H3C 基于IP的限速

Eudemon系列防火墙可以设置流量监管，用QOS CAR做限速。不过好像不支持每IP限速，只能针对IP地址段 去做限制，不能做的太细致。 　　举个例子 — 比如上网的网段IP地址范围是“192.168.1.0/24”，防火墙连接内网的端口号是“Ethernet 0/0/1”，那么可以把“192.168.1.0/24” 这个大网段划分为“192.168.1.0/27、192.168.1.32/27、192.168.1.64 /27、192.168.1.96/27、192.168.1.128/27、192.168.1.160/27、192.168.1.192/27、 192.168.1.224/27”这8个小网段，对每个地址段来 做限速。大体步骤如下： 引用: //进入系统配置视图 system-view //用8个ACL分 别描述8个IP地址段的流量 acl number 3001 rule 10 permit ip source 192.168.1.0 0.0.0.31 rule 11 permit ip destination 192.168.1.0 0.0.0.31 acl number 3002 rule 10 permit ip source 192.168.32 0.0.0.31 rule 11 permit ip destination 192.168.32.0 0.0.0.31 acl number 3003 rule 10 permit ip source 192.168.64 0.0.0.31 rule 11 permit ip destination 192.168.64.0 0.0.0.31 acl number 3004 rule 10 permit ip source 192.168.96 0.0.0.31 rule 11 permit ip destination 192.168.96.0 0.0.0.31 acl number 3005 rule 10 permit ip source 192.168.128 0.0.0.31 rule 11 permit ip destination 192.168.128.0 0.0.0.31 acl number 3006 rule 10 permit ip source 192.168.160 0.0.0.31 rule 11 permit ip destination 192.168.160.0 0.0.0.31 acl number 3007 rule 10 permit ip source 192.168.192 0.0.0.31 rule 11 permit ip destination 192.168.192.0 0.0.0.31 acl number 3008 rule 10 permit ip source 192.168.224 0.0.0.31 rule 11 permit ip destination 192.168.224.0 0.0.0.31 quit //引用ACL定义8个类 traffic classifier class1 if-match acl 3001 traffic classifier class2 if-match acl 3002 traffic classifier class3 if-match acl 3003 traffic classifier class4 if-match acl 3004 traffic classifier class5 if-match acl 3005 traffic classifier class6 if-match acl 3006 traffic classifier class7 if-match acl 3007 traffic classifier class8 if-match acl 3008 quit //定义8个行为(每 个类限速3Mbps) traffic behaviour behav1 car cir 3000000 cbs 0 ebs 0 green pass reddiscard traffic behaviour behav2 car cir 3000000 cbs 0 ebs 0 green pass reddiscard traffic behaviour behav3 car cir 3000000 cbs 0 ebs 0 green pass reddiscard traffic behaviour behav4 car cir 3000000 cbs 0 ebs 0 green pass reddiscard traffic behaviour behav5 car cir 3000000 cbs 0 ebs 0 green pass reddiscard traffic behaviour behav6 car cir 3000000 cbs 0 ebs 0 green pass reddiscard traffic behaviour behav7 car cir 3000000 cbs 0 ebs 0 green pass reddiscard traffic behaviour behav8 car cir 3000000 cbs 0 ebs 0 green pass reddiscard quit //定义一个QOS策略来限制8个网段的上传和下载速率 qos policy speed_limit classifier class1 behaviour behav1 classifier class2 behaviour behav2 classifier class3 behaviour behav3 classifier class4 behaviour behav4 classifier class5 behaviour behav5 classifier class6 behaviour behav6 classifier class7 behaviour behav7 classifier class8 behaviour behav8 quit //在内网接口的inbound和outbound方向应用QOS策略，分别对上传和下载速率进行限制 interface ethernet 0/0/1 qos apply policy speed_limit inbound qos apply policy speed_limit outbound quit //返回用户视图，保存配置 quit save 　　这样做完之后，每个地址段的32台主机最大上传和下载速率分别 被限制在3Mbps(总共8X3=24Mbps)。 这样就算某个网段有人疯狂下载，也不会影响其它7个IP地 址段的正常上网，可以减小故障的影响面。 　　注意事项： 1.因为是针对内网IP地址来判断数据流，所以只能在内网接口上做限速。在外网口上做的话，会因为内网的地址被NAT地址转换成公网地址，而没有任何效 果； 2.最理想的做法是每个IP一个网段，也就是每IP限速。但是Eudemon系列好像不支持每IP限速，所以只能将网段划分的尽可能细。网段划分的越细，限速效果就越好，发生故障时也越容易定位； 3.防火墙的物理接口在同一时间、同一方向上，只能加载一个QOS策 略，所以如果想设置其它的QOS策略语句，需要先在接口上用”undo qos apply policy [inbound|outbound]”命令停用QOS策略，编辑策略后再重新启用。