USG6500(V1R1C30SPC100)下行流量超过限制的限流阀值

发布时间:  2017-03-20 浏览次数:  129 下载次数:  0
问题描述

带宽策略 流量趋势与应用分布报表中看到下行流量超过配置的限流值,认为防火墙限流失效.

处理过程

1.查看防火墙限流配置,未发现问题。

profile 通道12

  bandwidth upstream maximum-bandwidth 3000

  bandwidth upstream guaranteed-bandwidth 2000

  bandwidth downstream maximum-bandwidth 3000

  bandwidth downstream guaranteed-bandwidth 2000

  bandwidth priority 1

 

rule name 一楼物业办公室172.16.9.0/26

  description 一楼物业办公室172.16.9.0/26

  source-zone trust

  destination-zone untrust

  source-address address-set 一楼物业办公室172.16.9.0/26

  source-address address-set ECC三层大厅项目组172.16.2.64/26

  action qos profile 通道12

2.进一步分析操作记录,发现 7 14 日时发生过对限流策略的变更,但仔细查变更前的操作记录,未发现会影响限流失败的配置。

  07/14/2016 17:08:57 HTPR   172.16.1.6      psbc                           

  Cmd:undo bandwidth ip-car downstream guaranteed-bandwidth per-ip

 

  07/14/2016 17:08:57 HTPR   172.16.1.6      psbc                           

  Cmd:undo bandwidth ip-car downstream maximum-bandwidth per-ip

 

  07/14/2016 17:08:57 HTPR   172.16.1.6      psbc                           

  Cmd:undo bandwidth ip-car upstream guaranteed-bandwidth per-ip

 

  07/14/2016 17:08:57 HTPR   172.16.1.6      psbc                           

  Cmd:undo bandwidth ip-car upstream maximum-bandwidth per-ip

 

  07/14/2016 17:08:57 HTPR   172.16.1.6      psbc                           

  Cmd:bandwidth priority 1

 

  07/14/2016 17:08:57 HTPR   172.16.1.6      psbc                           

  Cmd:profile 通道12

 

3.进一步跟客户确认问题现象,确认现网只是看到页面上的报表中,显示的流量峰值超过限制的值,并没有发现实际业务流量超过限流值的情况。


4.进一步核实防火墙侧流量趋势与应用分布报表的实现,确认流量报表中展示的下行流量值是防火墙限流前的流量大小(实际上,如果配置了限流为 2M,此处显示限流后的流量报表是没有意义的,因为数值上就是 2M)

根因

防火墙限流功能本身没有问题,但是对应报表上没有明确标识限流前后的流量,容易导致误解。

解决方案

后续版本中会在页面上显示限流前后的流量大小,避免此误解。对应页面显示为:


END