon-acl-adv-3000]rule permit tcp source 100.1.1.100 0 destination 110.1.1.1 0高级acl的作用是来指定那些流需要做car。

基本acl和高级acl缺一不可。

[Eudemon-zone-trust]st car ip outbound 1 acl 2000用基本acl来绑定ip带宽配置[Eudemon-zone-trust]st ip-stat outbound acl-number 3000用高级acl来指定要做car的流通过上面的配置可以实现,client发起的到server的tcp连接的带宽限制,双向流量和为100000bps。

注意是由client发起的去server的连接,如果是server发起去client的连接不受上面配置的限制。

总之,防火墙禁止比特洪流下载,防火墙限制比特洪流下载,防火墙监控比特洪流下载,防火墙过滤比特洪流下载,防火墙控制比特洪流下载,防火墙屏蔽比特洪流下载,防火墙阻断比特洪流下载,防火墙拦截比特洪流下载,防火墙封堵比特洪流下载,防火墙禁用比特洪流下载,禁比特洪流下载,限比特洪流下载,封比特洪流下载,禁比特洪流下载,限比特洪流下载,封比特洪流下载,比特洪流下载端口,比特洪流下载协议,比特洪流下载服务器IP,如何控制比特洪流下载,如何禁止比特洪流下载,如何限制比特洪流下载,如何封堵比特洪流下载,如何监控比特洪流下载,如何管理比特洪流下载等等这些功能,聚生上网管局域网流量控制软件可以实现!网络监控系统BT流量限制功能介绍:szdataplus.com/ProductShow104.htm 即可下载试用:szdataplus.com

未经允许不得转载: 深圳维创信息技术有限公司 » 华为Eudemon 防火墙BT限流测试方案

赞 ()
'); })();