SRG_基于ip地址限速配置

文档名称文档密级2020-1-10华为保密信息,未经授权禁止扩散第1页,共8页1配置基于IP地址的连接数限制和带宽限制举例（路由应用）本例中，将使用路由口，通过IP-CAR功能限制内网用户的带宽和连接数，避免网络的拥塞。组网需求如图1所示，Trust1区域中内网用户的真实IP是192.168.1.0/24网段，但是经过设备NAT转换，采用NAT地址池1.1.1.10～1.1.1.20中的某个公网IP，就可以访问Internet。Internet放置在Untrust区域中。同时内网还有一个安全区域Trust2。具体需求如下：限制Trust1区域内的每个内网IP的上传/下载带宽为：1Mbps/2Mbps。此处的上传包括在Trust1区域的用户上传到Trust2和Internet上的数据，下载包括用户从Trust2和Internet中下载的数据。为了防止内网用户滥用P2P协议从Internet下载文件，浪费设备的端口资源，造成网络的拥塞，所以将每个NAT转换后IP的连接数限制为20个。由于并不需要对Trust1和Trust2这两个区域之间的连接数进行限制，所以实际上只需要对Trust1区域内进行了NAT转换的连接数进行限制。对Trust2区域的用户访问Internet不做限制。图1配置基于IP地址的连接数限制和带宽限制组网图项目数据备注文档名称文档密级2020-1-10华为保密信息,未经授权禁止扩散第2页,共8页项目数据备注(1)接口号：GigabitEthernet0/0/1IP地址：192.168.1.1/24安全区域：Trust1Trust1安全区域的安全等级为60。(2)接口号：GigabitEthernet0/0/2IP地址：10.1.1.1/24安全区域：Trust2Trust2安全区域的安全等级为70。(3)接口号：GigabitEthernet0/0/3IP地址：1.1.1.1/24安全区域：Untrust将Internet放置在Untrust区域中。Trust1区域中的PCPC的IP地址范围是192.168.1.2/24～192.168.1.254/24。–NAT地址池地址范围：1.1.1.10～1.1.1.20。Trust1区域内的用户将通过NAT转换成这个范围内的IP来访问Internet。NAT转换后的IP的连接数上限：20个–PC用户带宽限制上传/下载最大速率：1Mbps/2Mbps发起连接数上限：20个Trust1域每个PC用户都按此参数限制。文档名称文档密级2020-1-10华为保密信息,未经授权禁止扩散第3页,共8页要限制Trust1区域的用户访问Untrust区域时，可以将限流应用在两个方向上：Untrust区域的inzone方向上：该方向既包含Trust1访问Untrust的流量，也包含Trust2访问Untrust的流量。在本例中，由于不需要对Trust2的用户访问Untrust的流量进行限制，所以应用在该方向上不合适。Trust1区域的outzone方向上：该方向既包含Trust1访问Untrust的流量，也包含Trust1访问Trust2的流量。在本例中，应用到该方向上，由于并不需要对Trust1和Trust2之间的连接数进行限制，所以需要使用statisticconnect-numberipsourcenatoutbound命令，只对NAT转换后的流量进行限制，不对使用私网IP进行访问的流量进行限制。该命令只能使用在安全区域的outbound方向上。限制Trust1区域的用户的下载带宽时，同理应该应用在Trust1的inzone方向上。操作步骤1.创建安全区域。2.SRGsystem-view3.[SRG]firewallzonenametrust14.[SRG-zone-trust1]setpriority605.[SRG-zone-trust1]quit6.[SRG]firewallzonenametrust27.[SRG-zone-trust2]setpriority708.[SRG-zone-trust2]quit9.配置各个接口的IP，并划入相应的安全区域。IP-CAR属于安全功能，必须将接口划入安全区域后才能进行限流。10.[SRG]interfaceGigabitEthernet0/0/111.[SRG-GigabitEthernet0/0/1]ipaddress192.168.1.12412.[SRG-GigabitEthernet0/0/1]quit13.[SRG]interfaceGigabitEthernet0/0/2文档名称文档密级2020-1-10华为保密信息,未经授权禁止扩散第4页,共8页14.[SRG-GigabitEthernet0/0/2]ipaddress10.1.1.12415.[SRG-GigabitEthernet0/0/2]quit16.[SRG]interfaceGigabitEthernet0/0/317.[SRG-GigabitEthernet0/0/3]ipaddress1.1.1.12418.[SRG-GigabitEthernet0/0/3]quit19.[SRG]firewallzonetrust120.[SRG-zone-trust1]addinterfaceGigabitEthernet0/0/121.[SRG-zone-trust1]quit22.[SRG]firewallzonetrust223.[SRG-zone-trust2]addinterfaceGigabitEthernet0/0/224.[SRG-zone-trust2]quit25.[SRG]firewallzoneuntrust26.[SRG-zone-untrust]addinterfaceGigabitEthernet0/0/3[SRG-zone-untrust]quit27.