sangfor VPN可以通过配置VPN流控来实现对VPN内部流量的详细控制。该功能支持单隧道和全部VPN流量的精细化控制，用户可以深入定制不同隧道的优先级，以满足其对不同隧道流量特性的需求。此外，该功能还支持对VPN内部流量进行应用、网站和文件类型的分类管控，使用户能够更加精细地管理VPN内部流量。用户可以更好地掌控VPN内部流量，提高网络安全性和效率。

工作流程

VPN流控的原理如图所示。

•  用户通过AF防火墙上的Sangfor VPN进行相互连接通讯。
•  在AF防火墙通过QOS对进入VPN隧道和VPN隧道发出流量进行流控。
•  支持多种限制和抢占功能，超出限制流量会被防火墙丢弃保证用户网络环境稳定性。
•  用户流量先通过VPN流控进行过滤控制，符合要求的流量转发给SFVPN处理模块进行加密整合，然后通过物理口控制进行流量过滤（想要过滤出SFVPN流量可以在应用里面选择Sangfor VPN应用）控制，然后通过物理口发包。收发包如下图所示。

配置案例

如上图所示，某企业互联网出口防火墙A-ethA提供上网功能，ethA的线路总带宽为40M，现建立两条VPN隧道（S_A、S_B），且隧道总带宽为20M，想要对不同的隧道进行带宽控制，具体需求如下：

1、隧道S_A为核心应用保证流量优先流量大概10M左右
2、隧道S_B为非核心应用无要求

配置步骤：

前提条件

•  配置VPN虚拟线路应提前在CLI（命令行）开启VPNTUN口wan属性（PS：WEB界面不支持开启）。
• sangfor VPN已经建立完成，且能够正常传输数据。

注意事项

1.  配置VPN虚拟线路应提前确认VPN转发物理口限制给VPN带宽进行配置。
2.  VPN虚拟线路默认会生成一条虚拟线路规则和一条VPN默认通道。

步骤

1.  配置虚拟线路（VPN线路）为20M,物理链路40M。

2.  配置修改虚拟线路规则。

3.  配置VPN通道,

   配置自定义vpn流控qos_vpna，引用隧道S_A，通道类型为保证通道，限制vpn带宽为20M，保证vpn带宽为10M

   配置自定义vpn流控qos_vpnb，引用隧道S_B，限制vpn带宽为20M，通道类型为限制通道，限制vpn流量最大带宽是20M

3.  

    

    

   配置自定义物理流控qos_ethA，引用线路ethA，指定应用为Sangfor vpn，通道类型为保证通道，限制vpn带宽为20M，保证vpn带宽为10M

4.测试结果：S_B流量被qos_vpnb限制为20M

S_A流量由于存在qos_vpna的保证带宽，根据保证通道与限制通道的抢占关系，保证带宽使用外的部分，也将优先供给保证通道使用，故能够正常发送接近20M的流量，S_B带宽被抢占为接近0M

ethA非vpn流量带宽被qos_ethA限制为40M

S_A流量由于存在qos_vpna对vpn线路的保证带宽和qos_ethA对物理线路的保证带宽，根据保证通道与限制通道的抢占关系，保证带宽使用外的部分，也将优先供给保证通道使用，能够正常发送接近20M的流量，达到限制条件后的剩余带宽给非保证通道使用，ethA非vpn流量被抢占为接近20M