【防火墙FAQ】防火墙IP限速不生效

发布时间:  2015-03-13 浏览次数:  377 下载次数:  0
问题描述
防火墙IP限速不生效
处理过程

在配置每IP限流和整体限流功能前,需要先启用限流策略功能。

启用限流策略功能

  1. 选择防火墙 > 限流策略 > 基本配置
  2. 选中“限流策略”后面对应的“启用”复选框。
  3. 单击“应用”

配置每IP限流/整体限流:

  • 选择防火墙 > 限流策略 > 每IP限流
  • “每IP限流策略列表”中,单击“新建”
  • 依次输入或选择各项参数。
  • 单击“应用”
  • 配置流程如下:

    注意事项

    介绍限流策略功能的一些基本注意事项,以及与NAT等功能结合使用的特点。

    保证带宽

    • 保证带宽需要与整体限流结合起来使用,因为对于单个IP而言,若不配置其所在网络的整体限流,单个IP的最大带宽就相当于保证带宽,此时配置保证带宽没有意义。所以,当需要应用保证带宽功能时,必须同时配置每IP限流和整体限流。

    • 配置保证带宽功能时必须注意每IP保证带宽、每IP最大带宽、整体带宽3个参数之间的关系:
      • 必须保证每IP的保证带宽的总值要小于整体带宽的值,这个需要先根据网络规划计算保证,保证带宽的总和不超过接口的总带宽,如果所有的流量加起来超过了运营商给的带宽,就会在接口处随机丢包了。
      • 一般情况下配置保证带宽的时候只配置每IP保证带宽、整体带宽就行了,如果还需要限制每个IP的最大带宽还可以配置每IP最大带宽。此时所有IP的最大带宽的和要大于整体带宽,否则保证带宽无意义。例如:某网段有10个IP,配置的整体带宽为50M,则其保证带宽可以配置为4M左右(小于5M),最大带宽可配置为10M左右(大于5M),这时可以满足保证带宽的场景需求。
      • 整体限流策略和每IP限流策略控制的IP范围需一致,因为如果二者不一致,当整体带宽较小时,没有配置保证带宽的IP会因为无法抢占配置了保证带宽的IP的流量,而导致允许通过流量的很少。

        例如:对192.168.1.1~192.168.1.100网段配置了100M的整体限流,对其中192.168.1.1–192.168.1.50网段配置了每IP限流,每个IP保证带宽为2M,总计100M,则其他192.168.1.51–192.168.1.100分配不到流量。

    限流共享

    配置共享方式的限流class时,您需要注意:当已经在多个域间引用同一个限流class来限制总体带宽和连接数。假设设备还要增加一个域或出接口,且该域或者出接口需要与当前其他域共享带宽或限流时,您需要新增限流策略,并引用当前配置的限流class。

    与其他特性结合

    • 当配置了NAT、SLB等涉及地址转换的功能特性时,需要针对真实的IP地址进行限流配置。

      例如:配置了NAT Server功能,将服务器私网IP地址192.168.1.2/24转换为公网IP地址10.1.1.1/24,这时又要对该服务器进行限流时,这里需要对192.168.1.2/24进行配置限流策略。

    END