通过NAT功能对Trust1区域的用户进行地址转换，使其可以转换成公网地址访问Internet。28.[SRG]nataddress-group01.1.1.101.1.1.2029.[SRG]nat-policyinterzonetrust1untrustoutbound30.[SRG-nat-policy-interzone-trust1-untrust-outbound]policy031.[SRG-nat-policy-interzone-trust1-untrust-outbound-0]policysource192.168.1.00.0.0.25532.[SRG-nat-policy-interzone-trust1-untrust-outbound-0]actionsource-nat33.[SRG-nat-policy-interzone-trust1-untrust-outbound-0]address-group034.[SRG-nat-policy-interzone-trust1-untrust-outbound-0]quit35.[SRG-nat-policy-interzone-trust1-untrust-outbound]quit36.配置针对Trust1区域的用户的带宽限制和连接数限制。文档名称文档密级2020-1-10华为保密信息,未经授权禁止扩散第5页,共8页a.创建范围为1.1.1.10～1.1.1.20的地址集。该地址集的地址范围与NAT地址池相同。在下面配置连接数限制时需要引用该地址集来匹配Trust1区域内的用户NAT转换后的地址。b.[SRG]ipaddress-setnat_address_pooltypeobjectc.[SRG-object-address-set-nat_address_pool]addressrange1.1.1.101.1.1.20d.[SRG-object-address-set-nat_address_pool]quite.配置带宽限制等级及对应的阈值，其中car-class1是上传的限制等级，阈值是1Mbps，car-class2是下载的限制等级，阈值是2Mbps，conn-class1是连接数的限制等级，阈值是20个连接。f.[SRG]firewallcar-class11000000g.[SRG]firewallcar-class22000000[SRG]firewallconn-class120h.创建用来限流的ACL，对匹配ACL中permit规则的用户进行限流。其中3001用于匹配上传的流量，3002用于匹配下载的流量。3003用于匹配NAT转换后的IP地址。i.[SRG]aclnumber3001j.[SRG-acl-adv-3001]descriptionpc_uploadk.[SRG-acl-adv-3001]rulepermitipsource192.168.1.00.0.0.255l.[SRG-acl-adv-3001]quitm.[SRG]aclnumber3002n.[SRG-acl-adv-3002]descriptionpc_downloado.[SRG-acl-adv-3002]rulepermitipdestination192.168.1.00.0.0.255p.[SRG-acl-adv-3002]quitq.[SRG]aclnumber3003r.[SRG-acl-adv-3003]descriptionnat_addresss.[SRG-acl-adv-3003]rulepermitipsourceaddress-setnat_address_poolt.[SRG-acl-adv-3003]quit文档名称文档密级2020-1-10华为保密信息,未经授权禁止扩散第6页,共8页u.在全局下开启IP-CAR功能，然后再在Trust1的入域和出域方向开启IP-CAR功能。v.[SRG]ip-carenablew.[SRG]firewallzonetrust1x.[SRG-zone-trust1]statisticenableipinzone[SRG-zone-trust1]statisticenableipoutzoney.引用ACL配置带宽限制，对匹配ACL中permit规则的流量进行带宽的限制。3001用于匹配上传流量，所以应用在outbound方向上，3002用于匹配下载流量，所以应用在inbound方向上。对NAT转换后的IP进行连接数限制只能应用在outbound方向上。z.[SRG-zone-trust1]statisticcaripoutbound1acl-number3001aa.[SRG-zone-trust1]statisticcaripinbound2acl-number3002bb.[SRG-zone-trust1]statisticconnect-numberipsourcenatoutbound1acl-number3003配置脚本以下仅给出与本案例有关的脚本。#sysnameSRG#nataddress-group01.1.1.101.1.1.20#ip-carenablefirewallcar-class11000000firewallcar-class22000000firewallconn-class120#aclnumber3001descriptionpc_upload文档名称文档密级2020-1-10华为保密信息,未经授权禁止扩散第7页,共8页rule5permitipsource192.168.1.00.0.0.255#aclnumber3002descriptionpc_downloadrule5permitipdestination192.168.1.00.0.0.255#aclnumber3003descriptionnat_addressrule5permitipsourceaddres