SRG_基于ip地址限速配置

1配置基于IP地址的连接数限制和带宽限制举例（路由应用）本例中，将使用路由口，通过IP-CAR功能限制内网用户的带宽和连接数，避免网络的拥塞。

组网需求
如图1所示，Trust1区域中内网用户的真实IP是192.168.1.0/24网段，但是经过设备NAT转换，采用NAT地址池1.1.1.10～1.1.1.20中的某个公网IP，就可以访问Internet。

Internet 放置在Untrust区域中。

同时内网还有一个安全区域Trust2。

具体需求如下：
•限制Trust1区域内的每个内网IP的上传/下载带宽为：1Mbps/2Mbps。

此处的上传包括在Trust1区域的用户上传到Trust2和Internet上的数据，下载包括用户从Trust2
和Internet中下载的数据。

•为了防止内网用户滥用P2P协议从Internet下载文件，浪费设备的端口资源，造成网络的拥塞，所以将每个NAT转换后IP的连接数限制为20个。

由于并不需要对Trust1
和Trust2这两个区域之间的连接数进行限制，所以实际上只需要对Trust1区域内进
行了NAT转换的连接数进行限制。

•对Trust2区域的用户访问Internet不做限制。

图1 配置基于IP地址的连接数限制和带宽限制组网图
要限制Trust1区域的用户访问Untrust区域时，可以将限流应用在两个方向上：
文档名称文档密级
2022-3-23 华
为
保
密
信
息
,
未
经
授
权
禁
止
扩
散
3
页
,
共
9
页
•Untrust区域的inzone方向上：该方向既包含Trust1访问Untrust的流量，也包含Trust2访问Untrust的流量。

在本例中，由于不需要对Trust2的用户访问Untrust的流量进行限制，所以应用在该
方向上不合适。

•Trust1区域的outzone方向上：该方向既包含Trust1访问Untrust的流量，也包含Trust1访问Trust2的流量。

在本例中，应用到该方向上，由于并不需要对Trust1和Trust2之间的连接数进行限
制，所以需要使用statistic connect-number ip source nat outbound命令，只对
NAT转换后的流量进行限制，不对使用私网IP进行访问的流量进行限制。

该命令只能
使用在安全区域的outbound方向上。

限制Trust1区域的用户的下载带宽时，同理应该应用在Trust1的inzone方向上。

操作步骤
1.创建安全区域。

2.<SRG> system-view
3.[SRG] firewall zone name trust1
4.[SRG-zone-trust1] set priority 60
5.[SRG-zone-trust1] quit
6.[SRG] firewall zone name trust2
7.[SRG-zone-trust2] set priority 70
8.[SRG-zone-trust2] quit
9.配置各个接口的IP，并划入相应的安全区域。

IP-CAR属于安全功能，必须将接口划
入安全区域后才能进行限流。

10.[SRG] interface GigabitEthernet 0/0/1
11.[SRG-GigabitEthernet0/0/1] ip address 192.168.1.1 24
12.[SRG-GigabitEthernet0/0/1] quit
13.[SRG] interface GigabitEthernet 0/0/2
14.[SRG-GigabitEthernet0/0/2] ip address 10.1.1.1 24
15.[SRG-GigabitEthernet0/0/2] quit
16.[SRG] interface GigabitEthernet 0/0/3
17.[SRG-GigabitEthernet0/0/3] ip address 1.1.1.1 24
18.[SRG-GigabitEthernet0/0/3] quit
19.[SRG] firewall zone trust1
20.[SRG-zone-trust1] add interface GigabitEthernet 0/0/1
21.[SRG-zone-trust1] quit
22.[SRG] firewall zone trust2
23.[SRG-zone-trust2] add interface GigabitEthernet 0/0/2
24.[SRG-zone-trust2] quit
25.[SRG] firewall zone untrust
26.[SRG-zone-untrust] add interface GigabitEthernet 0/0/3
[SRG-zone-untrust] quit
27.通过NAT功能对Trust1区域的用户进行地址转换，使其可以转换成公网地址访问
Internet。

