USG2200(V300R001)基于每IP限速不成功

发布时间:  2014-09-11 浏览次数:  326 下载次数:  0
问题描述
采用基于per-ip的限流策略,限制每个IP最大下载速率为500Kbps,配置完成后,进行迅雷下载测试,发现下载速率迅速达到3Mbps以上,限速效果远远不能满足要求。

关键配置如下:

#                                        
ip address-set m10 type object
address 0 192.168.10.0 mask 24
#
traffic-policy enable
#
car-class m2 type per-ip
car max 500 guaranteed 8  (单位为Kbps)
car-class m1 type per-ip
car max 500 guaranteed 8
#
traffic-policy interzone trust untrust inbound per-ip   ##限制下载
policy 0
  action car
  policy destination address-set m10
  policy car-type source-ip
  policy car-class m2                    
traffic-policy interzone trust untrust outbound per-ip  ##限制上行
policy 0
  action car
  policy source address-set m10
  policy car-type source-ip
  policy car-class m1
#
告警信息
无。
处理过程
1、提醒用户下载另一网站的某个资源,测试速率仍然远远超出限定速率。排除P2P客户端本地获取资源的可能。
2、远程登录设备,进行问题分析。
   1)查看测试终端192.168.10.90的统计信息

   <USG2200>display traffic-policy statistic per-ip car 192.168.10.90
Current Total Node: 1
-------------------------------------------------------------------------------
IP Address       Type           SrcVrf->DstVrf            SrcZone->DstZone    
        Policy ID    Passed Packets/Passed Bytes      Droped Packets/Droped Bytes    
-------------------------------------------------------------------------------
192.168.10.90    Src            public->public              trust->untrust    
        0                    593894/215070414                  22092/5266296

从该统计信息可以说明:这里是基于源的限速,限制的是trust->untrust方向的速率,LAN在trust,所以限制的是上行。这里没有到限制下行速率的统计信息。虽然上行有明显的丢包,但上行达到500Kbps时,基于P2P下载是可以远远大于上行的。可见,问题主要出现在限制下行方面,即untrust-trust的inboud方向上。
2)检查untrust-trust的inboud方向上的配置。

traffic-policy interzone trust untrust inbound per-ip   ##限制下载
policy 0
  action car
  policy destination address-set m10
  policy car-type source-ip
  policy car-class m2      
              
策略在域间有应用,但有一处配置错误policy car-type source-ip。这里就是对每个公网IP进行限速为500Kbps了。即使每个公网IP限制为m2的500Kbps,那么多个公网IP同时为该P2P客户端提供数据,完全可以远远超越car最大速率的。况且由于是有NAT的,不存从公网直接到192.168.10.90的数据流,从而统计为不存在。
这里需要修改为:
  policy car-type destination。下载时,在防火墙上,目的地址是内网的私有地址。这样配置后,就是针对内网每个IP限制速率为500Kbps。
3)配置完成后,进行测试,查看192.168.10.90的统计信息:

Current Total Node: 2
-------------------------------------------------------------------------------
IP Address       Type           SrcVrf->DstVrf            SrcZone->DstZone    
        Policy ID    Passed Packets/Passed Bytes      Droped Packets/Droped Bytes    
-------------------------------------------------------------------------------
192.168.10.90    Dst            public->public            untrust->trust      
        0                      5445/2347726                      532/602847            
192.168.10.90    Src            public->public              trust->untrust    
        0                    611581/221699670                  22480/5790236 
 
可见,上传、下载的统计均有了。既存在基于源的限速(Src),又存在基于目的的限速(Dst),并且都有丢包数。反复查看统计,Droped Packets/Droped Bytes都在增长。实际测试结果:迅雷下载速率始终没能超过限速的500Kbps。
根因
1、下载的热点资源在本地网络中,已经通过P2P软件下载过多次。
2、配置错误。
建议与总结
无。

END