Eudemon系列防火墙P2P限流配置指导.docx
《Eudemon系列防火墙P2P限流配置指导.docx》由会员分享,可在线阅读,更多相关《Eudemon系列防火墙P2P限流配置指导.docx(19页珍藏版)》请在冰点文库上搜索。
Eudemon系列防火墙P2P限流配置指导
Eudemon系列防火墙P2P限流配置指导V2.0
拟制:
王巍
日期:
2005/07/01
审核:
日期:
审核:
日期:
批准:
日期:
修订记录
日期
修订版本
作者
描述
2005/07/04
2.0
王巍
华为技术有限公司
HuaweiTechnologiesCo.,Ltd.
目录
1概述3
2P2P限流常用配置3
2.1全局P2P限流配置3
2.2策略P2P限流配置3
2.2.1指定某些用户进行P2P限流,其他用户不限流4
2.2.2指定某些用户不进行P2P限流,其他用户限流4
2.2.3指定两类用户进行不同的P2P限流5
2.2.4分别对用户的上传和下载进行限流5
2.3基于不同时间段进行限流6
2.4日志服务器7
2.5连接状态检测8
3典型组网9
3.1Eudemon系列防火墙透明模式P2P限流组网9
3.1.1组网简图9
3.1.2组网需求9
3.1.3组网配置10
3.2Eudemon系列防火墙路由模式P2P限流组网11
3.2.1组网简图11
3.2.2组网需求11
3.2.3组网配置12
3.3Eudemon系列防火墙路由模式P2P上下行分别限流组网14
3.3.1组网简图14
3.3.2组网需求14
3.3.3组网配置15
3.4Eudemon系列防火墙多路径P2P限流组网17
3.4.1组网简图17
3.4.2组网需求17
3.4.3组网配置18
1概述
本文档用于指导Eudemon系列防火墙关于P2P限流的配置,适用于Eudemon500和Eudemon1000。
防火墙主机软件版本适用于D032SP04。
其他后续版本有关P2P限流的配置命令如有所变化,请参考相关的手册。
2P2P限流常用配置
2.1全局P2P限流配置
Eudemon系列防火墙可以对经过防火墙的所有P2P流进行全局限制。
对P2P流量可以限定在一个范围内,可以指定P2P流量范围为100K~1Gbps。
1)打开全局P2P限流开关
例如:
[Eudemon]firewallp2p-cardefault-permit
2)设置BT限流带宽
例如:
[Eudemon]firewallp2p-carcir100000(单位:
Kbit/s)
等同于[Eudemon]firewallp2p-carclass0cir100000
注意:
·注意命令里写的是P2P,而不是BT,原因是该命令同时包含了BT、电骡、电驴等多种P2P应用的限流功能,不仅仅是BT。
·通常全局P2P限流需求,只要上述两条命令即可实现。
域间不用配置BT限流策略。
·设置P2P限流带宽时,可以同时配置两种:
class0和class1,不指定class,缺省为class0。
全局BT限流配置缺省采用class0。
·可以将P2P限流带宽设置为最大1000000(1Gbit/s),这样等于没有限制P2P流,可以统计出当前P2P的流量。
2.2策略P2P限流配置
Eudemon系列防火墙可以同时设置两种限流带宽:
class0和calss1。
防火墙对符合不同策略的P2P流使用不同的限制带宽。
通过ACL来控制对域间的某些用户做P2P限流,某些用户不做限流;或是分别限制用户的上传和下载。
下面列举一些常用的P2P限流策略应用:
2.2.1指定某些用户进行P2P限流,其他用户不限流
例如:
指定对192.168.10.0/24网段的用户进行限流20M,其他用户不限流。
1)设置class0的P2P限流带宽为20M(bit/s)
[Eudemon]firewallp2p-carclass0cir20000
2)配置P2P限流策略
[Eudemon]aclnumber3000
[Eudemon--acl-3000]rulepermitsource192.168.10.00.255.255.255
[Eudemon--acl-3000]rulepermitdestination192.168.10.00.255.255.255
[Eudemon--acl-3000]ruledenyip
3)域间应用P2P限流策略
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-interzone-trust-untrust]p2p-car3000class0inbound
[Eudemon-interzone-trust-untrust]p2p-car3000class0outbound
注意:
·这里假设防火墙的上下行流量都属于trust域和untrust域间,如果存在其他安全域间流量,也要配置p2p-car3000class0命令。
2.2.2指定某些用户不进行P2P限流,其他用户限流
例如:
指定对192.168.10.0/24网段的用户不进行限流,其他用户限流20M。
1)设置class0的P2P限流带宽为20M(bit/s)
[Eudemon]firewallp2p-carclass0cir20000
2)配置P2P限流策略
[Eudemon]aclnumber3000
[Eudemon--acl-3000]ruledenysource192.168.10.00.255.255.255
