流量整形及接入控制系統(tǒng)實訓(xùn)教程

1、第二章 系統(tǒng)管理2.1 概述本章節(jié)是系統(tǒng)管理，包括DCFS設(shè)備的一些基礎(chǔ)類日常管理和操作。比如，安裝環(huán)境、默認(rèn)配置、配置電源管理、設(shè)置系統(tǒng)時間、管理員設(shè)置、修改密碼、日志查詢、軟件許可等可管理的內(nèi)容，目的是確保系統(tǒng)的正確運行以及維護調(diào)試。2.2 安裝環(huán)境DCFS流量控制網(wǎng)關(guān)產(chǎn)品是一臺標(biāo)準(zhǔn)的19英寸設(shè)備，除以下基本要求外，對安裝環(huán)境沒有其他特別的要求：溫度： 10-40相對濕度： 運行濕度：10-90%標(biāo)準(zhǔn)電壓： 220V 50Hz網(wǎng)絡(luò)接口： 10/100/1000 BaseTX/SX流量控制網(wǎng)關(guān)產(chǎn)品的客戶端管理工具是基于WEB方式的，所以客戶端不需要哦安裝特殊的軟件，只要有通用的瀏覽器軟件即可

2、。建議客戶端運行環(huán)境為：操作系統(tǒng)： WindowsNT/XP/7瀏覽器： IE5.0顯示器設(shè)置： 分辨率1024*768,小字體2.3 系統(tǒng)的缺省設(shè)置服務(wù)地址： 54管理界面URL： 54:9999/管理員名稱： admin缺省密碼： Admin123(注意A為大寫)Console口管理員：rootConsole口密碼：abc123管理員可以在一臺可以訪問到流量控制網(wǎng)關(guān)設(shè)備網(wǎng)絡(luò)地址的計算機上，打開瀏覽器在地址欄中輸入54:9999/，然后選擇“是”確認(rèn)安全警告，則進(jìn)入管理員登錄界面。管理員輸入正確的用

3、戶名和口令并提交后，則進(jìn)入WEB管理工具的主菜單，如下圖所示，從左到右，共分為五個功能區(qū)：系統(tǒng)管理、網(wǎng)絡(luò)管理、對象管理、控制策略、系統(tǒng)監(jiān)控。此時管理員即可開始對系統(tǒng)進(jìn)行操作，任何時候如果管理員連續(xù)十五分鐘沒有任何操作而且沒有退出登錄，則系統(tǒng)自動強制該管理員退出登錄狀態(tài)，管理員要想重新使用WEB管理工具，必須重新登錄。 圖2 WEB管理工具主菜單進(jìn)入系統(tǒng)后，首先顯示的是首頁的信息，首頁的信息是目前系統(tǒng)狀況的綜合報告，共包含如下幾個方面的信息：系統(tǒng)信息、硬件信息、網(wǎng)絡(luò)接口信息、應(yīng)用流量信息（目前吞吐量最高的六種應(yīng)用）、帶寬通道狀態(tài)等?？梢酝ㄟ^點擊頁面頂部的工具條快速進(jìn)入“首頁”、“保存全部配置”以

4、及“退出系統(tǒng)”的功能頁面，如下圖所示：圖4 系統(tǒng)首頁信息2.4 添加/修改管理員這部分菜單完成對系統(tǒng)管理員的管理，包括添加管理員、設(shè)置管理員屬性、刪除管理員等。2.4.1 管理員點擊該菜單進(jìn)入“管理用戶列表”頁面，如下圖所示，可以看到所有的管理員列表。圖5 管理用戶列表如果當(dāng)前登錄的管理員有足夠的權(quán)限，可以點擊鏈接“刪除”刪除管理員，也可以點擊鏈接“修改”修改管理員信息，此時進(jìn)入“修改管理員屬性”頁面，如下圖所示：圖6 修改管理用戶屬性上圖中除用戶名不可修改外，各輸入項的含義與“新增管理員”基本相同。通過選擇權(quán)限并點擊箭頭按鈕來增減管理員權(quán)限；為保證安全，修改管理員密碼時要求同時輸入當(dāng)前操作管

5、理員的密碼和要修改的管理員的新密碼。2.4.2 添加/修改管理員點擊右上方的進(jìn)入“新增管理員”鏈接，可以增加新的管理員，如下圖所示：圖7 新增管理員其中各輸入項的含義和輸入方法如下：【新增管理員名稱】輸入新增管理員名稱，合法的名稱為字母和數(shù)字的組合，注意只可以使用小寫字母?！菊堓斎胄鹿芾韱T密碼】輸入新增管理員的密碼，合法的密碼為大小寫字母和數(shù)字和其它自負(fù)的組合。請注意系統(tǒng)區(qū)分大小寫?！菊堅俅屋斎朊艽a】再次輸入新增管理員的密碼，請注意與第一次輸入的密碼保持一致?！緺顟B(tài)】新增管理員的狀態(tài)。如果選擇狀態(tài)為“非激活”，該管理員增加后不能立即使用，必須激活后才可使用。【請選擇新增管理員的權(quán)限】設(shè)置新增用

6、戶的權(quán)限。2.4 添加/修改管理員這部分菜單完成對系統(tǒng)管理員的管理，包括添加管理員、設(shè)置管理員屬性、刪除管理員等。2.41 管理員列表點擊該菜單進(jìn)入“管理用戶列表”頁面，如下圖所示，可以看到所有的管理員列表。圖5 管理用戶列表如果當(dāng)前登錄的管理員有足夠的權(quán)限，可以點擊鏈接“刪除”刪除管理員，也可以點擊鏈接“修改”修改管理員信息，此時進(jìn)入“修改管理員屬性”頁面，如下圖所示：圖6 修改管理用戶屬性上圖中除用戶名不可修改外，各輸入項的含義與“新增管理員”基本相同。通過選擇權(quán)限并點擊箭頭按鈕來增減管理員權(quán)限：為保證安全，修改管理員密碼時要求同時輸入當(dāng)前操作管理員的密碼和要修改的管理員的新密碼。2.4.

7、2 添加/修改管理員點擊右上方的進(jìn)入“新增管理員”鏈接，可以增加新的管理員，如下圖所示：圖7 新增管理員其中各輸入項的含義和輸入方法如下：【新增管理員名稱】輸入新增管理員名稱，合法的名稱為字母和數(shù)字的組合，注意只可以使用小寫字母。【請輸入新管理員密碼】輸入新增管理員的密碼，合法的密碼為大小寫字母和輸入字和其它字符的組合。請注意系統(tǒng)區(qū)分大小寫。【請再次輸入密碼】再次輸入新增管理員的密碼，請注意與第一次輸入的密碼保持一致。【狀態(tài)】新增管理員的狀態(tài)。如果選擇狀態(tài)為“非激活”，該管理員增加后不能立即使用，必須激活后才可以使用?！菊堖x擇新增管理員的權(quán)限】設(shè)置新增用戶的權(quán)限。2.5 設(shè)置系統(tǒng)時間點擊該菜單

