USG5320 做 IP-CAR如何不限制内部pc访问某一台公网服务器

发布时间:  2012-07-17 浏览次数:  106 下载次数:  0
问题描述
需求,客户要求在限制内网的PC上传下载的同时,对访问公网某台服务器不做限制
之前我们遇到的都是限制内网访问公网,这样只要内部访问公网都进行了限制,那么如何对某个公网地址不做限制呢
告警信息
处理过程
acl number 3000    这个是限制上传的acl   内网网段需要写源
 rule 0 deny ip destination 1.1.1.1 0     先把公网的不受限制的ip 拒绝掉
 rule 5 permit ip source 192.168.0.2 0    内网的IP
acl number 3001   这个是限制下载的ACL   内网网段需要写目的
 rule 0 deny ip source 1.1.1.1 0        同样先把公网的不受限制的ip 拒绝掉
 rule 5 permit ip destination 192.168.0.2 0   限制下载内网写目的
 
firewall car-class 1 800000             限制下载的800Kb
 
 firewall car-class 2 1600000           限制上传的为1600Kb
 
注意这里是小b,实际流量要在除以8   因为单位是byte
 
 statistic enable ip inzone
 statistic enable ip outzone
 statistic car ip inbound 1 acl-number 3001
 statistic car ip outbound 2 acl-number 3000
根因
建议与总结
以上只是拿一个地址举例,现网环境中可能会比较复杂,网段划分也比较多,但是原理是不变的。

END