[Eudemon--acl-3000]ruledenydestination192.168.10.00.255.255.255
[Eudemon--acl-3000]rulepermitip
3)域间应用P2P限流策略
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-interzone-trust-untrust]p2p-car3000class0inbound
[Eudemon-interzone-trust-untrust]p2p-car3000class0outbound
注意:
·这里假设防火墙的上下行流量都属于trust域和untrust域间,如果存在其他安全域间流量,也要配置p2p-car3000class0命令。
2.2.3指定两类用户进行不同的P2P限流
例如:
指定对192.168.10.0/24网段的用户限流20M,对10.10.10.0/24网段的用户限流30M。
1)设置class0的P2P限流带宽为20M(bit/s),class1的P2P限流带宽为30M(bit/s)
[Eudemon]firewallp2p-carclass0cir20000
[Eudemon]firewallp2p-carclass1cir30000
2)配置P2P限流策略
[Eudemon]aclnumber3000
[Eudemon--acl-3000]rulepermitipsource192.168.10.00.255.255.255
[Eudemon--acl-3000]rulepermitipdestination192.168.10.00.255.255.255
[Eudemon]aclnumber3001
[Eudemon--acl-3001]rulepermitipsource10.10.10.00.255.255.255
[Eudemon--acl-3001]rulepermitipdestination10.10.10.00.255.255.255
3)域间应用P2P限流策略
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-interzone-trust-untrust]p2p-car3000class0inbound
[Eudemon-interzone-trust-untrust]p2p-car3000class0outbound
[Eudemon-interzone-trust-untrust]p2p-car3001class1inbound
[Eudemon-interzone-trust-untrust]p2p-car3001class1outbound
注意:
·这里假设防火墙的上下行流量都属于trust域和untrust域间,如果存在其他安全域间流量,也要配置p2p-car3000class0和p2p-car3001class1命令。
2.2.4分别对用户的上传和下载进行限流
例如:
限制192.168.10.0/24网段的用户上传20M,下载为30M。
1)设置class0的P2P限流带宽为20M(bit/s),class1的P2P限流带宽为30M(bit/s)
[Eudemon]firewallp2p-carclass0cir20000
[Eudemon]firewallp2p-carclass1cir30000
2)配置P2P上传限流策略3000,下载限流策略3001
[Eudemon]aclnumber3000
[Eudemon--acl-3000]rulepermitipsource192.168.10.00.255.255.255
[Eudemon]aclnumber3001
[Eudemon--acl-3001]rulepermitipdestination192.168.10.00.255.255.255
3)域间应用P2P限流策略
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-interzone-trust-untrust]p2p-car3000class0outbound
[Eudemon-interzone-trust-untrust]p2p-car3001class1inbound
注意:
·这里假设防火墙的上下行流量都属于trust域和untrust域间,如果存在其他安全域间流量,也要配置p2p-car3000class0和p2p-car3001class1命令。
在配置P2P策略限流时应该注意的几个问题:
a、域间限流策略ACL会按照从小到大的顺序匹配。
b、ACL的优先级高于全局的限流配置。
即这里的ACL指定的用户不受限制时,即使配置了P2P限流,对这些用户的P2P流也不限制。
c、域间没有配置限流ACL策略,则使用全局P2P限流配置进行限流。
d、域间配置了限流ACL策略,但是不匹配ACL(ACL中没有提到)的数据流,使用全局P2P限流配置进行限流。
2.3基于不同时间段进行限流
从运营商角度,为了保证给用户一定BT带宽,又不影响网络其它业务,因此常常希望在不同时段,分配不同的P2P带宽,在网络流量高峰期,把P2P流量限制更低。
Eudemon防火墙可以配置10个时间段,以及一个缺省的P2P限流带宽。
这10个时间段,从1到10优先匹配时间段的限流带宽,如果没有时间段或者当前不处于任何配置的时间段,使用全局缺省限流带宽。