8、，進(jìn)入“設(shè)置系統(tǒng)時間”頁面，如下圖所示，管理員可以重新設(shè)置系統(tǒng)時間。為保證安全，必須同時正確輸入管理員密碼，才能提交此操作。注意：不恰當(dāng)?shù)男薷南到y(tǒng)時間可能引起嚴(yán)重的系統(tǒng)錯誤，請謹(jǐn)慎進(jìn)行此操作。圖8 設(shè)置系統(tǒng)時間2.6 保存全部配置點擊該菜單進(jìn)入“保存設(shè)置”頁面，輸入管理員的密碼，點擊“保存設(shè)置”按鈕可以保存當(dāng)前全部設(shè)置信息，包括網(wǎng)絡(luò)設(shè)置、規(guī)則設(shè)置等。圖9 保存全部設(shè)置2.7 查詢操作日志點擊該菜單進(jìn)入“查詢操作日志”頁面，在這里可以根據(jù)管理員名稱、操作時間或者管理員的登錄地址等條件查詢管理員的操作日志，如下圖所示：圖10 查詢操作日志查詢結(jié)果如下圖所示：圖11 操作日志查詢結(jié)果2.8 更新/升

9、級系統(tǒng)設(shè)備支持完善的系統(tǒng)升級，升級共分為兩種：一種是應(yīng)用協(xié)議庫的升級；另外一種是整個系統(tǒng)Firmware的升級。2.8.1 協(xié)議庫升級廠家會定期發(fā)布協(xié)議庫升級的文件，用戶在界面點擊“瀏覽”選擇需要升級的協(xié)議庫文件即可，如下圖所示：圖12 協(xié)議庫升級協(xié)議庫升級后會自動重啟系統(tǒng)。2.8.2 系統(tǒng)升級系統(tǒng)升級是系統(tǒng)固件的升級，升級之前需慎重，升級的過程不能被打斷，否則會出現(xiàn)設(shè)備不能正常啟動的情況。系統(tǒng)的升級支持多種方式：HTTP、FTP以及TFTP，用戶需要準(zhǔn)備HTTP、FTP或者TFTP Sever，將升級的固件文件放到相應(yīng)的Sever目錄下，將URL（地址）輸入到輸入框中，輸入管理員密碼，系統(tǒng)會

10、自動升級重啟，升級的開始如果提示錯誤，可能是輸入的地址錯誤，也可能是升級包的版本或者兼容性的問題，請聯(lián)系廠商。圖13 系統(tǒng)升級2.9 配置文件管理這部分菜單完成配置文件備份和重載的功能。2.9.1 配置文件下載點擊該菜單進(jìn)入“下載配置文件”頁面，可以把保存系統(tǒng)所有配置信息的配置文件下載到本地計算機備份。下載之前必須正確輸入管理員自己的密碼，點擊“下載”按鈕后選擇“講該文件保存到磁盤”，然后指定保存到本地的目錄和文件名即可。圖14 配置文件下載2.9.2 配置文件上傳當(dāng)需要從備份的配置文件恢復(fù)系統(tǒng)時，點擊該菜單進(jìn)入“上傳配置文件”頁面，恢復(fù)配置需要重新啟動系統(tǒng)，如下圖所示：圖15 配置文件上傳2

11、.10 重啟/關(guān)閉系統(tǒng)點擊該菜單進(jìn)入重啟/關(guān)閉系統(tǒng)頁面，如下圖所示，此頁面內(nèi)有兩個選項：“關(guān)閉電源”和“重新啟動”，用戶可以選擇其中一項操作，點擊“確定”后進(jìn)入到另一個請求確認(rèn)的頁面，用戶可以選擇“取消”撤銷操作，或選擇“確認(rèn)”執(zhí)行操作。圖16 重啟/關(guān)閉系統(tǒng)2.11 恢復(fù)出廠配置該功能可以講系統(tǒng)的配置恢復(fù)到出廠狀態(tài)，出廠設(shè)置需要在系統(tǒng)重新啟動后方能生效，因此使用該功能系統(tǒng)需要重新啟動?；謴?fù)出廠設(shè)置需要輸入admin密碼方能使用。點擊該菜單進(jìn)入恢復(fù)出廠設(shè)置頁面，如下圖所示：圖17 恢復(fù)出廠設(shè)置2.12 軟件許可點擊該菜單進(jìn)入“增加/修改稀客協(xié)議”頁面，在這里可以輸入由生產(chǎn)廠商提供的許可協(xié)議，但

12、必須同時輸入管理員密碼才能提交圖18 軟件許可注意：軟件許可協(xié)議是為了保護生產(chǎn)廠商知識產(chǎn)權(quán)采取的安全措施。2.13 注銷點擊該菜單退出當(dāng)前登錄狀態(tài)，進(jìn)入初始等待登錄狀態(tài)。第三章 網(wǎng)絡(luò)管理3.1 概述本章節(jié)是網(wǎng)絡(luò)管理部分，這一張是DCFS系統(tǒng)網(wǎng)絡(luò)控制功能的主要內(nèi)容，也是管理員通過DCFS系統(tǒng)正確配置和管理網(wǎng)絡(luò)的基礎(chǔ)操作內(nèi)容。如果網(wǎng)絡(luò)設(shè)置不正確，就會造成系統(tǒng)不正常運行或起不到應(yīng)有的作用。該章的內(nèi)容主要包含網(wǎng)絡(luò)接口設(shè)置、路由設(shè)置等。3.2 網(wǎng)絡(luò)接口設(shè)置這部分菜單可以顯示設(shè)備的所有網(wǎng)絡(luò)接口狀態(tài)，并可以進(jìn)行重新設(shè)置。圖19 網(wǎng)絡(luò)接口列表在上圖中，點擊“設(shè)置”鏈接，則進(jìn)入“重新設(shè)置網(wǎng)絡(luò)接口參數(shù)”頁面，如下

13、圖所示，可以重新設(shè)置網(wǎng)絡(luò)接口支持的介質(zhì)類型、IP地址和掩碼。此處合法的IP地址和掩碼均為十進(jìn)制點分格式。重新設(shè)置并確認(rèn)后，配置立即生效，但配置結(jié)果并沒有保存，如果機器重新啟動，此次配置結(jié)果丟失，恢復(fù)到配置前的狀態(tài)。圖20 重新設(shè)置網(wǎng)絡(luò)接口參數(shù)【介質(zhì)類型】顯示網(wǎng)卡目前支持的介質(zhì)類型，用戶可以根據(jù)實際的情況選擇網(wǎng)卡的類型。默認(rèn)為自適應(yīng)?！揪W(wǎng)橋】用戶可以設(shè)置該網(wǎng)絡(luò)接口所在的網(wǎng)橋，同一網(wǎng)橋上的網(wǎng)絡(luò)接口可以自由通信。用戶可以將不同的網(wǎng)卡設(shè)置為同一個網(wǎng)橋組，系統(tǒng)默認(rèn)支持8組網(wǎng)橋，一般配置的時候選擇標(biāo)號為5以上的網(wǎng)橋，5以下的網(wǎng)橋一般用作調(diào)試?！揪W(wǎng)絡(luò)區(qū)域】見3.6節(jié)3.3 路由設(shè)置這一部分菜單顯示流量控制網(wǎng)

