流量控制模块简介

失控小歪

一. 流量控制策略的逻辑


1. 策略组与策略

流量控制策略由1个策略组或者多个策略组组成，每个策略组由N条具体策略组成。报文匹配到了策略才会被控制。流量控制模块默认没有任何策略。

2. 策略组的选项

匹配条件：内网IP和外网IP，满足条件的报文才会进入策略组去匹配策略。

调度时间：策略组生效的时间。

匹配后：停止则不继续匹配后面的策略组，继续则继续匹配后面的策略组。

3. 策略三要素

每条策略由三大要素组成：

策略序号：策略在策略组中的先后顺序，序号越小，策略越优先匹配。

策略条件：各个匹配条件之间是 “与” 的关系，报文的属性与各个条件必须全部匹配，才认为该报文匹配这条策略。也就是说报文中的信息都要满足所有条件才能匹配。

策略动作：报文匹配策略条件后，就会执行相应的动作。执行动作后如果是停止，则不会继续向下匹配策略。如果是执行动作是继续，那么会执行动作后继续向下匹配后面的策略。

二. 流量控制策略的动作

流量控制模块是基于数据包的控制模块。用户可以根据自己的需求，通过策略实现对指定条件数据包流量的统计、放行、阻断、DSCP标记、限速、优先级、镜像、转发等操作。

统计

可以对匹配策略条件的流量进行趋势统计和IP流量统计。

流量统计：https://bbs.panabit.com/forum.php?mod=viewthread&tid=23519&fromuid=264015

允许

匹配策略的数据包放行。流量控制模块默认对流量都是放行的，设置指定流量的放行策略是为了策略逻辑上能够更灵活多变。

阻断

对指定条件的数据包进行丢弃。

DSCP标记

DSCP是IP包头的一个通用字段，通常用于QoS。通过对不同流量进行不同标记，可以配合第三方设备进行QoS。

限速

两种限速方式，一种是内网单IP限速，流量控制最基本的功能。

单IP限速详解：https://bbs.panabit.com/forum.php?mod=viewthread&tid=10366&fromuid=264015

另一种是数据通道限速。数据通道是整体限速的手段，并且可以实现优先级。选择一个已经创建的数据通道。匹配策略的流量不能超过数据通道的大小。选择数据通道后，可以设置优先级，流量根据相应的优先级在数据通道内做队列。优先级也可以认为是一种执行动作。

数据通道详解：https://bbs.panabit.com/forum.php?mod=viewthread&tid=10340&fromuid=264015

Tips：关于限速的几点总结 1、限速是通过策略实现可控的数据包丢弃，防止有限的带宽资源耗尽，从而导致不可控的数据包丢弃。 2、单IP限速和数据通道限速本质上都是限速，都是丢包。只是对于丢包的阈值统计方式不一样。 3、对于P2P应用的限速，使用数据通道限制上行，比单IP限速效果要更好。 4、对上行做限速也能影响下行的流入速率。当内网用户对带宽需求过大，导致出口线路的下行流量一直跑到峰值时，可以尝试使用上行限速来压制下行流量，保证重要业务。 5、流量进入数据通道才能使用优先级，优先级是抢占数据通道带宽能力的体现，优先级的配置根据自己业务需求而定，不是必选项。需要100%保障的业务，不需要放入数据通道内。 6、动态限速是单IP限速的一种扩展，可以采用上行动态限速，下行不限速。这样能降低带宽浪费，但是对策略编能力写要求很高。

包转发
与策略路由的路由动作类似，区别在于包转发是基于数据包的，策略路由是基于会话的。选择一条已经创建的LAN或者WAN线路。匹配策略的流量从所选接口转发出去。





镜像

两种镜像方式：

端口镜像：选择一个物理接口，匹配策略的流量会被复制一份，并通过物理接口发送出去。一般配合分析设备使用。可以指定镜像会话的前N个报文，这样可以降低分析设备的压力，又能保证业务识别的准确性。

iWAN镜像：选择一条已经创建的iWAN线路，匹配策略的流量会被复制一份，并且通过iWAN线路转发到iWAN SERVER上。可以指定镜像会话的前N个报文，这样可以降低传输线路的带宽压力，又能保证业务识别的准确性。

iWAN镜像：https://bbs.panabit.com/forum.php?mod=viewthread&tid=23265&fromuid=264015

端口转发

选择一个物理接口，将匹配策略的流量直接从指定物理接口发出去。这个功能可以配合IPS这类的设备使用，将指定流量送给IPS，这样无关的流量就不会经过IPS，可以降低IPS的负载压力。