由于ACL配置错误,导致USG2130应用 P2P限流无效果

发布时间:  2012-07-17 浏览次数:  142 下载次数:  0
问题描述

某局客户采用USG2130防火墙设备针对内网PC设置了P2P流量限制功能,但是无效果;

组网如下:PC-----USG2130---internet

其中PC 处于trust 区域,internet 处于untrust 区域;

告警信息
处理过程

1、检查USG2130 版本,是V100R003C01SPC007,为目前最新版本,支持P2P限流;

2、检查客户的P2P模式文件,为最新版本1.2.2.4B.
3、检查P2P限流的基本配置,没有问题;
4、检查P2P限制对应的ACL,发现客户配置限流的上下行只有一条ACL匹配,ACL中定义了一条针对源目的地址的ACL,配置如下:
rule 0 permit ip source 192.168.1.0 0.0.0.255
域间P2P限流配置为:
p2p-car 3030 class 0 outbound
p2p-car 3030 class 0 inbound
从上面的配置中发现问题。
P2P限制流中inbound和outbound的意思只是表示上行还是下行流量,无法根据流向将源地址转换为目的地址,所以需要针对outbound再增加一条ACL ,指定为目的地址为192.168.1.0 0.0.0.255;
修改后配置为:
ACL 3030
rule 0 permit ip source 192.168.1.0 0.0.0.255
ACL 3040
rule 0 permit ip destination 192.168.1.0 0.0.0.255
域间P2P限流配置为:
p2p-car 3030 class 0 outbound
p2p-car 3040 class 0 inbound

根因

分析原因如下:

1.防火墙版本过低,不支持P2P功能。

2.P2P模式文件未更新为最新版本。

3.配置P2P时未指定需要限流的应用协议。

4.ACL配置错误。

建议与总结
需要理解p2p限流中inbound,outbound与域间包过滤中inbound,outbound的区别。

END