14、關(guān)當(dāng)前的路由表，并可進(jìn)行修改。圖21 路由參數(shù)設(shè)置用戶可以添加/編輯/刪除系統(tǒng)的路由表。一般需要添加默認(rèn)網(wǎng)關(guān)的地址，如下圖所示：3.4 VLAN設(shè)置這一部分菜單顯示流量控制網(wǎng)關(guān)當(dāng)前的VLAN設(shè)置表，并可以進(jìn)行修改。點擊該菜單進(jìn)入“VLAN接口列表”頁面，顯示當(dāng)前的VLAN設(shè)置情況。圖23 VLAN列表點擊每個VLAN的鏈接“設(shè)置”頁面，可以對VLAN進(jìn)行重新設(shè)置，如下圖所示：圖24 VLAN設(shè)置3.5 編輯接口名稱接口名稱列表實際上就是設(shè)備物理接口名稱和用戶定義名稱的映射表。用戶可以根據(jù)自己的網(wǎng)絡(luò)拓?fù)浜拖埠枚x不同的網(wǎng)絡(luò)物理接口的名稱（支持中文），使得接口容易辨認(rèn)和區(qū)分。3.6 網(wǎng)絡(luò)區(qū)域設(shè)置流

15、量控制網(wǎng)關(guān)默認(rèn)內(nèi)置了三個網(wǎng)絡(luò)區(qū)域：內(nèi)網(wǎng)、外網(wǎng)、服務(wù)區(qū)，內(nèi)網(wǎng)一般指用戶的內(nèi)部網(wǎng)絡(luò)，外網(wǎng)指用戶想外訪問的網(wǎng)絡(luò)區(qū)域，服務(wù)器一般指鏈接服務(wù)器的區(qū)域，如日志服務(wù)器、管理終端等等。圖25 網(wǎng)絡(luò)區(qū)域設(shè)置網(wǎng)絡(luò)區(qū)域共有五個屬性，分別是：會話保持、應(yīng)用分析、主機統(tǒng)計、會話限制、監(jiān)控模式。會話保持是其他幾項屬性的基礎(chǔ)，一般是必選項；應(yīng)用分析是帶寬分析的基礎(chǔ)，一般設(shè)置在內(nèi)網(wǎng)和外網(wǎng)區(qū)域中；主機統(tǒng)計是對內(nèi)網(wǎng)主機速度、流量的實時統(tǒng)計，所以也一般選擇在內(nèi)網(wǎng)區(qū)域；會話限制和主機統(tǒng)計類似，一般附加在內(nèi)網(wǎng)區(qū)域；監(jiān)控模式是為了兼容性考慮，將設(shè)備進(jìn)行旁路接入的時候選擇，此時，設(shè)備只作監(jiān)控而不做轉(zhuǎn)發(fā)。3.7 Mac地址管理3.7.1 M

16、ac地址列表這個功能主要是顯示當(dāng)前經(jīng)過設(shè)備的主機的Mac地址的列表，如下圖所示：圖26 Mac地址列表如果設(shè)備架設(shè)在網(wǎng)絡(luò)出口處，主機如果經(jīng)過了路由器或者三層交換，Mac地址不會在此列表中顯示。3.7.2 新增Mac映射此項功能為Mac地址的綁定，將Mac地址與IP地址綁定，防止Mac地址盜用，如下圖所示：圖27 Mac地址綁定3.7.3 搜索Mac地址輸入IP地址，查看IP地址經(jīng)過設(shè)備使用的Mac地址。3.7.4 保存地址列表保存Mac地址綁定的列表。第四章 對象管理4.1 概述本章節(jié)是對象管理部分，DCFS系統(tǒng)在進(jìn)行網(wǎng)絡(luò)流量控制管理的時候是通過復(fù)雜的控制策略定義實現(xiàn)的，然而策略是由諸多策略對

17、象組合而成的，本章節(jié)著重介紹的是設(shè)置規(guī)則所需要的對象設(shè)置，包括應(yīng)用對象管理、時間對象管理、服務(wù)對象、地址對象管理的內(nèi)容。4.2 應(yīng)用對象管理點擊該菜單進(jìn)入“應(yīng)用對象管理”頁面，可以看到系統(tǒng)當(dāng)前激活的應(yīng)用列表，如下圖所示：圖28 應(yīng)用對象列表通過標(biāo)題欄的“名稱”和“流量”，管理員可以根據(jù)應(yīng)用的名稱和應(yīng)用的流量對應(yīng)用進(jìn)行升序或者降序排列。為了方便管理員在添加訪問策略或者管理帶寬過程中快速選擇帶寬對象，系統(tǒng)將所有的應(yīng)用種類分為了激活和非激活兩類，在訪問策略或者管理帶寬過程中只列出被設(shè)定為激活的應(yīng)用對象。通過點擊新增應(yīng)用對象按鈕，管理員可以新增一個或多個應(yīng)用對象，如下圖所示：圖29 新增應(yīng)用對象【應(yīng)用

18、名稱】對新的應(yīng)用協(xié)議使用的名稱；【應(yīng)用協(xié)議】包括TCP、UDP等等三層協(xié)議；【應(yīng)用端口】新增協(xié)議使用的固定端口；【快速識別】使用快速識別能夠迅速將符合此端口協(xié)議特征的數(shù)據(jù)分類。新增應(yīng)用對象是對于應(yīng)用對象列表中沒有出現(xiàn)的協(xié)議的補充，例如，對于出現(xiàn)的新的游戲，對象列表中不能識別，可以通過添加新的應(yīng)用對象來實現(xiàn)，新增的應(yīng)用對象會出現(xiàn)在整個應(yīng)用對象列表中，我們可以在帶寬分配策略中進(jìn)行引用。圖30 新增的應(yīng)用對象在列表中顯示通過點擊激活應(yīng)用對象按鈕，管理員可以激活一個或多個應(yīng)用對象，點擊圖標(biāo)或者在選擇一個或則多個對象后點擊“批量刪除”按鈕，管理員可以將選定的對象置為非激活狀態(tài)。激活應(yīng)用對象的對話框如下圖

19、所示：圖31 激活應(yīng)用對象通過點擊可疑應(yīng)用列表按鈕，用戶可以定義可疑的應(yīng)用，如目標(biāo)端口為135、139端口的TCP連接可以定義為可疑應(yīng)用，可疑應(yīng)用的定義與“參數(shù)設(shè)置”中的“告警設(shè)置”配合使用。通過定義可疑應(yīng)用會話等閥值，用戶可以在日志服務(wù)器上得到可疑主機列表等信息。通過點擊清空統(tǒng)計流量按鈕，用戶可以清空“應(yīng)用對象管理”列表中的累計協(xié)議流量，進(jìn)行重新計數(shù)。4.3 應(yīng)用分組管理應(yīng)用分組管理是將所有的應(yīng)用列表手工定義為不同的分組，這樣可以在策略定義中方便的引用，用戶可以同時定義不同的分組，如下圖所示：圖32 定義應(yīng)用分組4.4 HTTP對象管理點擊該菜單進(jìn)入“HTTP對象管理”頁面，可以看到系統(tǒng)當(dāng)前

20、激活的HTTP對象列表，如下圖所示：圖33 HTTP對象列表4.3.1 增加HTTP對象元素HTTP對象共分為五類元素：HTTP下載尺寸、URL元素、MIME元素、站點元素以及瀏覽器元素，管理員可以根據(jù)自己的具體需求指定元素，也可以將任意元素組合成一個HTTP對象使用。點擊右上角鏈接“HTTP元素管理”，進(jìn)行元素管理，如下圖所示：圖34 HTTP元素管理URL元素管理URL元素指的是HTTP協(xié)議的URL部分，通俗的說，是在瀏覽器地址欄顯示的鏈接就是一個URL對象，點擊“新增URL元素”，如下圖所示：圖35 新增URL元素可以使用“*”以及“？”來實現(xiàn)URL的匹配，如上圖表示所有MP3下載的UR

