Eudemon系列防火墙QOS限速设置

最新推荐文章于 2024-01-13 18:13:35 发布

weixin_33694172

最新推荐文章于 2024-01-13 18:13:35 发布

阅读量717

点赞数 1

原文链接：http://blog.51cto.com/sfwang/293408

版权

Eudemon系列防火墙可以设置流量监管，用QOS CAR做限速。不过好像不支持每IP限速，只能针对IP地址段去做限制，不能做的太细致。
　　举个例子 — 比如上网的网段IP地址范围是“192.168.1.0/24”，防火墙连接内网的端口号是“Ethernet 0/0/1”，那么可以把“192.168.1.0/24” 这个大网段划分为“192.168.1.0/27、192.168.1.32/27、192.168.1.64 /27、192.168.1.96/27、192.168.1.128/27、192.168.1.160/27、192.168.1.192/27、 192.168.1.224/27”这8个小网段，对每个地址段来做限速。大体步骤如下：
引用:

//进入系统配置视图
system-view

//用8个ACL分别描述8个IP地址段的流量
acl number 3001
rule 10 permit ip source 192.168.1.0 0.0.0.31
rule 11 permit ip destination 192.168.1.0 0.0.0.31
acl number 3002
rule 10 permit ip source 192.168.32 0.0.0.31
rule 11 permit ip destination 192.168.32.0 0.0.0.31
acl number 3003
rule 10 permit ip source 192.168.64 0.0.0.31
rule 11 permit ip destination 192.168.64.0 0.0.0.31
acl number 3004
rule 10 permit ip source 192.168.96 0.0.0.31
rule 11 permit ip destination 192.168.96.0 0.0.0.31
acl number 3005
rule 10 permit ip source 192.168.128 0.0.0.31
rule 11 permit ip destination 192.168.128.0 0.0.0.31
acl number 3006
rule 10 permit ip source 192.168.160 0.0.0.31
rule 11 permit ip destination 192.168.160.0 0.0.0.31
acl number 3007
rule 10 permit ip source 192.168.192 0.0.0.31
rule 11 permit ip destination 192.168.192.0 0.0.0.31
acl number 3008
rule 10 permit ip source 192.168.224 0.0.0.31
rule 11 permit ip destination 192.168.224.0 0.0.0.31
quit

//引用ACL定义8个类
traffic classifier class1
if-match acl 3001
traffic classifier class2
if-match acl 3002
traffic classifier class3
if-match acl 3003
traffic classifier class4
if-match acl 3004
traffic classifier class5
if-match acl 3005
traffic classifier class6
if-match acl 3006
traffic classifier class7
if-match acl 3007
traffic classifier class8
if-match acl 3008
quit

//定义8个行为(每个类限速3Mbps)
traffic behaviour behav1
car cir 3000000 cbs 0 ebs 0 green pass reddiscard
traffic behaviour behav2
car cir 3000000 cbs 0 ebs 0 green pass reddiscard
traffic behaviour behav3
car cir 3000000 cbs 0 ebs 0 green pass reddiscard
traffic behaviour behav4
car cir 3000000 cbs 0 ebs 0 green pass reddiscard
traffic behaviour behav5
car cir 3000000 cbs 0 ebs 0 green pass reddiscard
traffic behaviour behav6
car cir 3000000 cbs 0 ebs 0 green pass reddiscard
traffic behaviour behav7
car cir 3000000 cbs 0 ebs 0 green pass reddiscard
traffic behaviour behav8
car cir 3000000 cbs 0 ebs 0 green pass reddiscard
quit

//定义一个QOS策略来限制8个网段的上传和下载速率
qos policy speed_limit
classifier class1 behaviour behav1
classifier class2 behaviour behav2
classifier class3 behaviour behav3
classifier class4 behaviour behav4
classifier class5 behaviour behav5
classifier class6 behaviour behav6
classifier class7 behaviour behav7
classifier class8 behaviour behav8
quit

//在内网接口的inbound和outbound方向应用QOS策略，分别对上传和下载速率进行限制
interface ethernet 0/0/1
qos apply policy speed_limit inbound
qos apply policy speed_limit outbound
quit

//返回用户视图，保存配置
quit
save

　　这样做完之后，每个地址段的32台主机最大上传和下载速率分别被限制在3Mbps(总共8X3=24Mbps)。这样就算某个网段有人疯狂下载，也不会影响其它7个IP地址段的正常上网，可以减小故障的影响面。
　　注意事项：
1.因为是针对内网IP地址来判断数据流，所以只能在内网接口上做限速。在外网口上做的话，会因为内网的地址被NAT地址转换成公网地址，而没有任何效果；
2.最理想的做法是每个IP一个网段，也就是每IP限速。但是Eudemon系列好像不支持每IP限速，所以只能将网段划分的尽可能细。网段划分的越细，限速效果就越好，发生故障时也越容易定位；
3.防火墙的物理接口在同一时间、同一方向上，只能加载一个QOS策略，所以如果想设置其它的QOS策略语句，需要先在接口上用”undo qos apply policy [inbound|outbound]”命令停用QOS策略，编辑策略后再重新启用。

转载于:https://blog.51cto.com/sfwang/293408

weixin_33694172

关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
Eudemon系列防火墙QOS限速设置

Eudemon系列防火墙可以设置流量监管，用QOS CAR做限速。不过好像不支持每IP限速，只能针对IP地址段去做限制，不能做的太细致。　　举个例子 — 比如上网的网段IP地址范围是“192.168.1.0/24”，防火墙连接内网的端口号是“Ethernet 0/0/1”，那么可以把“192.168.1.0/24” 这个大网段划分为“192.168.1.0/27、192...
复制链接

扫一扫