华为Eudemon系列防火墙P2P限流配置指导.docVIP

Eudemon系列防火墙P2P限流配置指导 V2 .1 拟制: 王巍 日期： 2005/07/01 审核: 日期： 审核: 日期： 批准: 日期： 修订记录 日期 修订版本 作者 描述 2005/07/04 2.0 王巍 2005/09/05 2.1 唐正斌 增加基于IP CAR进行P2P 华为技术有限公司 Huawei Technologies Co., Ltd. 目 录 1 概述 3 2 P2P限流常用配置 3 2.1 全局P2P限流配置 3 2.2 全局策略P2P限流配置 3 2.2.1 指定某些用户进行P2P限流，其他用户不限流 4 2.2.2 指定某些用户不进行P2P限流，其他用户限流 4 2.2.3 指定两类用户进行不同的P2P限流 5 2.2.4 分别对用户的上传和下载进行限流 5 2.3 基于IP进行P2P限流配置 6 2.3.1 在分别限制下载和上传总带宽的同时限制每个用户的下载和上传带宽 6 2.4 基于不同时间段进行限流 8 2.5 日志服务器 8 2.6 连接状态检测 9 3 典型组网 10 3.1 Eudemon系列防火墙透明模式P2P限流组网 10 3.1.1 组网简图 10 3.1.2 组网需求 10 3.1.3 组网配置 11 3.2 Eudemon系列防火墙路由模式P2P限流组网 12 3.2.1 组网简图 12 3.2.2 组网需求 12 3.2.3 组网配置 13 3.3 Eudemon系列防火墙路由模式P2P上下行分别限流组网 15 3.3.1 组网简图 15 3.3.2 组网需求 15 3.3.3 组网配置 16 3.4 Eudemon系列防火墙多路径P2P限流组网 18 3.4.1 组网简图 18 3.4.2 组网需求 18 3.4.3 组网配置 19 概述 本文档用于指导Eudemon系列防火墙关于P2P限流的配置，适用于Eudemon500和Eudemon1000。防火墙主机软件版本适用于D032SP04。其他后续版本有关P2P限流的配置命令如有所变化，请参考相关的手册。 P2P限流常用配置 全局P2P限流配置 Eudemon系列防火墙可以对经过防火墙的所有P2P流进行全局限制。对P2P流量可以限定在一个范围内，可以指定P2P流量范围为100K～1Gbps。 1）打开全局P2P限流开关 例如：[Eudemon] firewall p2p-car default-permit 2）设置BT限流带宽 例如：[Eudemon] firewall p2p-car cir 100000 （单位：Kbit/s） 等同于 [Eudemon] firewall p2p-car class 0 cir 100000 注意： ·注意命令里写的是P2P，而不是BT，原因是该命令同时包含了BT、电骡、电驴等多种P2P应用的限流功能，不仅仅是BT。 ·通常全局P2P限流需求，只要上述两条命令即可实现。域间不用配置BT限流策略。 ·设置P2P限流带宽时，可以同时配置两种：class0和class1，不指定class，缺省为class0。全局BT限流配置缺省采用class0。 ·可以将P2P限流带宽设置为最大1000000（1G bit/s），这样等于没有限制P2P流，可以统计出当前P2P的流量。 全局策略P2P限流配置 Eudemon系列防火墙可以同时设置两种限流带宽：class0和calss1。防火墙对符合不同策略的P2P流使用不同的限制带宽。通过ACL来控制对域间的某些用户做P2P限流，某些用户不做限流；或是分别限制用户的上传和下载。下面列举一些常用的P2P限流策略应用： 指定某些用户进行P2P限流，其他用户不限流 例如：指定对/24网段的用户进行限流20M，其他用户不限流。 1）设置class0的P2P限流带宽为20M（bit/s） [Eudemon] firewall p2p-car class 0 cir 20000 2）配置P2P限流策略 [Eudemon]acl number 3000 [Eudemon--acl-3000]rule permit source 55 [Eudemon--acl-3000]rule permit destination 55 [Eudemon--acl-3000]rule deny ip 3）域间应用P2P限流策略 [Eudemon] firewall interzone trust untrust [Eudemon-interzone-trust-untrust] p2p-car 3000 class 0 inbound