關鍵字:IP-CAR 連接數限制 帶寬限制
摘要:IP-CAR應用比較廣泛,應用場景也比較多,各種需求也不一樣,各版本的配置也不一樣,現對這些各種應用場景和各種版本做一個簡單的總結,本文主要設計到的應用場景有:基於時間段的限制帶寬,限制連接數,特別IP不做限制,以及各版本的配置差異。
組網需求
如圖1所示,USG的接口GigabitEthernet 0/0/0屬於Untrust區域,GigabitEthernet 0/0/1屬於Trust區域,GigabitEthernet 5/0/0屬於DMZ區域。PC都屬於Trust區域,Internet屬於Untrust區域,FTP Server屬於DMZ區域。
需求1:爲了防止FTP Server受***,限制其FTP端口連接數上限爲500。
需求2:限制Trust區域的IP帶寬上限:白天爲100kbit/s,晚上爲300kbit/s。但IP地址爲110.1.1.5/24 PC的入域方向(inzone)和出域方向(outzone)IP會話不受限制。
圖1 IP-CAR配置舉例組網圖
一、 第一種配置方法:
1.完成USG的基本配置。
# 配置接口GigabitEthernet 0/0/0的IP地址。
<USG> system-view
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet 0/0/0] ip address 100.1.1.1 24
[USG-GigabitEthernet 0/0/0] quit
# 配置接口GigabitEthernet 5/0/0的IP地址。
[USG] interface GigabitEthernet 5/0/0
[USG-GigabitEthernet 5/0/0] ip address 200.1.1.1 24
[USG-GigabitEthernet 5/0/0] quit
# 配置接口GigabitEthernet 0/0/1的IP地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet 0/0/1] ip address 110.1.1.1 24
[USG-GigabitEthernet 0/0/1] quit
# 將接口GigabitEthernet 0/0/0加入Untrust區域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/0
[USG-zone-untrust] quit
# 將接口GigabitEthernet 5/0/0加入DMZ區域。
[USG] firewall zone dmz
[USG-zone-dmz] add interface GigabitEthernet 5/0/0
[USG-zone-dmz] quit
# 將接口GigabitEthernet 0/0/1加入Trust區域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/1
[USG-zone-trust] quit
# 配置缺省包過濾規則。
[USG] firewall packet-filter default permit all
2.配置FTP Server的連接數限制。
# 配置連接數限制等級及對應的連接數上限爲500。
[USG] firewall conn-class 1 500
# 配置基本ACL。
[USG] acl 2000
[USG-acl-basic-2000] rule permit
[USG-acl-basic-2000] quit
# 將連接數限制策略應用在DMZ區域,即限制FTP服務器的FTP端口連接數上限爲500。
[USG] firewall zone dmz
[USG-zone-dmz] statistic enable ip inzone
[USG-zone-dmz] statistic connect-number ip tcp inbound 1 acl-number 2000
3.配置PC機的帶寬限制。
# 配置帶寬限制等級及對應的帶寬上限值。
[USG] firewall car-class 1 100000
[USG] firewall car-class 2 300000
# 配置car-class所需要使用的限流策略的時間段。
[USG]time-range night 18:00 to 24:00 daily
[USG]time-range day 00:00 to 18:00 daily
# 配置高級ACL。
[USG] acl 3001
[USG-acl-adv-3001] rule deny ip source 110.1.1.5 0
[USG-acl-adv-3001] rule deny ip destination 110.1.1.5 0
[USG-acl-adv-3001] rule permit ip time-range day
[USG-acl-adv-3001] quit
[USG] acl 3002
[USG-acl-adv-3002] rule deny ip source 110.1.1.5 0
[USG-acl-adv-3002] rule deny ip destination 110.1.1.5 0
[USG-acl-adv-3002] rule permit ip time-range night
[USG-acl-adv-3002] quit
# 將帶寬限制策略應用在Trust區域。
[USG] firewall zone trust
[USG-zone-trust] statistic enable ip inzone
[USG-zone-trust] statistic enable ip outzone
[USG-zone-trust] statistic car ip inbound 1 acl-number 3001
[USG-zone-trust] statistic car ip outbound 1 acl-number 3001
[USG-zone-trust] statistic car ip inbound 2 acl-number 3002
[USG-zone-trust] statistic car ip outbound 2 acl-number 3002
二、 第二種配置方法:
1.完成USG的基本配置。(同第一種方法)
2.配置FTP Server的連接數限制。(同第一種方法)
3.配置PC機的帶寬限制。
# 配置帶寬限制等級及對應的帶寬上限值。
[USG] firewall car-class 1 100000
[USG] firewall car-class 2 300000
# 配置car-class所需要使用的限流策略的時間段。
[USG]time-range night 18:00 to 24:00 daily
[USG]time-range day 00:00 to 18:00 daily
# 配置基本ACL和高級ACL。
[USG] acl 2001
