关于防火墙USG系列流量管理FAQ

发布时间:  2014-12-25 浏览次数:  80 下载次数:  0
问题描述
Q1:IP-CAR和NAT功能同时使用的时候有什么需要注意的?

Q2:可以在透明模式下使用IP-CAR吗?

Q3:P2P限流和IP-CAR功能有什么关系?
解决方案
A1:由于IP-CAR主要以IP地址为限制对象,所以在配置IP-CAR时,ACL中指定的IP地址是否正确非常关键。在NAT应用中会对报文的IP地址进行修改,导致存在两种IP地址:
NAT转换前的IP地址,即内网主机的真实IP地址。
NAT转换后的IP地址,即在进行NAT转换后,内网主机用来于公网主机通信的IP地址。这个IP地址可能来自于NAT地址池,或者是设备公网接口的IP地址。
所以在配置IP-CAR时需要注意,ACL中指定的IP地址应为NAT转换前的IP地址,且限流措施应当应用在内网主机所在的安全区域上,此时内网主机的真实带宽和连接数才会被限制到阈值之下。


A2:目前在3层转发或者2层转发能产生会话表的情况情况下,可以进行ip-car的限制。


A3:P2P限流是仅针对P2P协议流量所做的限制,限制效果一定程度上依赖于设备对P2P流量的识别结果。而IP-CAR仅根据IP地址进行限制,不管流量的具体协议类型。所以当P2P限流因为检测效果不佳导致限流效果不好时,可以考虑使用IP-CAR辅助进行总带宽的控制。

END