1、SANGFOR BM 新产品培训,BM基本功能介绍,BM设备部署模式,实际应用配置实例,目 录,什么是BM?,1、客户需要专业且高性能的流控设备。2、客户反感上网行为审计功能,尤其是政府类的客户,比如说政府信息中心,领导最担心的就是自己的上网行为被审计,所以需要不带审计功能的流控设备(流量审计除外)。,BM(Bandwidth Management)是专业的流量管理设备。,为什么需要BM设备呢?,BM部署模式介绍,只有网桥模式,支持多网桥部署。,BM部署模式介绍,BM部署模式介绍,BM基本功能介绍,BM基本功能介绍,用户认证功能: BM的用户认证功能不支持DKEY认证,其他认证功能与AC一致。
2、,BM基本功能介绍,上网控制功能: BM设备增加流量配额功能,即控制单个用户每天/每月的上网总流量,超过此设置值,用户则无法上网。上网应用控制,网页过滤,流量统计与上网计时其他功能页面与AC一致。,BM基本功能介绍,内置数据中心: BM设备只支持内置数据中心,只能查询被拒绝的上网行为日志,保留流量查询和流量统计的功能。,流量统计,用于查询被拒绝的上网行为,流量查询,BM基本功能介绍,流量管理功能:BM流量管理功能,支持虚拟线路。,虚拟线路应用场景,应用场景:设备单网桥部署,公网电信、网通两条100M线路,对于内网P2P数据限制为总带宽的50%。可能出现的问题:所有的数据都跑到一条线路上,导致一
3、条线路带宽占用很满,一条线路空闲。解决方案:1. 将一条网桥线路虚拟划分成多条线路。2.然后根据IP和端口指定数据由哪条虚拟线路出去。,虚拟线路,注意:虚拟线路之间带宽不能借用,虚拟线路的带宽之和不能超过实际线路的总带宽。,实际应用配置实例,客户需求1.部署BM设备于防火墙与核心交换机之间;设备配置10.10.10.248/24的地址,防火墙的地址是10.10.10.254,核心交换机与防火墙互联的地址为10.10.10.1;内网全部启用以IP方式认证,全部放入默认组,内网网段为:10.0.0.0/24;2. 公网电信、网通两条100M线路,分别限制两条线路的P2P、迅雷下载等应用带宽不超过线
4、路带宽的50%。3. 禁止对论坛发贴,禁止上WEB邮件网站发送webmail邮件。4.针对内网每个用户限制一天之内流量最多不允许超过3G。5.每天针对针对流量出一个使用情况汇总报表,并且需要保存3个月左右流量日志;,配置思路分析: 1.设备单网桥模式配置,部署在防火墙与核心交换机之间,并且有空闲的链路IP提供给我们配置网桥IP;按照正常模式配置设备部署模式以及网桥IP、网关IP以及DNS即可; 2.客户需求全网启用IP方式认证,新建一个默认组,然后启用新用户认证,以IP为新用户名,绑定IP,自动添加到默认组里面; 3.客户要求电信网通两条线路的P2P、迅雷下载等应用不超过线路带宽的50%;启用
5、虚拟通道技术,新建立两条虚拟通道,命名为电信、网通,并且带宽设备与外网线路一致;并且设置和前置防火墙相同的线路选路转发规则,针对某些IP或者端口来进行转发,然后两条虚拟线路分别做P2P 、迅雷下载等应用的带宽限制策略;,配置思路分析:,4.自定一个URL组,URL为,对这个URL组和内置库WEBMAIL设置仅允许登录HTTP POST。另外设置单用户每天的流量配额为3G。 5.每天的流量汇总报表可以直接在内置数据中心的报表里面自动生成即可,因为流量日志的使用空间不大,可以直接由设备保存即可,设备的磁盘空间是远远足够的;,1.BM设备部署配置,1.BM设备部署配置,点击“完成”后,设备将重启,重
6、启完成后,请用设置的网桥IP登录BM的控制台进行后面的配置。,1.1 路由设置,为保证BM设备能够与内网通信,则需要加到内网网段的回包路由交给核心交换机,2.认证方式配置,电信,网通,设置步骤:1、建立两条虚拟线路,带宽设置分别对应电信和网通两条线路的带宽100M。2、设置和前置防火墙相同的线路选路转发规则,针对某些IP或者端口来进行转发,3.针对两条虚拟线路分别做P2P 、迅雷下载等应用的总带宽不超过外网带宽的50%;,指定虚拟线路做为P2P带宽策略的“生效线路”,3.流量控制,4. 上网策略,4.1 网页过滤设置,4. 上网策略,4.2 流量配额设置,动动手,1. 部署BM设备于防火墙与核心交换机之间;当时之间的链路网路是一段30位掩码的地址;设备在网络模式配置的时候如何配置?2. 公网电信、网通两条20M线路,分别保证两条线路的HTTP、邮件等应用带宽最少带宽可占线路带宽的50%。3.如果设备需要支持一进两出的网络部署方式,请问BM应该如何部署?4.禁止访问加密网站https:/,,
