1.PC1发送关键业务数据,PC2发送非关键业务数据,FW1入接口G口速率大于出接口S口速率,出接口可能发生拥塞,要求网络拥塞时保证PC1关键业务数据得到优先处理,PC1报文能够进入PQ的top队列缓存,PC2报文进入bottom队列缓存,设定top队列最大长度50,bottom队列最大队列长度100。
2.FW1配置区域
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 0/0/1
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 0/0/0
[FW1]interface GigabitEthernet 0/0/1
[FW1-GigabitEthernet0/0/1]service-manage https permit
[FW1]interface GigabitEthernet 0/0/0
[FW1-GigabitEthernet0/0/0]service-manage https permit
2.FW1配置安全策略(USG5500)
[FW1]firewall packet-filter default permit interzone trust untrust direction out
Warning:Setting the default packet filtering to permit poses security risks. You are advised to configure the security policy based on the actual data flows. Are you sure you want to continue?[Y/N]y
//允许trust区域访问untrust内的主机
或者
[FW1]policy interzone trust untrust outbound
[FW1-policy-interzone-trust-untrust-outbound]policy 0
[FW1-policy-interzone-trust-untrust-outbound-0]action permit
3.FW1配置安全策略(USG6000V)
1)通过安全策略配置使用源目IP方式进行配置
[FW1]security-policy
//安全策略配置
[FW1]rule name trust_untrust
//创建访问规则
[FW1-policy-security-rule-trust_untrust] source-address 192.168.1.0 0.0.0.0
//配置安全策略的源地址
[FW1-policy-security-rule-trust_untrust] destination-address 10.1.1.0 mask 255.255.255.0
//配置安全策略的目的地址段
[FW1-policy-security-rule-trust_untrust]service icmp
//配置服务为icmp
[FW1-policy-security-rule-trust_untrust]action permit
//配置执行动作为permit
2)安全策略配置使用源目安全区域的方式进行配置
[FW1]security-policy
//安全策略配置
[FW1]rule name trust_untrust
//创建访问规则
[FW1-policy-security-rule-trust_untrust] source-zone trust
//配置安全策略源安全区域
[FW1-policy-security-rule-tust_untrust] destination-zone untrust
//配置安全策略目的安全区域
[FW1-policy-security-rule-tust_untrust]service icmp
//配置服务
[FW1-policy-security-rule-tust_untrust]action permit
//配置执行服务为允许
4.FW1配置PQ队列
1)配置ACL
[FW1]acl number 2000
[FW1-acl-basic-2000]rule permit source 192.168.1.1 0.0.0.0
[FW1]acl number 2001
[FW1-acl-basic-2001]rule permit source 192.168.1.2 0.0.0.0
2)配置优先队列
[FW1]qos pql 1 protocol ip acl 2000 queue top
//PC1报文进入top队列缓存
[FW1]qos pql 1 protocol ip acl 2001 queue bottom
//PC2报文进入bottom队列缓存
[FW1]qos pql 1 queue top queue-length 50
//top队列最大队列长度为50
[FW1]qos pql 1 queue bottom queue-length 100
//bottom队列最大队列长度为100
3)在G0口启用pql 1
[FW1-GigabitEthernet0/0/0]qos pq pql 1
4)查看优先队列中各队列调度
[FW1]display qos pq interface GigabitEthernet 0/0/0
17:25:40 2023/02/26
Interface: GigabitEthernet0/0/0
Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0
Output queue : (Priority queue : PQL 1 Size/Length/Discards)
Top: 0/50/0 Middle: 0/40/0 Normal: 0/60/0 Bottom: 0/100/0
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容