SRG_基于ip地址限速配置.docxVIP

文档名称文档密级  TIME \@ yyyy-M-d 2017-7-21华为保密信息,未经授权禁止扩散第PAGE9页, 共 NUMPAGES \* Arabic \* MERGEFORMAT 9页 配置基于IP地址的连接数限制和带宽限制举例（路由应用） 本例中，将使用路由口，通过IP-CAR功能限制内网用户的带宽和连接数，避免网络的拥塞。 组网需求 如 HYPERLINK http://localhost:7890/pages/3118G26P/03/3118G26P/03/resources/cfg_sec/sec_vsp_cfg_ipcar_0014.html?ft=0fe=10hib=.5.1id=sec_vsp_cfg_ipcar_0014 \l sec_vsp_cfg_ipcar_0014__fig01 图1所示，Trust1区域中内网用户的真实IP是/24网段，但是经过设备NAT转换，采用NAT地址池0～0中的某个公网IP，就可以访问Internet。Internet放置在Untrust区域中。同时内网还有一个安全区域Trust2。 具体需求如下： 限制Trust1区域内的每个内网IP的上传/下载带宽为：1Mbps/2Mbps。此处的上传包括在Trust1区域的用户上传到Trust2和Internet上的数据，下载包括用户从Trust2和Internet中下载的数据。 为了防止内网用户滥用P2P协议从Internet下载文件，浪费设备的端口资源，造成网络的拥塞，所以将每个NAT转换后IP的连接数限制为20个。由于并不需要对Trust1和Trust2这两个区域之间的连接数进行限制，所以实际上只需要对Trust1区域内进行了NAT转换的连接数进行限制。 对Trust2区域的用户访问Internet不做限制。 图1 配置基于IP地址的连接数限制和带宽限制组网图  项目数据备注(1)接口号：GigabitEthernet 0/0/1 IP地址：/24 安全区域：Trust1Trust1安全区域的安全等级为60。(2)接口号：GigabitEthernet 0/0/2 IP地址：/24 安全区域：Trust2Trust2安全区域的安全等级为70。(3)接口号：GigabitEthernet 0/0/3 IP地址：/24 安全区域：Untrust将Internet放置在Untrust区域中。Trust1区域中的PCPC的IP地址范围是/24～54/24。–NAT地址池地址范围：0～0。Trust1区域内的用户将通过NAT转换成这个范围内的IP来访问Internet。 NAT转换后的IP的连接数上限：20个–PC用户带宽限制上传/下载最大速率：1Mbps/2Mbps 发起连接数上限：20个Trust1域每个PC用户都按此参数限制。要限制Trust1区域的用户访问Untrust区域时，可以将限流应用在两个方向上： Untrust区域的inzone方向上：该方向既包含Trust1访问Untrust的流量，也包含Trust2访问Untrust的流量。 在本例中，由于不需要对Trust2的用户访问Untrust的流量进行限制，所以应用在该方向上不合适。 Trust1区域的outzone方向上：该方向既包含Trust1访问Untrust的流量，也包含Trust1访问Trust2的流量。 在本例中，应用到该方向上，由于并不需要对Trust1和Trust2之间的连接数进行限制，所以需要使用statistic connect-number ip source nat outbound命令，只对NAT转换后的流量进行限制，不对使用私网IP进行访问的流量进行限制。该命令只能使用在安全区域的outbound方向上。 限制Trust1区域的用户的下载带宽时，同理应该应用在Trust1的inzone方向上。 操作步骤 创建安全区域。 SRG system-view [SRG] firewall zone name trust1 [SRG-zone-trust1] set priority 60 [SRG-zone-trust1] quit [SRG] firewall zone name trust2 [SRG-zone-trust2] set priority 70 [SRG-zone-trust2] quit 配置各个接口的IP，并划入相应的安全区域。IP-CAR属于安全功能，必须将接口划入安全区域后才能进行限流。 [SRG] interface GigabitEthernet 0/0/1 [SRG-GigabitEthernet0/0