[USG-acl-basic-2001] rule permit time-range day
[USG-acl-basic-2001] quit
[USG] acl 2002
[USG-acl-basic-2002] rule permit time-range night
[USG-acl-basic-2002] quit
[USG]acl number 3000
[USG-acl-adv-3000]rule 0 deny ip source 110.1.1.5 0
[USG-acl-adv-3000]rule 5 deny ip destination 110.1.1.5 0
[USG-acl-adv-3000]quit
# 將帶寬限制策略應用在Trust區域。
[USG] firewall zone trust
[USG-zone-trust] statistic enable ip inzone
[USG-zone-trust] statistic enable ip outzone
[USG-zone-trust] statistic car ip inbound 1 acl-number 2001
[USG-zone-trust] statistic car ip outbound 1 acl-number 2001
[USG-zone-trust] statistic car ip inbound 2 acl-number 2002
[USG-zone-trust] statistic car ip outbound 2 acl-number 2002
[USG-zone-trust] statistic ip-stat inbound acl-number 3000
[USG-zone-trust] statistic ip-stat outbound acl-number 3000
三、 第三種配置方法:
1.完成USG的基本配置。(同第一種方法)
2.配置FTP Server的連接數限制。(同第一種方法)
3.配置PC機的帶寬限制。
主要配置命令:
# 配置帶寬限制等級及對應的帶寬上限值。
[USG] firewall car-class 1 100000
[USG] firewall car-class 2 300000
# 配置car-class所需要使用的限流策略的時間段。
[USG]time-range night 18:00 to 24:00 daily
[USG]time-range day 00:00 to 18:00 daily
# 配置ACL。
[USG] acl 2000
[USG-acl-basic-2000] rule permit
[USG-acl-basic-2000] quit
[USG] acl 2101
[USG-acl-basic-2101] rule permit time-range day
[USG-acl-basic-2101] quit
[USG] acl 2102
[USG-acl-basic-2102] rule permit time-range night
[USG-acl-basic-2102] quit
[USG] acl 3000
[USG-acl-adv-3000] rule deny ip source 110.1.1.5 0
[USG-acl-adv-3000] rule deny ip destination 110.1.1.5 0
[USG-acl-adv-3000] quit
[USG] acl 3100
[USG-acl-adv-3100] permit tcp destination 200.1.1.10 0 destination-port eq ftp
[USG-acl-adv-3100] rule deny ip
[USG-acl-adv-3100] quit
# 將帶寬限制策略應用在Trust區域。
[USG] firewall zone trust
[USG-zone-trust] ip-car enable
[USG-zone-trust] ip-car inzone 1 acl-number 2101
[USG-zone-trust] ip-car outzone 1 acl-number 2101
[USG-zone-trust] ip-car inzone 2 acl-number 2102
[USG-zone-trust] ip-car outzone 2 acl-number 2102
[USG-zone-trust] ip-car inzone filter acl-number 3000
[USG-zone-trust] ip-car outzone filter acl-number 3000
說明:
1.USG2200系列和USG5300系列V1R1版本只能使用第二種配置方法。
2.USG2200系列和USG5300系列V1R2版本可以使用第一種和第二種配置方法。
3.USG2100系列和USG3000系列V1R1和V1R2只能使用第三種配置方法。
4.在配置IP-CAR是分了2個系列:USG2200和USG5300一個系列,USG2100和USG3000一個系列。這2個系列配置命令不一樣。基本原理是一樣的。USG2200和USG5300系列配置命令爲:statistic car ip 和 statistic ip-stat。USG2100和USG5300系列配置命令爲:ip-car outzone 和ip-car outzone filter。
USG2200和USG5300V1R1版本在配置statistic car ip 不能引用高級ACL,這種情況下就只能應用statistic ip-stat 來引用高級ACL。而在V1R2版本里面statistic car ip 後面可以引用高級ACL,就不必statistic ip-stat 。statistic ip-stat 的作用是用來對特定的IP不做限制,對後面引用的ACL中deny語句定義的流量不做限制。USG2100和USG3000配置中ip-car outzone 2 後面是不能引用高級ACL,只能引用基本ACL。只能在ip-car outzone filter中引用高級ACL。ip-car outzone filter的作用類似statistic ip-stat ,對後面高級ACL中deny語句定義的數據流不做限制。
附匹配原則:
l.連接數/帶寬限制策略的匹配原則爲:先匹配高級ACL,如果匹配到高級ACL的deny規則,則不需要限制連接數/帶寬,且不再查找基本ACL;如果未匹配到高級ACL的deny規則,則繼續查找基本ACL規則,如果匹配到基本ACL的permit規則,則使用基本ACL對應的連接數/帶寬限制等級進行限制,否則不限制。
2.數據流根據ACL規則的配置順序進行匹配,一旦與一條ACL規則匹配成功,將不再繼續向下匹配。請注意根據實際情況仔細配置ACL規則。
3.如果一個基本ACL對應幾個不同的連接數/帶寬限制等級,則連接數/帶寬限制等級最低(0~7共8個等級中0的等級最低)的對該ACL規定的用戶生效。