28.[SRG] nat address-group 0 1.1.1.10 1.1.1.20
29.[SRG] nat-policy interzone trust1 untrust outbound
30.[SRG-nat-policy-interzone-trust1-untrust-outbound] policy 0
31.[SRG-nat-policy-interzone-trust1-untrust-outbound-0] policy source
192.168.1.0 0.0.0.255
32.[SRG-nat-policy-interzone-trust1-untrust-outbound-0] action source-nat
33.[SRG-nat-policy-interzone-trust1-untrust-outbound-0] address-group 0
文档名称文档密级
2022-3-23 华
为
保
密
信
息
,
未
经
授
权
禁
止
扩
散
5
页
,
共
9
页
34.[SRG-nat-policy-interzone-trust1-untrust-outbound-0] quit
35.[SRG-nat-policy-interzone-trust1-untrust-outbound] quit
36.配置针对Trust1区域的用户的带宽限制和连接数限制。

a.创建范围为1.1.1.10～1.1.1.20的地址集。

该地址集的地址范围与NAT地址池
相同。

在下面配置连接数限制时需要引用该地址集来匹配Trust1区域内的用
户NAT转换后的地址。

b.[SRG] ip address-set nat_address_pool type object
c.[SRG-object-address-set-nat_address_pool] address range 1.1.1.10
1.1.1.20
d.[SRG-object-address-set-nat_address_pool] quit
e.配置带宽限制等级及对应的阈值，其中car-class1是上传的限制等级，阈值是
1Mbps，car-class2是下载的限制等级，阈值是2Mbps，conn-class1是连接数
的限制等级，阈值是20个连接。

f.[SRG] firewall car-class 1
g.[SRG] firewall car-class 2
[SRG] firewall conn-class 1 20
h.创建用来限流的ACL，对匹配ACL中permit规则的用户进行限流。

其中3001
用于匹配上传的流量，3002用于匹配下载的流量。

3003用于匹配NAT转换后
的IP地址。

i.[SRG] acl number 3001
j.[SRG-acl-adv-3001] description pc_upload
k.[SRG-acl-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255
l.[SRG-acl-adv-3001] quit
m.[SRG] acl number 3002
n.[SRG-acl-adv-3002] description pc_download
o.[SRG-acl-adv-3002] rule permit ip destination 192.168.1.0 0.0.0.255
p.[SRG-acl-adv-3002] quit
q.[SRG] acl number 3003
r.[SRG-acl-adv-3003] description nat_address
s.[SRG-acl-adv-3003] rule permit ip source address-set nat_address_pool
t.[SRG-acl-adv-3003] quit
u.在全局下开启IP-CAR功能，然后再在Trust1的入域和出域方向开启IP-CAR功能。

v.[SRG] ip-car enable
w.[SRG] firewall zone trust1
x.[SRG-zone-trust1] statistic enable ip inzone
[SRG-zone-trust1] statistic enable ip outzone
y.引用ACL配置带宽限制，对匹配ACL中permit规则的流量进行带宽的限制。

3001用于匹配上传流量，所以应用在outbound方向上，3002用于匹配下载流量，
所以应用在inbound方向上。

对NAT转换后的IP进行连接数限制只能应用在
outbound方向上。

z.[SRG-zone-trust1] statistic car ip outbound 1 acl-number 3001
aa.[SRG-zone-trust1] statistic car ip inbound 2 acl-number 3002
bb.[SRG-zone-trust1] statistic connect-number ip source nat outbound 1 acl-number 3003
配置脚本
以下仅给出与本案例有关的脚本。

#
sysname SRG
#
文档名称文档密级
2022-3-23 华
为
保
密
信
息
,
未
经
授
权
禁
止
扩
散
7
页
,
共
9
页
nat address-group 0 1.1.1.10 1.1.1.20
#
ip-car enable
firewall car-class 1
firewall car-class 2
firewall conn-class 1 20
#
acl number 3001
description pc_upload
rule 5 permit ip source 192.168.1.0 0.0.0.255
#
acl number 3002
description pc_download
rule 5 permit ip destination 192.168.1.0 0.0.0.255 #
acl number 3003
description nat_address
rule 5 permit ip source address-set nat_address_pool #
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/3
ip address 1.1.1.1 255.255.255.0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/3
#
firewall zone name trust1
set priority 60
add interface GigabitEthernet0/0/1
statistic enable ip inzone
statistic enable ip outzone
statistic car ip outbound 1 acl-number 3001
statistic car ip outbound 2 acl-number 3002
statistic connect-number ip source nat outbound 1 acl-number 3003 #
firewall zone name trust2
set priority 70
add interface GigabitEthernet0/0/2
#
ip address-set nat_address_pool type object
address 0 range 1.1.1.10 1.1.1.20
#
policy interzone trust1 untrust outbound
policy 1
action permit
policy source 192.168.1.0 mask 24
文档名称文档密级
2022-3-23 华
为
保
密
信
息
,
未
经
授
权
禁
止
扩
散
9
页
,
共
9
页
#
policy interzone trust1 trust2 inbound
policy 1
action permit
policy source 192.168.1.0 mask 24
#
nat-policy interzone trust1 untrust outbound policy 0
action source-nat
policy source 192.168.1.0 0.0.0.255
address-group 0
#
return
父主题：配置举例。