华为防火墙性能指标(华为防火墙园区网接入Internet)
华为防火墙性能指标(华为防火墙园区网接入Internet)
综合配置流量监管、流量整形和接口限速,实现对企业、小区接入Internet流量的控制功能。
组网需求
如图1所示,运营商为某公司分配了10M带宽,公司的内网PC和Server可经由USG访问Internet。
业务需求如下:
公司内网的PC和Server与Internet上的主机通信时,限制PC和Server向外发送数据的带宽均为6M。
在USG的出接口上匹配运营商分配的10M带宽,对于超出的流量以比较均匀的速度向运营商网络发送,避免因为报文被直接丢弃而导致的重传。
配置思路1 由于运营商为公司分配了10M带宽,因此需要在USG的出接口GigabitEthernet 0/0/2上配置流量整形功能,使超出和突发的流量以比较均匀的速度向外发送。这样有利于网络上下游之间的带宽匹配,避免了报文因直接丢弃而导致的大量重传。
2 为了实现带宽的划分和流量的限制,需要在USG的GigabitEthernet 0/0/1和GigabitEthernet 0/0/3接口上配置流量监管功能,将来自PC的流量限制为6000Kbits/s;将来自Server的总流量限制为6000Kbits/s。
操作步骤
1 配置USG的基本数据。
# 配置GigabitEthernet 0/0/1的IP地址。
<USG> system-view
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 192.168.0.1 24
[USG-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/2的IP地址。
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 202.1.1.1 24
[USG-GigabitEthernet0/0/2] quit
# 配置GigabitEthernet 0/0/3的IP地址。
[USG] interface GigabitEthernet 0/0/3
[USG-GigabitEthernet0/0/3] ip address 10.1.1.1 24
[USG-GigabitEthernet0/0/3] quit
# 将GigabitEthernet 0/0/1加入Trust区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/1
[USG-zone-trust] quit
# 将GigabitEthernet 0/0/2加入Untrust区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/2
[USG-zone-untrust] quit
# 将GigabitEthernet 0/0/3加入DMZ区域。
[USG] firewall zone dmz
[USG-zone-dmz] add interface GigabitEthernet 0/0/3
[USG-zone-dmz] quit
# 配置Trust和Untrust域间以及DMZ和Untrust域间的缺省包过滤。
[USG] firewall packet-filter default permit interzone trust untrust
[USG] firewall packet-filter default permit interzone dmz untrust
# 配置缺省路由,此处假设下一跳为202.1.1.2。
[USG] ip route-static 0.0.0.0 0 202.1.1.2
2 配置流量监管,限制内网PC和Server的带宽。
<USG> system-view
[USG] acl number 2001
[USG-acl-basic-2001] rule permit source 192.168.0.0 0.0.0.255
[USG-acl-basic-2001] quit
[USG] acl number 2002
[USG-acl-basic-2002] rule permit source 10.1.1.10 0.0.0.0
[USG-acl-basic-2002] quit
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] qos car inbound acl 2001 cir 6000 cbs 6000 green pass red discard
[USG-GigabitEthernet0/0/1] quit
[USG] interface GigabitEthernet 0/0/3
[USG-GigabitEthernet0/0/3] qos car inbound acl 2002 cir 6000 cbs 6000 green pass red discard
[USG-GigabitEthernet0/0/3] quit
3在USG的GigabitEthernet0/0/2接口上配置流量整形,对该接口发送的超过10000Kbits/s的报文进行流量整形。
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] qos gts any cir 10000 cbs 10000
[USG-GigabitEthernet0/0/2] quit
结果验证
在USG上执行命令display qos car interface [ interface-type interface-number ],
可以观察到流量监管的配置情况,如下所示:
[USG] display qos car interface GigabitEthernet 0/0/1
Interface: GigabitEthernet0/0/1
Direction: Inbound
Rule(s): If-match ACL 2001
CIR 6000 (Kbps) CBS 6000 (Kbit)
Conform Action: pass
Exceed Action : discard
Conformed: 1740/149640 (Packets/Bytes)
Exceeded : 6147/528642 (Packets/Bytes)
[USG] display qos car interface GigabitEthernet 0/0/3
Interface: GigabitEthernet0/0/3
Direction: Inbound
Rule(s): If-match ACL 2002
CIR 6000 (Kbps) CBS 6000 (Kbit)
Conform Action: pass
Exceed Action : discard
Conformed: 268/23048 (Packets/Bytes)
Exceeded : 7590/652740 (Packets/Bytes)
在USG上执行命令display qos gts interface [ interface-type interface-number ],
可以观察到流量整形的配置情况,如下所示:
[USG] display qos gts interface GigabitEthernet 0/0/2
Interface: GigabitEthernet0/0/2
Rule(s): If-match Any
CIR 10000 (Kbps)
CBS 10000 (Kbit)
Queue Length: 50 (Packet)
Queue Size : 50 (Packet)
Passed : 15745/1354070 (Packets/Bytes)
Discarded: 316751/27240586 (Packets/Bytes)
Delayed : 15365/132139 (Packets/Bytes)
