USG2210限制带宽不成功解决案例

发布时间:  2014-09-11 浏览次数:  341 下载次数:  0
问题描述
usg2110配置限制连接数用siniffer查看不能实现
连接主机 61.*.*.*. 得到用户名称.
[8:09:23] - [28] 用户 AN [61.*.*.*] 连接
[8:09:23] - [28] ANONYMOUS: 当前目录: E:\ftp\
[8:09:23] - [28] ANONYMOUS: 当前目录: E:\ftp\
[8:09:33] - [28] ANONYMOUS: 当前目录: E:\ftp\360\
[8:09:36] - [28] ANONYMOUS: 当前目录: E:\ftp\360\杀毒\
[8:09:41] - [28] ANONYMOUS: 当前目录: E:\ftp\360\杀毒\
[8:09:41] - [28] ANONYMOUS: 开始下载 E:\ftp\360\杀毒\360sd-upd.exe
[8:10:03] - [28] ANONYMOUS: 文件下载成功: E:\ftp\360\杀毒\360sd-upd.exe (518.63 K/S - 11 683 616 bytes)
告警信息
处理过程

1、通过用户提供的抓捕信息和截图信息,判断确实没有达到限流的速度

2、查看配置:

firewall car-class 1 2000000
firewall conn-class 1 10

acl number 3002
rule 5 permit tcp source 10.0.0.0 0.0.0.255
rule 10 permit tcp source 10.0.3.0 0.0.0.255

firewall zone trust
set priority 85
add interface Ethernet0/0/1
ip-car enable
ip-conn tcp inzone 1 acl-number 2000
ip-car inzone 1 acl-number 2000
ip-car outzone 1 acl-number 2000
ip-car inzone filter acl-number 3002
ip-car outzone filter acl-number 3002
ip-conn inzone filter acl-number 3002
ip-conn outzone filter acl-number 3002

3、发现是针对TCP连接数限制,所以其他的连接时不限制的,该为针对IP 的限制
rule 5 permit tcp source 10.0.0.0 0.0.0.255,改为:rule 5 permit ip source 10.0.0.0 0.0.0.255

4、修改配置后,限流成功

根因
在做IP-CAR限流的时候,如果针对协议限流,则只能对该协议限制,其他协议则不能限制,所以在实际应用中,要针对IP限制
建议与总结
在做防火墙限流的时候,如果是P2P限流,则只有模式文件能匹配上所限制的协议的版本的时候才有效,故一般采用IP-CAR方式限流,限制连接数或者带宽很有效。

END