21、L，其中“*”表示對多個字符的任意匹配，“？”表示對單個字符的匹配。MIME元素管理MIME元素指的是HTTP協(xié)議的MIME頭，一般是指文件的類型，如“text/html”指的是一般的HTML網(wǎng)頁，“application/zip”指的是zip類型的文件，“application/x-msn-messenger”指的是微軟的MSN Messenger軟件“audio/mpeg”指的是跟mp2,mp3等相關(guān)的音頻文件，點擊“新增MIME元素”，如下圖所示：圖36 新增MIME元素如上圖所示，MIME元素的定義也支持“*”以及“？”的匹配。站點元素管理也可以稱為主機元素管理，指的是HTTP協(xié)議頭的

22、主機/站點域，如訪問新浪的網(wǎng)頁，主機域一般是，管理員可以通過設(shè)置站點元素來限制一些非法站點的訪問，如設(shè)置“*”即限制對站點的訪問，這種限制必須配合策略才能實現(xiàn)。圖37 新增站點元素瀏覽器元素管理指的是HTTP協(xié)議頭“User-Agent”域的定義，也就是用戶端的瀏覽器類型。利用定義的元素組合HTTP對象如上文所述，HTTP對象包含五類元素，管理員可以根據(jù)自己的需求來組合選擇，點擊右上角鏈接“新增HTTP應(yīng)用”，如下圖所示：圖38 新增HTTP對象1圖39 新增HTTP對象2如上圖所示，定義策略限制mp3下載尺寸，首先在“常規(guī)”頁面定義尺寸的限制，上例定義的是4096K，即4M，在“URL”頁面

23、里選擇MP3的URL對象，上兩項組合即定義了URL后綴名為mp3并且下載尺寸大于4M的mp3下載，和帶寬策略配合使用，管理員可以給這類HTTP對象分配一個帶寬通道，也可以直接阻斷。4.3.2 使用HTTP對象管理員定義好HTTP對象后，必須和一定的策略相關(guān)聯(lián)才能實現(xiàn)限制或者過濾的目的，HTTP定義完成后，可以將其看作是系統(tǒng)中普通的應(yīng)用對象來使用，管理員甚至可以在“應(yīng)用對象管理”中看到HTTP應(yīng)用的實時流量，如下圖所示：圖40 HTTP對象在應(yīng)用對象管理中的實時流量因此，管理員可以將其看作是普通的應(yīng)用對象來使用。例如，在“控制策略”->“應(yīng)用訪問控制”中可以實現(xiàn)HTTP對象的阻斷，即禁止使

24、用，例如管理員可以定義一些站點禁止用戶訪問。在“控制策略”->“帶寬分配策略”中可以限制某種HTTP應(yīng)用的帶寬，例如管理員可以定義MIME類型和下載尺寸的HTTP對象，通過分配帶寬來限制mp3、電影等應(yīng)用的下載速率。4.4 地址對象管理這一部分菜單實現(xiàn)對地址對象的管理。地址對象可以方便的設(shè)定單一的地址或一個網(wǎng)段。點擊菜單“地址對象管理”，首先進(jìn)入地址對象列表顯示頁面，如下圖所示：圖41 地址對象列表用戶可以通過該頁面進(jìn)行一下操作：【新增地址對象】增加一個新的地址對象。【保存地址對象】保存地址對象設(shè)置。地址對象的添加、修改和刪除操作在成功后會立即生效，但如果不點擊“保存地址對象”保存操作結(jié)

25、果，一旦機器重慶操作結(jié)果將丟失?！拘薷摹啃薷闹付ǖ牡刂穼ο??！緞h除】刪除指定的地址對象。地址對象的修改操作與新增操作類似，以下我們將以【新增地址對象】為例介紹如何設(shè)置地址對象。點擊鏈接“新增地址對象”，進(jìn)入“新增地址對象”頁面，如下圖所示：圖42 新增地址對象其中，【名稱】指該地址對象的名字；【類型】需要用戶選擇該地址對象是一個地址還是一個網(wǎng)段；【地址】用戶輸入主機地址或者網(wǎng)段地址；【掩碼】如果用戶選擇的類型是網(wǎng)段，則需要輸入該網(wǎng)段的掩碼。4.5 服務(wù)對象管理服務(wù)對象是針對四層協(xié)議設(shè)計的，可以對TCP、UDP、ICMP等多種協(xié)議的基本會話屬性進(jìn)行管理。可以管理的屬性有：TCP、UDP的源端口和

26、范圍和目標(biāo)端口范圍，ICMP協(xié)議的代碼，其他協(xié)議的代碼。服務(wù)對象包括兩類：系統(tǒng)服務(wù)對象和自定義服務(wù)對象。系統(tǒng)服務(wù)對象提供了一些常用的服務(wù)定義。用戶自己定義的服務(wù)對象被稱為自定義對象。服務(wù)對象的識別順序在應(yīng)用對象之前。點擊子菜單“服務(wù)對象管理”，首先進(jìn)入自定義服務(wù)對象列表顯示頁面，如下圖所示：圖43 服務(wù)對象管理用戶可以通過該界面進(jìn)行一下操作：【新增服務(wù)對象】增加一個新的服務(wù)對象?！鞠到y(tǒng)服務(wù)對象】系統(tǒng)服務(wù)對象列表。【保存服務(wù)對象】保存服務(wù)對象設(shè)置。服務(wù)對象的添加、修改和刪除操作在成功后會立即生效，但如果不點擊“保存服務(wù)對象”保存操作結(jié)果，一旦機器重啟操作結(jié)果將丟失?！拘薷摹啃薷闹付ǖ姆?wù)對象?！?/p>

27、刪除】刪除指定的服務(wù)對象。服務(wù)對象的修改操作與新增操作類似，以下我們將以【新增服務(wù)對象】為例介紹如何添加或修改一個服務(wù)對象。點擊鏈接“新增服務(wù)對象”，將出現(xiàn)一個新增服務(wù)對象表格，如下圖所示：表格主要有兩類數(shù)據(jù)組成：【服務(wù)民稱】定義該服務(wù)對象的名稱?！緟f(xié)議定義】設(shè)定沒想服務(wù)的協(xié)議、代碼、來源和結(jié)束等屬性。其中【協(xié)議定義】定義了服務(wù)對象中每項服務(wù)的屬性，目前可以支持的協(xié)議類型有：【TCP/UDP】定義TCP/UDP服務(wù)，如上圖中第一行所示：來源起始：0，來源結(jié)束65535，目標(biāo)起始：80，目標(biāo)結(jié)束：80，表示所有訪問80端口的服務(wù)。如果起始和結(jié)束是0和65535則表示所有的端口?！綯CP】設(shè)置方式

28、與【TCP/UDP】相同?！綰DP】設(shè)置方式與【TCP/UDP】相同?！綢CMP】可以設(shè)定ICMP類型，例如：類型8表示PING，沒有填寫表示所有類型?！咀远x】可以自己設(shè)置應(yīng)用層協(xié)議代碼，例如：代碼115表示L2TP協(xié)議。4.6 時間對象管理這一部分菜單實現(xiàn)對時間組的管理。時間對象是一組時間的集合，目的是使規(guī)則能夠在指定的時間內(nèi)運行。點擊子菜單“時間對象管理”，首先進(jìn)入時間對象列表顯示頁面，如下圖所示：圖45 時間對象列表用戶可以通過該頁面進(jìn)行以下操作：【新增時間組】增加一個新的時間組?！颈４鏁r間分組】保存時間分組設(shè)置。時間分組的添加、修改和刪除操作在成功后會立即生效，但如果不點擊“保存時間

