更新时间:2024-09-23
sangfor VPN可以通过配置VPN流控来实现对VPN内部流量的详细控制。该功能支持单隧道和全部VPN流量的精细化控制,用户可以深入定制不同隧道的优先级,以满足其对不同隧道流量特性的需求。此外,该功能还支持对VPN内部流量进行应用、网站和文件类型的分类管控,使用户能够更加精细地管理VPN内部流量。用户可以更好地掌控VPN内部流量,提高网络安全性和效率。
工作流程
VPN流控的原理如图所示。
- 用户通过AF防火墙上的Sangfor VPN进行相互连接通讯。
- 在AF防火墙通过QOS对进入VPN隧道和VPN隧道发出流量进行流控。
- 支持多种限制和抢占功能,超出限制流量会被防火墙丢弃保证用户网络环境稳定性。
- 用户流量先通过VPN流控进行过滤控制,符合要求的流量转发给SFVPN处理模块进行加密整合,然后通过物理口控制进行流量过滤(想要过滤出SFVPN流量可以在应用里面选择Sangfor VPN应用)控制,然后通过物理口发包。收发包如下图所示。
配置案例
如上图所示,某企业互联网出口防火墙A-ethA提供上网功能,ethA的线路总带宽为40M,现建立两条VPN隧道(S_A、S_B),且隧道总带宽为20M,想要对不同的隧道进行带宽控制,具体需求如下:
1、隧道S_A为核心应用保证流量优先流量大概10M左右
2、隧道S_B为非核心应用无要求
配置步骤:
前提条件
- 配置VPN虚拟线路应提前在CLI(命令行)开启VPNTUN口wan属性(PS:WEB界面不支持开启)。
- sangfor VPN已经建立完成,且能够正常传输数据。
注意事项
- 配置VPN虚拟线路应提前确认VPN转发物理口限制给VPN带宽进行配置。
- VPN虚拟线路默认会生成一条虚拟线路规则和一条VPN默认通道。
步骤
- 配置虚拟线路(VPN线路)为20M,物理链路40M。
- 配置修改虚拟线路规则。
- 配置VPN通道,
配置自定义vpn流控qos_vpna,引用隧道S_A,通道类型为保证通道,限制vpn带宽为20M,保证vpn带宽为10M
配置自定义vpn流控qos_vpnb,引用隧道S_B,限制vpn带宽为20M,通道类型为限制通道,限制vpn流量最大带宽是20M
-
配置自定义物理流控qos_ethA,引用线路ethA,指定应用为Sangfor vpn,通道类型为保证通道,限制vpn带宽为20M,保证vpn带宽为10M
4.测试结果:S_B流量被qos_vpnb限制为20M
S_A流量由于存在qos_vpna的保证带宽,根据保证通道与限制通道的抢占关系,保证带宽使用外的部分,也将优先供给保证通道使用,故能够正常发送接近20M的流量,S_B带宽被抢占为接近0M
ethA非vpn流量带宽被qos_ethA限制为40M
S_A流量由于存在qos_vpna对vpn线路的保证带宽和qos_ethA对物理线路的保证带宽,根据保证通道与限制通道的抢占关系,保证带宽使用外的部分,也将优先供给保证通道使用,能够正常发送接近20M的流量,达到限制条件后的剩余带宽给非保证通道使用,ethA非vpn流量被抢占为接近20M