1)配置时间段
例如:
将每天分为两个时间段,白天:
10:
00-23:
59,晚上:
00:
00-10:
00。
[Eudemon]time-rangenight00:
00to10:
00daily
[Eudemon]time-rangedaytime10:
00to23:
59daily
2)不同的时间段指定不同的P2P限流带宽
例如:
白天限流为20M,晚上限流为10M。
[Eudemon]firewallp2p-carclass0cir200001daytime
[Eudemon]firewallp2p-carclass0cir100002night
3)显示当前使用的P2P限流时间段带宽
[Eudemon]displayp2p-car
2.4日志服务器
Eudemon系列防火墙p2p限流支持日志输出,将当前的总流量信息、实际P2P流量信息、P2P限流带宽等发送给日志服务器,日志服务器能够提供数据查询功能,还能够以图表的方式反映P2P限流的情况。
日志服务器是运行在WINDOWS操作系统的软件,独立安装运行。
关于日志服务器软件的配置,软件安装后有一个配置提示文档,讲解的比较详细,这里就不再详述了。
1)配置日志主机地址,防火墙需要路由到达日志主机
a、如果防火墙工作在透明模式下,要使用VLANIF来配置IP,一般在RPU的管理接口上配置。
如果和上下行路由器的接口IP不在同一个网段,需要另拉一根线出来。
例如:
防火墙工作在透明模式,通过E0/0/1连接日志服务器
[Eudemon]interfaceEthernet0/0/1
[Eudemon-Ethernet0/0/1]portdefaultvlan24
[Eudemon]interfaceVlanif24
[Eudemon-Vlanif24]ipaddress192.168.10.124
b、配置日志服务器主机
例如:
配置日志主机为192.168.10.100
[Eudemon]info-centerloghost192.168.10.100
2)打开p2p日志输出开关
[Eudemon]firewalllogstreamenable
注意:
·防火墙每隔64秒发送一次日志信息。
2.5连接状态检测
Eudemon系列防火墙是基于状态的防火墙,对每个会话流会检测连接状态,比如:
TCP会话必须经过三次握手之后,才认为是建立了完整的、合法的TCP会话;还有FTP应用,会检测前后的状态,如果出现状态错误,就进行丢包处理。
在城域网出口的地方,存在多种流量路径不唯一的情况。
也就是说流经防火墙的会话流可能存在不完整性,比如TCP三次握手不完整等。
这种情况防火墙需要去掉连接状态检测。
1)判断组网是否存在路径不唯一的情况
·会话流部分经过防火墙。
2)不做连接状态检测
[Eudemon]undofirewallsessionlink-statecheck
3典型组网
3.1Eudemon系列防火墙透明模式P2P限流组网
3.1.1组网简图
图1透明模式组网简图
3.1.2组网需求
1、加入Eudemon防火墙进行P2P限流,不改变现网组网结构。
防火墙采用透明工作模式,这种组网对现网改造小,对现网可能带来的影响也小。
如果万一发现有其它问题,恢复也很快,只需要把相关网线或光纤拔回就可以了。
Eudemon防火墙工作在透明模式下,接口也可以单独配置IP,满足远程网管和维护需要。
2、对所有内网用户A和用户B分时段进行限流,00:
00~20:
00限制带宽为10M,20:
00~23:
59限制带宽为20M。
Eudemon防火墙设置不同的时间段带宽,在00:
00~20:
00时间段内,限制P2P带宽为10M,在20:
00~23:
59时间段内,限制带宽为20M。
3.1.3组网配置
1)设置防火墙工作模式
[Eudemon]firewallmodetransparent
2)将接口加入安全域中
[Eudemon]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceEthernet4/0/0
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceEthernet4/0/1
3)打开全部缺省过滤规则
[Eudemon]firewallpacket-filterdefaultpermitall
4)配置限流策略生效时间段
[Eudemon]time-rangedaytime00:
00to20:
00daily
[Eudemon]time-rangenight20:
00to23:
59daily
5)根据时间段,设置不同的限流带宽
[Eudemon]firewallp2p-carclass0cir100001daytime
[Eudemon]firewallp2p-carclass0cir200002night
6)配置日志服务器
[Eudemon]interfacevlanif24
[Eudemon-Vlanif24]ipaddress202.120.200.1
[Eudemon]info-centerloghost202.120.200.10
[Eudemon]firewalllogstreamenable
3.2Eudemon系列防火墙路由模式P2P限流组网
3.2.1组网简图
图2路由模式组网简图
3.2.2组网需求