29、分組”保存操作結(jié)果，一旦機器重啟操作結(jié)果將丟失。【顯示/修改】顯示并可修改指定的時間分組?！咎砑訒r間段】在指定的時間分組內(nèi)增加新的時間段。【刪除】刪除指定的時間分組。時間組的修改操作、添加時間段操作與新增操作類似，以下我們將以【新增時間分組】為例介紹如何設(shè)置時間分組。點擊鏈接“新增時間分組”，進(jìn)入“創(chuàng)建新的時間組”頁面，如下圖所示：圖46 創(chuàng)建新的時間組其中，時間組的名稱可以是大小寫英文字母、數(shù)字、中文字符的組合，但重點不能包含空格，長度最長為8位。注意時間組的名字區(qū)分大小寫字母，大小寫不同為不同的時間組。輸入時間組的名稱后點擊“提交”按鈕進(jìn)入“創(chuàng)建新的時間段”頁面，可以給這個時間組添加時間段

30、，一個時間組可以添加多個時間段，如下圖所示：圖47 創(chuàng)建新的時間段該頁面自上而下分為三部分：【星期選擇】可以選擇一個或多個星期；【時間輸入】可以輸入起始時間和結(jié)束時間限定一個時間段，時間輸入格式比較自由，但起始時間和結(jié)束時間的格式必須一致。如上圖所示，第一部分與第二部分之間是“與”的關(guān)系，即只有同時滿足第一部分和第二部分條件限制的時間才為有效時間。第一部分與第二部分可以只輸入一部分?！疽?guī)則生效范圍】可以從兩個選項中選擇一項：“在此時間之內(nèi)”和“在此時間之外”。實際上，只有當(dāng)一個時間組包含兩個以上的時間段時，“在此時間之外”選項才有意義。如果表示每月1日到10日，但星期一除外的時間組可以包括兩個

31、時間段，一個時間段為每月1日到10日“在此時間段之內(nèi)”，另一個時間段為每個星期一“在此時間段之外”。一個時間段內(nèi)，星期與起始/結(jié)束時間的關(guān)系是與的關(guān)系。一個時間組的多個時間段之間是或的關(guān)系，即當(dāng)前時間只需滿足某個時間段條件則匹配該時間組對象。4.7 地址組對象管理地址組是地址段的集合，一條過濾規(guī)則可以通過地址組對象應(yīng)用于多組地址。點擊子菜單“地址組管理”，首先進(jìn)入地址組列表顯示頁面，如下圖所示：圖48 地址組列表可以看到所有的地址組，每一個地址組記錄中都有兩個鏈接：【顯示/修改】查看該地址組的全部地址信息，并可以對地址組包含的抵制和地址組名稱進(jìn)行修改?！緞h除】刪除指定的地址組在列表頁面上方，有

32、兩個功能鏈接：【新增地址組】新增一個地址組?！颈４娴刂方M】保存地址組的設(shè)置。4.7.1 新增地址組（1）點擊鏈接“新增地址組”，可以增加一個新的地址組，如下所示：圖49 創(chuàng)建新的地址組其中，地址組的名稱可以是大小寫英文字母、數(shù)字、中文字符的組合，但中間不能包含空格，長度最長為30位。注意地址組的名字區(qū)分大小寫字母，大小寫不同為不同的地址組。（2）輸入地址組名稱后點擊“提交”進(jìn)入地址組“顯示/修改”頁面，如下圖所示：圖50 添加地址組該頁面提供了三項功能：【重命名】修改地址組的名稱。【新增】在地址組中新增地址段?！拘薷摹刻峁┡枯斎?更改地址組中的地址段定義，修改將覆蓋原有的地址段。新增和修改的

33、輸入格式大致相同，區(qū)別是新增只能輸入一條地址記錄，而修改能輸入多條，以下我們以修改地址組為例，如下圖所示：圖51 修改地址組點擊【修改】選項后，地址組的內(nèi)容將顯示在輸入框內(nèi)，可以直接進(jìn)行批量修改，用戶可以通過格式選擇框選擇輸入格式，可供選擇的輸入格式有：【起始地址/結(jié)束地址】一段地址范圍，比如：-00【地址/掩碼】地址/掩碼，比如：/【地址/反掩碼】地址/反掩碼，比如：/55【起始地址/數(shù)量】起始地址/數(shù)量，比如：/256表示192.168.1.

34、0-55總共256個地址。4.7.2 顯示/修改地址組點擊鏈接“顯示/修改”地址組，可以進(jìn)入地址組顯示和修改的頁面，如下圖所示：圖52 顯示/修改地址組在該頁面中，用戶可以查看地址組中包含的地址段，并可以新增、刪除、或批量修改地址組內(nèi)的地址段。地址組顯示和修改的方式與前一節(jié)“新增地址組”中第（2）部分的描述基本相同。4.7.3 刪除地址組點擊該鏈接可以刪除指定的地址組。4.7.4 保存地址組點擊該鏈接可以保存本次地址組操作結(jié)果到配置文件中，地址組的添加、修改和刪除操作在成功后會立即生效，但如果不點擊“保存地址組”保存操作結(jié)果，一旦機器重啟操作結(jié)果將丟失。第五章 控制策略5

35、.1 概述本章節(jié)是DCFS系統(tǒng)的規(guī)則管理部分。規(guī)則管理是網(wǎng)絡(luò)用戶接入控制的關(guān)鍵技術(shù)，規(guī)則使用的正確與否，決定了系統(tǒng)是否能按照用戶要求正常運行，所以管理員在操作使用前一定要詳細(xì)閱讀這張的內(nèi)容。該章的內(nèi)容包括參數(shù)設(shè)置、應(yīng)用訪問控制和帶寬策略分配等。5.2 參數(shù)設(shè)置點擊該菜單進(jìn)入“參數(shù)設(shè)置”頁面，如下圖所示，共三個頁面，可以對系統(tǒng)處理TCP/IP協(xié)議的一些重要參數(shù)進(jìn)行設(shè)置。圖53 會話限制會話限制系統(tǒng)會話限制：【最大并發(fā)會話數(shù)】指系統(tǒng)處理的最大會話數(shù)，超過此會話數(shù)系統(tǒng)將不在做協(xié)議分析和流量控制，這個數(shù)值跟型號和內(nèi)存密切相關(guān)，建議使用默認(rèn)值?！拘陆〞挶Ｗo】指對受到類似于SYN FLOODING攻擊時

36、的處理，當(dāng)受到攻擊時，處于保護默認(rèn)將限制“新建會話速率”，即新建會話數(shù)量?！局鳈C會話限制】對于會話表中每個主機會話的限制?！咀畲髸捪拗啤棵總€主機最大的會話限制；【會話速率限制】指單個地址允許的最大會話建立速率，單位為個/秒。點擊“確認(rèn)”提交當(dāng)前的輸入結(jié)果，點擊“重置”頁面內(nèi)的數(shù)據(jù)恢復(fù)到修改前的狀態(tài)，但并沒有提交，必須點擊“確認(rèn)”按鈕提交。圖54 會話超時會話超時“會話超時”頁面內(nèi)各輸入項的含義如下：【TCP保持時間】系統(tǒng)處理TCP協(xié)議的超時時間。包括四項：“新建會話”指新建會話的處理時間；“連接關(guān)閉”指TCP連接關(guān)閉時握手信號的的超時時間；“空閑超時”指TCP連接五數(shù)據(jù)傳輸關(guān)閉的超時時間；“

