USG5300应用流量监管策略方向错误导致限流失败

发布时间:  2014-10-30 浏览次数:  153 下载次数:  0
问题描述
客户内网Trust区服务器需提供Internet用户访问,USG5360防火墙部署于边界处,版本V100R002C01SPC008。
           内网/Trust区域 ---(Ge0/0/0)USG5360(Ge0/0/1) ---Internet/Untrust区域

某一段时期,Internet访问业务量骤增,使得内网服务器负载过重。
用户要求对Internet上的入流量进行限制,配置qos流量监管策略并应用到Untrust区域后,内网服务器负载未减轻,限流无明显效果。
告警信息
处理过程
检查流量监管的配置
#                                        
acl number 2000
  rule 0 permit
#
traffic behavior limit300                
   car cir 300000000 cbs 1000000 ebs 0
#
qos policy limit300
  classifier limit300 behavior limit300
#
firewall zone untrust
  set priority 5
  add interface GigabitEthernet0/0/1
  qos apply policy limit300 inbound
#
从上面的配置看到,qos策略被应用到Untrust区域的inbound方向。
修改为outbound方向,如下。
#
firewall zone untrust
  set priority 5
  add interface GigabitEthernet0/0/1
  qos apply policy limit300 outbound
#
配置完毕之后,检查Ge0/0/1的入流量约700Mbps,而Ge0/0/0的出流量约300Mbps。
说明流量策略已生效,从Internet方向入的访问流量经过防火墙的监管后,流向内网的实际流量被限制到300Mbps。此时,检查内网服务器的CPU利用率也已明显降低。
根因
客户要限制Internet入的流量,对于Untrust区域来说,这些流量是从本区域流向其他区域的,因此配置命令时,应将流量策略配置在outbound方向。
解决方案
在Untrust区域outbound方向配置流量监管策略。
建议与总结
本配置在用户现网中应用,限流效果良好。
配置时务必要慎重,QoS流量监管策略一旦应用到错误的方向上,会起到适得其反的效果。

END