1、所有内网用户通过Eudemon防火墙后,转换源地址
防火墙工作在路由模式,现网中与防火墙直接连接的上下行设备的接口IP地址、路由等相应的更改。
防火墙配置NAT策略,可以采用上行口E4/0/0的IP地址作为转换后的源地址。
2、用户A限制P2P带宽为10M,用户B限制P2P带宽为20M
防火墙对于用户A和用户B指定不同的P2P限流策略,同时根据P2P限流策略,指定不同的限流带宽。
3.2.3组网配置
1)设置防火墙工作模式
[Eudemon]firewallmoderoute
2)设置接口IP地址
[Eudemon]interfaceEthernet4/0/0
[Eudemon-Ethernet4/0/0]ipaddress61.100.100.1255.255.255.252
[Eudemon]interfaceEthernet4/0/1
[Eudemon-Ethernet4/0/0]ipaddress202.10.200.1255.255.255.252
3)将接口加入安全域中
[Eudemon]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceEthernet4/0/0
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceEthernet4/0/1
4)打开全部缺省过滤规则
[Eudemon]firewallpacket-filterdefaultpermitall
5)配置NAT地址转换地址池
[Eudemon]nataddress-group161.100.100.161.100.100.1
6)配置NAT地址转换策略
[Eudemon]aclnumber2000
[Eudemon-acl-adv-2000]rulepermitip
7)域间配置NAT地址转换
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-interzone-trust-untrust]natoutbound2000address-group1
8)配置用户A的限流策略
[Eudemon]aclnumber3000
[Eudemon-acl-adv-3000]rulepermitipsource202.100.200.100
[Eudemon-acl-adv-3000]rulepermitipdestination202.100.200.100
9)配置用户A的限流带宽class0
[Eudemon]firewallp2p-carclass0cir10000
10)配置用户B的限流策略
[Eudemon]aclnumber3001
[Eudemon-acl-adv-3001]rulepermitipsource202.110.200.100
[Eudemon-acl-adv-3000]rulepermitipdestination202.110.200.100
11)配置用户B的限流带宽class1
[Eudemon]firewallp2p-carclass1cir20000
12)域间配置用户A和用户B的限流带宽
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-interzone-trust-untrust]p2p-car3000class0inbound
[Eudemon-interzone-trust-untrust]p2p-car3000class0outbound
[Eudemon-interzone-trust-untrust]p2p-car3001class1inbound
[Eudemon-interzone-trust-untrust]p2p-car3001class1outbound
13)配置日志服务器
[Eudemon]info-centerloghost202.120.200.10
[Eudemon]firewalllogstreamenable
3.3Eudemon系列防火墙路由模式P2P上下行分别限流组网
3.3.1组网简图
3.3.2组网需求
1、所有内网用户通过Eudemon防火墙后,转换源地址
防火墙工作在路由模式,现网中与防火墙直接连接的上下行设备的接口IP地址、路由等相应的更改。
防火墙配置NAT策略,可以采用上行口E4/0/0的IP地址作为转换后的源地址。
2、用户A限制P2P上行带宽为10M,限制P2P下行带宽为20M
防火墙对于用户A上下行指定不同的P2P限流策略,同时根据P2P限流策略,指定不同的限流带宽。
3.3.3组网配置
1)设置防火墙工作模式
[Eudemon]firewallmoderoute
2)设置接口IP地址
[Eudemon]interfaceEthernet4/0/0
[Eudemon-Ethernet4/0/0]ipaddress61.100.100.1255.255.255.252
[Eudemon]interfaceEthernet4/0/1
[Eudemon-Ethernet4/0/0]ipaddress202.10.200.1255.255.255.252
3)将接口加入安全域中
[Eudemon]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceEthernet4/0/0
[Eudemo
升级会员 