37、其他狀態(tài)”指除以上兩種情況外的其他超時時間?！綢CMP保持時間】系統(tǒng)處理ICMP協(xié)議的缺省超時時間?！酒渌麜挶３謺r間】系統(tǒng)處理其他協(xié)議（除ICMP、TCP以外）的超時時間。圖55 告警設(shè)置告警設(shè)置【啟用告警】設(shè)置是否啟用告警；【告警間隔】告警的間隔時間，即寫入日志服務(wù)器的時間間隔；【可疑會話】可疑會話的域值，即每5分鐘的會話數(shù)超過某個域值即為可疑會話告警；【半開鏈接】半開鏈接的域值，即每5分鐘的半開鏈接數(shù)超過某個域值即為半開鏈接超出告警；圖56 其他參數(shù)其他參數(shù)【并發(fā)主機數(shù)目】系統(tǒng)主機統(tǒng)計處理的最大主機數(shù)；【識別主機欺騙】為了得到精確內(nèi)網(wǎng)主機實時統(tǒng)計，防止偽造內(nèi)網(wǎng)源地址的主機欺騙；【攔截Fl

38、ooding病毒流量】攔截具有明顯病毒Flooding特征的流量；【攔截非正常單向流量】攔截數(shù)據(jù)報特征未知的單項流量；【攔截IP分片（Fragment）數(shù)據(jù)流量】攔截Fragment流量；【行為分析】不僅僅根據(jù)數(shù)據(jù)報的特征分析，還能根據(jù)終端數(shù)據(jù)傳輸?shù)男袨樘卣鱽矸治?，主要?yīng)用于P2P以及流媒體協(xié)議；【記錄主機日志】記錄所有內(nèi)網(wǎng)主機的通信流量；【通過路由旁路阻斷】通過旁路的方式阻斷TCP的P2P鏈接；【MSS自動修復(fù)】自動撥號時的MSS值自動修復(fù)；【HTTP協(xié)議深度識別】支持4.3節(jié)的HTTP對象深度識別功能?！酒渌麉f(xié)議深度識別】對于其他諸如加密等協(xié)議的深度識別，是協(xié)議特征識別的補充；【通過路由旁

39、路阻斷】只適合于旁路模式進(jìn)行協(xié)議流量控制。5.3 預(yù)置安全規(guī)則當(dāng)系統(tǒng)受到攻擊或者是系統(tǒng)連接的某些線路出現(xiàn)問題時，用戶可能會需要暫時禁止某些來源IP和端口的訪問，也可能因為某些安全原因，系統(tǒng)需要禁止目標(biāo)IP和端口的訪問，此時需要預(yù)置安全規(guī)則來做簡單的安全策略。打開“預(yù)置安全策略”，如下圖所示：圖57 預(yù)置安全策略規(guī)則表內(nèi)各條規(guī)則在規(guī)則列表中的前后順序可以調(diào)整。過濾規(guī)則列表中每條規(guī)則的“位置”項都有鏈接或或二者都有。點擊則該條規(guī)則向前移動一個位置，點擊規(guī)則向后移動一個位置。規(guī)則的檢查順序：數(shù)據(jù)在依照規(guī)則檢查時的順序是自上至下依次檢查，如果它的操作為“調(diào)用”則跳轉(zhuǎn)到被調(diào)用的規(guī)則組內(nèi)繼續(xù)按順序檢查，如

40、果用戶想禁止某個IP，最好將其放到列表的最前面優(yōu)先執(zhí)行。規(guī)則列表中還向用戶提供了改變所列規(guī)則運行狀態(tài)的功能，課改變的規(guī)則狀態(tài)有三種操作：“使規(guī)則生效”、“使跪著失效”、“刪除規(guī)則”。具體操作方法如下：在規(guī)則列表第一列選中要進(jìn)行操作的規(guī)則，在規(guī)則列表下方選擇要進(jìn)行操作的類型，點擊相應(yīng)的按鈕即可。用戶還可以通過規(guī)則列表中的編輯功能鏈接對每條規(guī)則進(jìn)行修改。規(guī)則修改與新增規(guī)則的界面與操作方法基本相同，如下圖所示：該窗口內(nèi)包含六個頁面?！俺Ｒ?guī)”頁面用于設(shè)定該規(guī)則的基本屬性?！皝碓础?、“目標(biāo)”、“服務(wù)”頁面分別用來指定該規(guī)則適用的地址范圍和服務(wù)類型?！皶挕表撁嬖O(shè)定該規(guī)則如何對會話進(jìn)行控制?！案呒墶表撁嬖O(shè)

41、置該規(guī)則的高級屬性?！俺Ｒ?guī)”頁面內(nèi)各輸入項的含義如下：【名稱】用戶自己指定的用于識別不同規(guī)則的名稱?！静僮鳌繑?shù)據(jù)包匹配該規(guī)則后對其所作的操作。可供選擇的選項有：放行：讓數(shù)據(jù)通過，在“會話保持”方式下，如果一條書記連接匹配并執(zhí)行該規(guī)則，系統(tǒng)會自動記憶該連接及其狀態(tài)，并對該連接流入和流出的數(shù)據(jù)保持放行狀態(tài)。攔截：不讓數(shù)據(jù)通過，用戶可以選擇“攔截返回類型”，可提供選擇的返回類型有：針對TCP鏈接的RST（即拒絕連接），通用的網(wǎng)關(guān)型ICMP（以網(wǎng)關(guān)的身份向連接的發(fā)起方發(fā)送目的不可到達(dá)信息）和主機型ICMP（以主機的身份向連接的發(fā)起方發(fā)送目的不可達(dá)信息）調(diào)用：執(zhí)行其他規(guī)則分組，匹配該規(guī)則的數(shù)據(jù)將跳轉(zhuǎn)到被

42、調(diào)用的規(guī)則組內(nèi)繼續(xù)進(jìn)行規(guī)則匹配檢查，檢查完畢后，如果沒有停止標(biāo)志則返回到調(diào)用規(guī)則的下一條繼續(xù)檢查。轉(zhuǎn)發(fā)：將數(shù)據(jù)轉(zhuǎn)發(fā)或者復(fù)制到其他節(jié)點，必須選擇轉(zhuǎn)發(fā)到系統(tǒng)的那個網(wǎng)絡(luò)接口，轉(zhuǎn)發(fā)到那個IP為可選項。【接口】匹配本規(guī)則的網(wǎng)絡(luò)接口，包括來源接口與目標(biāo)接口?！啊弊髠?cè)為來源接口，右側(cè)為目標(biāo)接口。缺省可以選擇所有接口，但選擇正確的接口可以提高系統(tǒng)的規(guī)則檢查速度。【時間】規(guī)則限定的有效時間段（規(guī)則在該時間段范圍內(nèi)才有效）。時間段可以指定為某個時間對象的范圍內(nèi)或范圍外，時間對象在對象管理章節(jié)中的時間對象中將詳細(xì)描述。5.4 應(yīng)用訪問規(guī)則應(yīng)用訪問規(guī)則是針對應(yīng)用協(xié)議的訪問控制，利用應(yīng)用訪問規(guī)則可以快速禁止管理員指定的

