E200S配置基于IP的带宽限制功能

1页配置基于IP的带宽限制功能步骤1执行命令system-view，进入系统视图。步骤2执行命令firewallcar-classclass-numberbandwidth，配置带宽限制等级及对应的带宽上限值。步骤3执行命令aclacl-number，进入基本ACL视图。步骤4执行命令rule[rule-id]{permit|deny}[source{source-addresssource-wildcard|address-setaddress-set-name|any}|time-rangetime-name|logging]*，配置基本ACL规则，规定需要进行带宽限制的用户。命中基本ACL中permit规则的用户需要限制带宽，命中deny规则的则不需要限制带宽。步骤5执行命令quit，退回系统视图。步骤6（可选）执行命令aclacl-number，进入高级ACL视图。步骤7（可选）执行命令rule[rule-id]{permit|deny}protocol[source{source-addresssource-wildcard|address-setaddress-set-name|any}|destination{destination-addressdestination-wildcard|address-setaddress-set-name|any}|source-port{operatorport|rangeport1port2|port-setport-set-name}|destination-port{operatorport|rangeport1port2|port-setport-set-name}|icmp-type{icmp-typeicmp-code|icmp-message}|precedenceprecedence|tostos|time-rangetime-name|logging]*，配置高级ACL。高级ACL可以对用户进行深入的划分，如可以指定协议，指定端口，指定目的IP地址等，以实现用户更为精细的限制策略。命中高级ACL中permit规则的用户需要限制带宽，命中deny规则的用户则不需要限制带宽。这里的高级ACL的permit规则是在基本ACL的基础上配置的，高级ACL所允许的IP地址必须包含于对应的基本ACL中。步骤8执行命令quit，退回系统视图。步骤9执行命令firewallzonezone-name，进入安全区域视图。步骤10执行命令ip-carenable，使能IP-CAR功能。步骤11执行命令ip-car{inzone|outzone}class-numberacl-numberacl-number，为基本ACL中规定的用户绑定带宽限制等级。每个方向（inzone或outzone）最多各可配置0～7共8个带宽限制等级，每个等级只可配置一个基本ACL。如果对多个等级配置了同一个ACL，则等级最低的（0等级）对此ACL规定的用户生效。2页步骤12（可选）执行命令ip-carp2p{inzone|outzone}filteracl-numberacl-number，为高级ACL中规定的用户绑定带宽限制等级。此命令是在步骤11中已经为基本ACL绑定带宽限制等级的基础上配置的。inzone和outzone方向各只能配置一次这条命令。使用此命令，可以限制高级ACL中用户的带宽，如限制访问指定IP地址或指定端口用户的带宽。如果没有配置步骤6和步骤7，则此步骤不需要配置。----结束配置基于IP的限速示例组网需求如图10-3所示，Eudemon的接口Ethernet0/0/0属于Untrust区域，Ethernet0/0/1属于Trust区域，Ethernet1/0/0属于DMZ区域。PC都属于Trust区域，Internet属于Untrust区域，FTPServer属于DMZ区域。需求1：限制IP地址为110.1.1.0/24网段的每个PC发起的最大会话带宽为：100kbit/s。需求2：对IP地址为110.1.1.6/24的PC不做任何限制。图10-3基于IP的P2P限流配置举例组网图配置思路3页按照以下思路进行配置：配置Eudemon的基本数据。配置110.1.1.0/24网段的基于IP的带宽限制和连接数限制，并在ACL中配置需特殊处理的110.1.1.6/24用户。配置步骤步骤1配置Eudemon的基本数据。#配置Eudemon接口IP地址。Eudemonsystem-view[Eudemon]interfaceEthernet0/0/0[Eudemon-Ethernet0/0/0]ipaddress100.1.1.124[Eudemon-Ethernet0/0/0]quit[Eudemon]interfaceEthernet0/0/1[Eudemon-Ethernet0/0/1]ipaddress110.1.1.124[Eudemon-Ethernet0/0/1]quit[Eudemon]interfaceEthernet1/0/0[Eudemon-Ethernet1/0/0]ipaddress200.1.1.124[Eudemon-Ethernet1/0/0]quit#将Eudemon各接口加入安全区域。[Eudemon]firewallzoneuntrust[Eudemon-zone-untrust]addinterfaceEthernet0/0/0[Eudemon-zone-untrust]quit[Eudemon]firewallzonetrust[Eudemon-zone-trust]addinterfaceEthernet0/0/1[Eudemon-zone-trust]quit[Eudemon]firewallzonedmz4页[Eudemon-zone-dmz]addinterfaceEthernet1/0/0[Eudemon-zone-dmz]quit＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝下面是限速的正题＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝#配置基本ACL，限制Trust区域。[Eudemon]acl2000[Eudemon-acl-basic-2000]rulepermitipsource110.1.1.00.0.0.255[Eudemon-acl-basic-2000]quit#配置单个IP的总带宽限制等级及对应的带宽上限值。[Eudemon]firewallcar-class0100000#配置高级ACL，规定特殊用户110.1.1.6/24。[Eudemon]acl3001[Eudemon-acl-adv-3001]rule5denyipsource110.1.1.60[Eudemon-acl-adv-3001]quit#将带宽和连接数限制应用在trust域。[Eudemon]firewallzonetrust[Eudemon-zone-trust]ip-carenable#限制PC发起的所有流量总带宽。[Eudemon-zone-trust]ip-caroutzone0acl-number2000\\限速端口流量[Eudemon-zone-trust]ip-caroutzonefilteracl-number3001\\过滤特殊IP----结束