行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.62&12.0.62
{{sendMatomoQuery("行为管理AC","流量管理概述")}}

流量管理概述

更新时间:2023-06-05

[流量管理/流控策略/带宽分配]路径下提供了流量子通道的功能,企业可以根据需求新建通道,对通道内的流量做更细致的管控。通过流量管理可以实现的主要功能有:

  1. 动态保证企业重要业务应用的带宽,确保关键业务的持续性和高效性;
  2. 限制网络应用的带宽;
  3. 可基于IP地址、用户名来控制最大的带宽;
  4. 通道内不同IP间带宽平均分配;

流量通道:在某条线路上将整个线路带宽按百分比分割为若干份,根据应用类型或者用户组来分配不同比例的带宽资源。根据流量通道的作用可以分为:带宽保证通道和带宽限制通道。

带宽限制通道:对通道的最大流速进行设置。网络繁忙时,该通道占用带宽不会超过设置的最大带宽值。

带宽保证通道:不仅设置此通道的最大带宽,而且设置最小带宽。当网络繁忙时,保证该通道的带宽不低于设置的最小带宽值。

流量子通道:必须指定某个流量一级通道才能划分流量子通道。流量子通道是对流量一级通道更细致的划分,可以对带宽做更细化的管理。

惩罚通道:[用户限额策略]配合设置,在[用户限额策略]配置单用户所能够使用的应用流量额度并调用相应的惩罚通道,当用户使用超额流量后则会触发惩罚通道的配置进行处罚,惩罚通道的带宽根据实际需求设置,用户超额后就会被限制。

线路带宽配置:用于配置公网线路的实际上、下行带宽,设备网桥模式部署时,设置前置网关公网线路的实际带宽,因为限制通道和保证通道的带宽设置都是根据线路带宽来设置百分比,需要在线路带宽配置处设置和实际相符的线路带宽值。

虚拟线路:当设备以网桥模式部署时,可以通过[虚拟线路]功能将一条物理线路虚拟成多条线路或将多条物理线路虚拟成一条线路,针对虚拟出的线路进行流量管理。

流量通道匹配规则

勾选<启用流量管理系统>后:当数据经过设备时会以数据相关的信息作为条件,匹配已设置的流量通道。匹配的条件包括:用户组/用户、IP地址、应用类型、数据经过AC的时间、目标IP组。当数据包的所有条件与某条流量通道设置的值相匹配时,则该条流量通道就会对此数据生效。

流量通道的匹配顺序是从上往下匹配,同一个数据包只会匹配到一条流量通道,所以配置时需要把条件更加细致的通道放在上面。流量子通道的匹配顺序也是从上往下匹配,当数据匹配到父通道时不会立即执行父通道的策略,而是会继续从上往下检查有无匹配子通道,直达匹配上一条子通道策略就不会再往下检查。

流量管理功能管理

进入导航菜单栏[流量管理/流控策略],如下图所示。

表19流量管理功能说明

操作

功能说明

启用流量管理系统

流量管理模块的总开关。不勾选则流量管理模块配置不生效。

高级配置

用于设置线路空闲阈值和设置是否启用线路繁忙保护功能。

编辑线路带宽属性

用于设置公网线路带宽。

带宽分配

用于设置管理保证通道、限制通道、惩罚通道。

编辑

选定一条通道,点击编辑,对该通道进行编辑修改。

删除

选定一条通道,点击删除,从列表里删除该通道。

启用/禁用

选定一条处于禁用状态的通道,点击启用使其生效;选定一条处于启用状态的通道,点击禁用使其不生效。

上移/下移/移动到

选定一条流量通道,点击上移将该通道位置上移,点击下移将该通道位置下移。点击移动到指定的位置。(与匹配规则有关)

线路筛选

当存在多条线路时,用于筛选列表显示的生效线路的通道策略。可以选择所有线路或者某条线路。

左边图标为全部展开,展开所有一级通道下的子通道;右边图标为全部收起,收起所有子通道,只显示一级通道。(用于多子通道场景)