43、應(yīng)用協(xié)議，如BT、Edonkye、MSN、QQ等協(xié)議。點擊該菜單進(jìn)入應(yīng)用訪問規(guī)則列表頁面，可以看到系統(tǒng)當(dāng)前應(yīng)用訪問規(guī)則的列表，如下圖所示：圖58 應(yīng)用訪問規(guī)則點擊“新增規(guī)則”，如下圖所示：圖59 新增應(yīng)用訪問規(guī)則應(yīng)用訪問規(guī)則的設(shè)置和5.3系統(tǒng)訪問策略的設(shè)置方式基本相同，支持移動規(guī)則、改變規(guī)則運行狀態(tài)、刪除規(guī)則和編輯規(guī)則的功能。在訪問策略的執(zhí)行順序上，系統(tǒng)首先檢查系統(tǒng)訪問規(guī)則內(nèi)的策略，如果匹配規(guī)則設(shè)定了內(nèi)容分析功能，則啟動內(nèi)容分析引擎新進(jìn)分析，如果分級結(jié)果為某類已知應(yīng)用則對應(yīng)用訪問策略表進(jìn)行掃描，檢查是否有配置相匹配的規(guī)則，因此應(yīng)用訪問規(guī)則主要是對系統(tǒng)訪問規(guī)則放行的數(shù)據(jù)進(jìn)行二次處理。點擊“新增應(yīng)

44、用訪問規(guī)則”按鈕，可以添加應(yīng)用訪問規(guī)則，新增的應(yīng)用訪問規(guī)則的“操作”一般是“攔截”，管理員在“應(yīng)用”的頁面內(nèi)可以選擇一種或者多種網(wǎng)絡(luò)應(yīng)用，從而實現(xiàn)對具體應(yīng)用的訪問策略進(jìn)行管理，如下圖所示：圖60 應(yīng)用訪問規(guī)則設(shè)置5.5 帶寬通道管理點擊該菜單進(jìn)入“帶寬通道管理”頁面，如下圖所示：圖61 帶寬通道管理設(shè)置圖中顯示了當(dāng)前全部的帶寬分配策略。帶寬分配策略為樹狀結(jié)構(gòu)，可以分為多個分支，每一個分支內(nèi)分配策略的最低帶寬之和不得大于該分支母節(jié)點的帶寬。用鼠標(biāo)點擊一條分配策略，可以選擇“修改”或“刪除”分別修改或刪除改掉策略。帶寬通道的一般配置步驟：首先點擊右上角的“新增貸款通道”設(shè)置根節(jié)點，根節(jié)點一般設(shè)定為

45、您想要控制的接口的總帶寬，例如，一根528KB的雙工線路（進(jìn)出都為528KB），可以在策略類型中選擇“雙向控制”，接口帶寬設(shè)置為“528KB”，如下圖所示：圖62 設(shè)定帶寬分配策略各個輸入項的含義如下：【策略名稱】用戶可以按照自己的習(xí)慣為策略取名字；【策略類型】表示表示該接口是對網(wǎng)絡(luò)流量進(jìn)行雙向控制還是只進(jìn)行單項控制（流出）；【接口帶寬】用戶想要控制的接口帶寬的大?。弧颈Ａ魩挕坑脩魧τ诮涌趲挷幌肴渴褂?控制而保留的帶寬；【優(yōu)先級】此帶寬分配策略的優(yōu)先級“終端控制”頁面可以使用戶精確控制每個用戶的“帶寬上限”，而且支持“上限帶寬的自動分配”，即所有內(nèi)網(wǎng)的用戶可以根據(jù)當(dāng)前的網(wǎng)絡(luò)狀況自動均衡，

46、避免了個別用戶占用帶寬過多的情況。如下圖所示：圖63 設(shè)定帶寬分配策略-終端控制其中：【帶寬上限】指每個終端的帶寬上限；【隊列尺寸】終端緩存的隊列尺寸，一般使用默認(rèn)值；【策略選項】“上限帶寬的自動分配”指上述的自動均衡功能；“自動調(diào)整窗口尺寸”指根據(jù)網(wǎng)絡(luò)狀況自動調(diào)節(jié)TCP傳輸速率?！案呒壴O(shè)置”是一些只有特殊情況下才使用的參數(shù)設(shè)置，一般建議使用默認(rèn)值?！娟犃谐叽纭勘硎疽唤M策略的緩沖隊列尺寸大小?！净诮K端TCP流量整形優(yōu)化】TCP流量整形優(yōu)化特性。設(shè)置完根節(jié)點的帶寬通道后，用戶可以根據(jù)自己的需要設(shè)置具體應(yīng)用或者其他定義的帶寬子通道。例如，我們可以設(shè)置一個命名為“BT限制”的子通道，在“100M接

47、口”通道右側(cè)點擊“新建子通道”，如下圖所示：圖64 新建帶寬子通道其中：【策略名稱】用戶可以按照自己的習(xí)慣為策略取名字。【策略類型】表示該接口是對網(wǎng)絡(luò)流量進(jìn)行雙向控制還是只進(jìn)行單向控制（流出）?！編捝舷蕖恐副就ǖ揽梢允褂玫淖罡邘??！編捪孪蕖恐副就ǖ朗褂玫淖畹蛶??！緝?yōu)先級】此帶寬分配策略的優(yōu)先級?！静呗赃x項】“允許超出帶寬上限”，指分配的帶寬通道在總帶寬中有冗余的時候可以超出自己的帶寬上限，也就是說可以借用別的帶寬通道資源：“允許租出下限帶寬”指的是當(dāng)本通道的帶寬沒有被全部使用的時候可以暫時借給其他有需要的帶寬通道使用。子通道建立完成后，就可以在帶寬分配策略中使用了。5.6 帶寬分配策略

48、定義了帶寬分配策略后就可以給不同的網(wǎng)絡(luò)應(yīng)用和來源/目標(biāo)地址指定不同的分配策略。點擊該菜單進(jìn)入“帶寬分配策略”頁面，顯示系統(tǒng)所有的帶寬處理規(guī)則，如下圖所示：圖65 帶寬分配策略需要指出的是，系統(tǒng)匹配規(guī)則是是按照列表中自上而下的順序，當(dāng)檢查到第一條匹配的規(guī)則后，系統(tǒng)將不再繼續(xù)檢查后面的規(guī)則。處理規(guī)則在規(guī)則列表中的位置可以調(diào)整。帶寬處理規(guī)則列表中每條規(guī)則的“移動”項都有 或或二者都有。點擊則該規(guī)則向前移動一個位置，點擊策略向后移動一個位置。新增或編輯一條規(guī)則的頁面如下圖所示：圖66 新增帶寬分配策略該界面內(nèi)還有五個頁面：“常規(guī)”、“服務(wù)”、“來源”、“目標(biāo)”、“高級”?！俺Ｒ?guī)”頁面內(nèi)定義該策略的基本

49、屬性，“來源”、“目標(biāo)”、“服務(wù)”頁面定義該策略適用的地址范圍和服務(wù)類型，“高級”定義一些高級屬性?！俺Ｒ?guī)”頁面內(nèi)容各輸入項的含義如下：【規(guī)則名稱】用戶可以按自己的習(xí)慣指定規(guī)則名稱。【帶寬通道】可以從下拉菜單中選擇該規(guī)則只用的帶寬通道。【接口】該規(guī)則適用的數(shù)據(jù)報的來源和目標(biāo)網(wǎng)絡(luò)接口。【優(yōu)先級】該規(guī)則執(zhí)行時與其他規(guī)則相比的優(yōu)先程度。【生效時間】該規(guī)則的生效時間。與過濾規(guī)則生效時間設(shè)置相同?！胺?wù)”頁面用戶可以選擇系統(tǒng)支持的所有服務(wù)和應(yīng)用協(xié)議：圖67 新增帶寬分配策略-“服務(wù)”系統(tǒng)支持多選，例如用戶可以將所有的P2P協(xié)議全部選定，制定統(tǒng)一的分配策略?！皝碓础薄ⅰ澳繕?biāo)”頁面內(nèi)列出了所有的地址、地址組

