eudemon限速配置举例(v100r005版本).docVIP

配置基于IP地址的连接数限制和带宽限制举例（交换应用） 本例中，将使用交换口，通过IP-CAR功能限制内网用户的带宽和连接数，避免网络的拥塞。 组网需求 如图1所示，Trust1区域中内网用户的真实IP是192.168.1.0/24网段，但是经过设备NAT转换，采用NAT地址池1.1.1.10～1.1.1.20中的某个公网IP，就可以访问Internet。Internet放置在Untrust区域中。同时内网还有一个安全区域Trust2。 具体需求如下： 限制Trust1区域内的每个内网IP的上传/下载带宽为：1Mbps/2Mbps。此处的上传包括在Trust1区域的用户上传到Trust2和Internet上的数据，下载包括用户从Trust2和Internet中下载的数据。 为了防止内网用户滥用P2P协议从Internet下载文件，浪费设备的端口资源，造成网络的拥塞，所以将每个NAT转换后IP的连接数限制为20个。由于并不需要对Trust1和Trust2这两个区域之间的连接数进行限制，所以实际上只需要对Trust1区域内进行了NAT转换的连接数进行限制。 对Trust2区域的用户访问Internet不做限制。 图1 配置基于IP地址的连接数限制和带宽限制组网图  项目 数据 备注 (1) 接口号：Ethernet 1/0/0 VLAN：100 VLANIF的IP地址：192.168.1.1/24 安全区域：Trust1 Trust1安全区域的安全等级为60。 (2) 接口号：Ethernet 1/0/1 VLAN：200 VLANIF的IP地址：10.1.1.1/24 安全区域：Trust2 Trust2安全区域的安全等级为70。 (3) 接口号：Ethernet 0/0/0 IP地址：1.1.1.1/24 安全区域：Untrust 将Internet放置在Untrust区域中。 Trust1区域中的PC PC的IP地址范围是192.168.1.2/24～192.168.1.254/24。 – NAT地址池 地址范围：1.1.1.10～1.1.1.20。Trust1区域内的用户将通过NAT转换成这个范围内的IP来访问Internet。 NAT转换后的IP的连接数上限：20个 – PC用户带宽限制 上传/下载最大速率：1Mbps/2Mbps 发起连接数上限：20个 Trust1域每个PC用户都按此参数限制。 说明： 交换LAN口不能配置IP地址。如果需要通过交换口进行三层通信，需要把交换口加入VLAN，在VLAN对应的Vlanif接口上配置IP地址。 缺省情况下，任何一个交换接口都已加入VLAN 1，且Vlanif 1接口IP地址为192.168.0.1/24。修改Vlanif 1接口IP地址将会导致Telnet和Web用户通信中断，需要使用新的IP地址重新登录。建议使用其他Vlanif接口。 [Eudemon] interface Ethernet 1/0/0 [Eudemon-Ethernet1/0/0] ip address 192.168.1.1 24 [Eudemon-Ethernet1/0/0] quit [Eudemon] interface Ethernet 1/0/1 [Eudemon-Ethernet0/0/0] ip address 10.1.1.1 24 [Eudemon-Ethernet0/0/0] quit [Eudemon] interface Ethernet 0/0/0 [Eudemon-Ethernet0/0/0] ip address 1.1.1.1 24 [Eudemon-Ethernet0/0/0] quit [Eudemon] firewall zone trust1 [Eudemon-zone-trust1] add interface Ethernet 1/0/0 [Eudemon-zone-trust1] quit [Eudemon] firewall zone trust2 [Eudemon-zone-trust2] add interface Ethernet 1/0/1 [Eudemon-zone-trust2] quit [Eudemon] firewall zone untrust [Eudemon-zone-untrust] add interface Ethernet 0/0/0 [Eudemon-zone-untrust] quit 配置域间包过滤，以保证网络基本通信正常。对于Eudemon 200E-X系列，不需要执行此步骤。 通过配置域间包过滤策略满足如下两个需求： Trust1域的用户可以访问Trust2域。策略应用的方向应该是in