一、实验拓补图

二、实验需求及分析

需求一

        部门A包含销售(Client1),研发(Client2)

        销售员工--->Email业务、ERP应用

1、部门A最大的下行带宽不超过60M

2、部门A销售员工下行最大带宽不超过30M

3、部门A销售员工Email、ERP下行最小带宽不低于20M

        分析：

A部门通道 --- 60M

A部门销售组 --- 30M

A部门销售组Email --- 20M

需求二

1、部门A下行带宽不超过60M

2、部门B下行带宽不超过40M

3、部门A和部门B的P2P下行最大带宽不超过80M

4、P2P流量需要被计算到各自部门的总流量中

        分析：

部门A带宽策略 --- 整体最大带宽 --- 60M

部门B带宽策略 --- 整体最大带宽 --- 40M

分别配置基于P2P应用的带宽策略 --- 各自与部门A和部门B的带宽策略建立父子关系

需求三

        企业存在上网流量，也对外提供web服务。

1、ISP处购买了100M带宽

        在上网高峰期 --- 工作日(15:00-18:00) --- 上网用户下行60M；外网用户下行40M

2、总共2台Web服务器，限制每台服务器对外提供最大下行带宽不超过20M

3、假设有30个上网用户，在用网高峰期

限制每个用户访问互联网的最大下行带宽不超过2M

需求四 --- 动态均分

1、部门A下行最大带宽60M

2、可以根据实时的上网用户数量，对部门A的最大带宽资源进行均分，供每个用户使用

需求五

电信100M，联通50M

需求六

        企业在运营商处购买每月500GB的流量套餐。

        超出500GB的流量需要单独结算，1G/100元。

        需要对每个员工进行流量配额，同时，控制员工上网时长。

1、员工总数40人

        管理层10人，30人普通员工。

                管理层 --- 每人分配20GB/月

                普通员工 --- 每人分配10GB/月

2、对普通员工，限制其每日上网时长4小时，每日的流量不超过500M

3、对于超出流量的用户，普通员工，阻断上网请求；管理层，限制其最大带宽不超过800Kbps

需求七 --- 流量整形和流量监管

QoS机制无法在web界面实现

web界面我们只能实现对流量转发优先级和DSCP优先级重标记的配置。

DSCP优先级 --- 主要为了让设备进行流量分类。

流量转发优先级 --- 在带宽管理这里的用途仅仅是告知FW处理方式是流量整形还是流量监管。

三、实验配置

一.基础配置

1.IP地址配置

[DX]interface GigabitEthernet 0/0/0
[DX-GigabitEthernet0/0/0]ip address 12.0.0.2 24

[LT]interface GigabitEthernet 0/0/0
[LT-GigabitEthernet0/0/0]ip address 13.0.0.2 24

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 12.0.0.1 24
[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 13.0.0.1 24
[FW1]interface GigabitEthernet 1/0/2.10
[FW1-GigabitEthernet1/0/2.10]ip address 192.168.1.254 24
[FW1]interface GigabitEthernet 1/0/2.20
[FW1-GigabitEthernet1/0/2.20]ip address 192.168.2.254 24
[FW1]interface GigabitEthernet 1/0/2.30
[FW1-GigabitEthernet1/0/2.30]ip address 192.168.3.254 24
[FW1-GigabitEthernet1/0/2.40]ip address 192.168.4.254 24
[FW1]interface GigabitEthernet 1/0/3
[FW1-GigabitEthernet1/0/3]ip address 10.1.1.254 24

 2.配置VLAN

[SW1]vlan batch 10 20 30 40

[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk 
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40

[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access 
[SW1-GigabitEthernet0/0/2]port default vlan 10

[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access 
[SW1-GigabitEthernet0/0/3]port default vlan 20

[SW1]interface GigabitEthernet 0/0/4
[SW1-GigabitEthernet0/0/4]port link-type access 
[SW1-GigabitEthernet0/0/4]port default vlan 30

[SW1]interface GigabitEthernet 0/0/5
[SW1-GigabitEthernet0/0/5]port link-type access 
[SW1-GigabitEthernet0/0/5]port default vlan 40

3.配置安全区域

[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/0
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1

[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/2.10
[FW1-zone-trust]add interface GigabitEthernet 1/0/2.20
[FW1-zone-trust]add interface GigabitEthernet 1/0/2.30
[FW1-zone-trust]add interface GigabitEthernet 1/0/2.40

[FW1]firewall zone dmz 
[FW1-zone-dmz]add interface GigabitEthernet 1/0/3

4.静态路由

[FW1]ip route-static 0.0.0.0 0 12.0.0.2
[FW1]ip route-static 0.0.0.0 0 13.0.0.2

5.NAT

[FW1]nat-policy
[FW1-policy-nat]rule name nat1
[FW1-policy-nat-rule-nat]source-zone trust
[FW1-policy-nat-rule-nat]action source-nat easy-ip 

二、需求配置

1.需求一:配置带宽策略

[FW]traffic-policy ---进入带宽策略配置视图
[FW-policy-traffic]profile 01 ---创建一个带宽通道，名称为01
[FW-policy-traffic-profile-01]bandwidth maximum-bandwidth whole downstream 60 ---设定带宽，最大带宽，下行60M
 
[FW]traffic-policy ---进入带宽策略配置视图
[FW-policy-traffic]rule name 01 ---策略名称
[FW-policy-traffic-rule-01]source-zone trust 
[FW-policy-traffic-rule-01]destination-zone untrust 
[FW-policy-traffic-rule-01]source-address 192.168.1.0 24
[FW-policy-traffic-rule-01]source-address 192.168.2.0 24
[FW-policy-traffic-rule-01]action qos profile 01 ---动作为限流，且调用带宽通道

2. 需求二:

3.需求三：

4.需求四:

5.需求五：

6.需求六：

7.需求七：流量整形和流量监管

无法在web界面实现；