iT邦幫忙

2

FortiGate 100D 流量控管政策詢問

各位前輩大家好,
因初次接觸FortiGate,有些不太懂的地方想請教。

目前使用FortiGate 100D V5.2.10,
設定上切了2條Vlan,目前的問題是,我該如何將兩個網段(.2.0及.3.0)限制流量為2M
https://ithelp.ithome.com.tw/upload/images/20180508/20107415llpDBq4sp7.png

我先是使用了any並且調整了根據IP流量的塑形,
測試系統為win7x64、區網使用100M環境,對內上傳下載每秒10~12MB/Sec,
無法成功限制在2M/Sec
https://ithelp.ithome.com.tw/upload/images/20180508/20107415awi20vd3kf.png

接著想說先用單一網段測試,結果也是如同any一樣。
https://ithelp.ithome.com.tw/upload/images/20180508/20107415XPHax42DLN.png

請問我該如何調整,才能達成想要的需求呢?
麻煩各位前輩的指點,謝謝

1 個回答

1
mytiny
iT邦大師 1 級 ‧ 2018-05-08 17:12:01
最佳解答

防火牆對流量管制是有方向性的
且對於政策的執行順序為從上到下

所以當設any to any這樣的政策
如果不是放在第一條
網路流量會先由其他政策走掉而失效

如果是Lan_3F to Lan_3F這條政策
小弟很懷疑會有任何流量會進這條政策中
因為在下面的交換器就交換掉了

以下的說明很重要
如果要限制3F往外流量速度
應該是Lan_3F to wan1的政策
在其中共享的流量塑形與反向流量塑形都採2Mbps
(小弟看樓主都設到根據IP,且數字都設錯)
同理可設Lan_2F to wan1的政策

如果樓主一直設不出來想要的效果
請付費找專業的來做(OS版本請升到5.2.13或5.6.4)
機器是不會出錯的,人才會

看更多先前的回應...收起先前的回應...
熊吉 iT邦新手 5 級 ‧ 2018-05-08 18:23:12 檢舉

非常感謝你的回應,已有提出尋找專業的需求,
只是想了解大概的方向 謝謝

熊吉 iT邦新手 5 級 ‧ 2018-05-09 01:21:30 檢舉

文中可能闡述太少,再補充幾點訊息,
我們區域網路(內網)會連至NAS及file server存取,
(NAS及file server皆放置在Vlan1),
當遇到數個大檔傳輸於不同設備時,內網的頻寬會被吃很兇
所以才想說將Vlan1及Vlan2都可以對內設定流量限制,
並再多加政策去指定IP才能傳送大型檔案。

而any to any有嘗試過放置在第一條,但經測試後也沒有效用。

因尚有其他項目需一起施作,配合廠商還須安排時間,
在專業人員接手前,小弟會再嘗試看看其他方式。

mytiny iT邦大師 1 級 ‧ 2018-05-09 09:06:17 檢舉

在下建議樓主先仔細研究一下網路流量的走向
網路流量有經過FG-100D,才能夠想辦法做控制

關於貴公司的網路架構,
如果Vlan1 & Vlan2並非經FG-100D來做路由交換
而是在公司的Layer3交換器上完成
這樣防火牆再怎麼設也沒有用
不然以前就肯定有相關的防火牆政策在控管
只要再加流量管理的作用就好,不是嗎?
如果能將FG-100D的DMZ口去接NAS或File Serevr
或是將lan埠口拆成另一塊去接
這樣流量必定會經由防火牆交換流量

另外,FG-100D只有2.5G的Throughput
在這樣的流量控制處理上也需要注意
因為FG-100D並沒有NP的加速處理晶片
一切都要靠CPU及MEMORY
內網頻寬被吃得很兇是怎樣的情況並不清楚
建議還是先釐清事件癥結在做處理為宜

廠商是否專精於網路與資安也很重要
熟捻於系統並不代表能處理網路問題
貴司情況可考量以Fortiswitch來處理
可以兼顧安全管控與流量控制,如下
FortiSwitch Demo

熊吉 iT邦新手 5 級 ‧ 2018-05-09 09:28:17 檢舉

非常謝謝你的建議,我先試著仔細研究一下網路流量

我要發表回答

立即登入回答