50、、用戶組，可以多項選擇，限定匹配該規(guī)則的數(shù)據(jù)包屬性?！案呒墶表撁嬷挥性谔厥馇闆r下可以使用，一般使用默認(rèn)值。5.7 二級帶寬策略一般晴空下不需要二級帶寬策略，在較特殊需求的情況下，需要使用二級帶寬策略，例如這樣的需求：學(xué)校需要限制每個學(xué)生的帶寬總量，在此基礎(chǔ)上，學(xué)校需要限制總出口P2P的流量。舉個例子：學(xué)校共有100M帶寬，學(xué)校限制每個學(xué)生512K上網(wǎng)帶寬，然后學(xué)校還需要在總出口處限制P2P的流量不超過10M，兩個簡單的策略不能實現(xiàn)這種需求，必須使用二級帶寬策略（否則會出現(xiàn)主機流量疊加的情況），做法如下：先生成一條帶寬分配策略，功能是“限制每個學(xué)生512K上網(wǎng)帶寬”，做完這條策略后，需要做一條二

51、級帶寬策略，這條二級帶寬策略的做法類似于5.5，但是有兩點區(qū)別：一是帶寬通道的位置，按照5.5的做法，我們需要建立一個10M的P2P帶寬通道，因為是二級帶寬通道使用的策略，所以如果都屬于總出口的子通道，會出現(xiàn)重復(fù)統(tǒng)計的問題，因此此處所作的通道必須與總出口的通道屬于同一級，如下圖所示：圖68 二級帶寬策略關(guān)于第二個通道的生成制定好10M的P2P帶寬通道之后，點擊菜單“控制策略”->“二級帶寬分配策略”，這是與示例三的第二個區(qū)別，如下圖所示：圖69 二級帶寬策略菜單下面的做法就和5.6一樣了，選擇圖68的帶寬通道，選擇來源地址組，生成二級帶寬策略即可，如下圖所示。圖70 二級帶寬策略策略完成

52、后，就能實現(xiàn)最初用戶的需求了。綜上所述，二級帶寬策略其實包含兩條策略，一條是正常的策略，另一條是所謂的二級帶寬策略和正常的策略配合使用，已滿足用戶的特殊需求。5.8 分區(qū)統(tǒng)計策略如果管理員需要對內(nèi)網(wǎng)的用戶做分區(qū)統(tǒng)計，詳細(xì)分析每個區(qū)域流量、以及應(yīng)用比例，則需要定義“分區(qū)統(tǒng)計策略”。點擊“控制策略”-“分區(qū)統(tǒng)計策略”，如下圖所示：圖71 分區(qū)統(tǒng)計策略點擊右上角鏈接“新增”，打開新增“分區(qū)統(tǒng)計策略”的定義，如下圖所示：圖72 新增分區(qū)統(tǒng)計策略如上圖所示，可以設(shè)置新增分區(qū)策略的各個域：【分區(qū)名稱】該分區(qū)的名稱定義，支持中文；【統(tǒng)計選項】選中則統(tǒng)計該分區(qū)的應(yīng)用流量，即實時對該分區(qū)的流量進(jìn)行實時分析；【分

53、區(qū)地址段】分區(qū)的起始和結(jié)束地址段。分區(qū)統(tǒng)計的數(shù)據(jù)必須通過日志服務(wù)器顯示。第六章 系統(tǒng)監(jiān)控6.1 概述本章節(jié)是在線監(jiān)控部分，包括帶寬流量監(jiān)控、磁盤監(jiān)控、在線管理員監(jiān)控等系統(tǒng)的管理工具，目的是讓管理員能夠?qū)崟r掌握系統(tǒng)的運行狀態(tài)，對網(wǎng)絡(luò)的應(yīng)用狀況進(jìn)行實時跟蹤和分析，及時發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)系統(tǒng)中存在的流量問題，同為DCFS流量控制規(guī)則的進(jìn)一步改進(jìn)和優(yōu)化提供數(shù)據(jù)依據(jù)。從而時間高效、編輯的監(jiān)控功能。6.2 流量分析圖點擊該菜單可以看到系統(tǒng)的流量分析圖，該流量分析圖根據(jù)管理員的設(shè)置采用區(qū)域疊加的方式顯示相應(yīng)的流量，每種應(yīng)用的流量都使用特定的顏色進(jìn)行標(biāo)定，在分析圖的下方，分別列出了每種應(yīng)用流量在統(tǒng)計周期內(nèi)的最大值、

54、最小值、平均值和當(dāng)前值。此外，管理員還可以通過最下方“選擇流量分析圖”的選項欄選擇顯示當(dāng)日、本周的流量、流出以及總流量分析圖。如下圖所示：圖73 流量分析圖6.3 系統(tǒng)狀態(tài)監(jiān)控點擊該菜單可以看到一組系統(tǒng)參數(shù)圖，如下圖所示，描繪了一些系統(tǒng)重要參數(shù)的變化形勢，包括CPU使用率、物理內(nèi)存使用情況、swap區(qū)使用情況、各個網(wǎng)絡(luò)接口的進(jìn)出流量統(tǒng)計。圖74 系統(tǒng)狀態(tài)這一組圖顯示的數(shù)據(jù)時最近24小時內(nèi)每5分鐘的平均值，其中物理內(nèi)存使用情況圖有兩條線，綠線表示所有被系統(tǒng)占用的內(nèi)存，藍(lán)線表示系統(tǒng)實際使用內(nèi)存；網(wǎng)絡(luò)接口形勢圖也有兩條線，綠線表示流入流量，藍(lán)線表示流出流量。每個參數(shù)圖都有一個鏈接，點擊圖形鏈接可以進(jìn)

55、入該參數(shù)的詳細(xì)形勢圖頁面，在該頁面內(nèi)可以看到日形式圖、月形勢圖、周形勢圖、年形勢圖，數(shù)據(jù)分為5分鐘平均值、30分鐘平均值、2小時平均值、24小時平均值。6.3.1 CPU狀態(tài)點擊該菜單進(jìn)入“CPU使用情況詳細(xì)形勢圖”，如下圖所示，共有四張小圖，分別為日形勢圖、月形勢圖、周形勢圖、年形勢圖，數(shù)據(jù)分別為每5分鐘內(nèi)、每30分鐘內(nèi)、每2兩小時內(nèi)、每24小時內(nèi)的平均CPU使用率。圖75 CPU詳細(xì)形勢圖6.3.2 內(nèi)存狀態(tài)點擊該菜單進(jìn)入“內(nèi)存使用情況詳細(xì)形勢圖”，如下圖所示，共有四張小圖，分別為日形勢圖、月形勢圖、周形勢圖、年形勢圖，數(shù)據(jù)分別為每5分鐘內(nèi)、每30分鐘內(nèi)、每2小時內(nèi)、每24小時內(nèi)的平均值，綠線表示所有被系統(tǒng)占用的內(nèi)存，藍(lán)