问

acg 1000 下载正常，上传慢

19小时前提问

0关注
0收藏，125浏览

zhiliao_O61W3v

zhiliao_O61W3v 零段

粉丝：0人关注：0人

问题描述：

原来提问过相同的问题，大神也给了不少答案，奈何本人水平有限，一直没有解决，后我把acg1000恢复了出厂设置，只做了简单的透明模式（网桥），还是同样的问题，上传最快不超过40M，但是下载正常，能到近200M，到低哪里出了问题(f不接acg1000, ,直接从防火墙到核心，上传下载均能到200M，所有设备均为H3C设备）? 另我想恢复原来的配置，但是从WEB页面上传原来下载的配置文件后，保存重启后，配置还是新配置，没有上传的配置。什么原因呢？

这是新配置，上传还是很慢

!config

authorized-table admin

description Default authority table with all authority enable

authorized read all

authorized write all

authorized-table audit

description Default authority table used for audit administrator

authorized read all

ucc bypass enable

!user-am

!user-srun

!user-sols

user administrator admin local secret kf2zHQBWE5jA680wzw58d+0HpaT8MxXGJ8+dN3H7s+8mtit2J8Pc3h0Si4sSLVQ authorized-table admin

user administrator admin authorized-address first 0.0.0.0/0

radius nas-port-type ethernet

app-ident mode smart

timezone 57

ftp timeout 5

wxfj-place 64

wxfj switch disable

pki ca crl update-period 30

application bypass threshold 90

application session change user enable

application terminal identify enable

app-ident nego-timer sip 60

app-ident nego-timer h323 60

app-ident nego-timer h245 60

interface bvi8

ip address 13.0.0.100/24

allow access https

allow access http

allow access ping

allow access ssh

allow access telnet

allow access center-monitor

interface ge0

ip address 192.168.1.1/24

allow access https

allow access ping

interface ge1

interface ge2

interface ge3

interface ge4

interface ge5

interface ge6

interface ge7

interface ge8

bridge-group 8

traffic-mode extern

allow access https

interface ge9

bridge-group 8

allow access https

interface ge10

interface ge11

interface ge12

interface ge13

interface ge14

interface ge15

interface ge16

interface ge17

interface ge18

interface ge19

ip address 172.17.0.251/24

allow access https

allow access http

allow access ping

allow access ssh

allow access telnet

allow access center-monitor

!address

!address6

!address-group

!service

!service-group

!schedule-day

!schedule-week

!schedule-month

!schedule-once

!user

!user-group

!user-policy

user-policy https-portal disable

!zone

!track

!track-group

proute rematch enable

policy any any any any any any any always audit 1

app-policy 1 application any any any keyword include any accept info FilterIMLoginAction

app-policy enable 1

website-policy malware disable

website-policy 1 any accept info FilterUrl

website-policy enable 1

policy default-action permit

policy white-list enable

!policy-decrypt

snmp

community secret 6NSjZ2FJfHqUtCqRXdechDETsW7nP4FFcq1ujxx1HotuCZoZGsn14R7gwFVplw1

write-community secret QuVJ8MPv5S7noa5Lp+C7xY4UnIZD5gm5LCCvi9RLtC2fYqVZdaKQ0rdwLAIf36P

syslocation Hangzhou, China

syscontact New H3C Tech. Co., Ltd.

dhcp

ip route 0.0.0.0/0 13.0.0.1

!user-param

user-param threshold 10000

user mac-sensitive disable

!user-webauth

!user-wechat

user-wechat without-awareness timeout 10

user-wechat name-mode openid

!user-portal-server

user-portal-server server 172.17.10.210

user-portal-server mac-sensitive enable

user-portal-server portal-url http://172.17.10.210/imc

!user-portal-escape

!user-sso

user-adsso timeouts 3

no user-adsso key

!user-imc

!user-app-server

!user-sms-server

!user-free-server

user-radius-listen disable

user-radius-listen authentication port 1812

user-radius-listen accounting port 1813

user-radius-listen timeout 15

!urlcate_user_label_switch

!urlcate_user_label_imc

!urlcate_user_label

!ip session limit

dns disable

dns proxy disable

dns cache disable

dns session disable

dns proxy balance priority

ddns disable

wxfj-rzx-cszt disable

wxfj-pass-switch disable

anony_user log disable

ap ipmac enable

!flow-account

log server addr 192.168.33.210

log server enable

set dplog time disable

set dplog send time 23

!interface track

user-share check disable

user-share deny disable

user-share log switch off

!service-quality

snmp mac-learn disable

snmp mac-learn updatetimes 30

alarm-email disable

user-radius-ap-mac disable

smtp-config

!auto-execute

policy6 default-action permit

ha-config

!ads-obj

!ad-policy

!end

组网及组网描述：

出口防火墙为SecPath F1000-Y1000 核心交换机为core 10508-sw 中间SecPath ACG1000 ，用的网桥模式orec_c10508-swore_10508-sw

最佳答案

国服第181小鱼人

国服第181小鱼人四段

粉丝：2人关注：0人

当前配置：policy any any any any any any any always audit 1 这条策略，行为是 audit。
关键差异：audit (审计) 和 permit (允许) 在ACG中的处理逻辑不同。audit 虽然允许流量通过，但会深度检测并可能因性能或特定应用识别问题影响转发效率，尤其是在上传方向上。而 permit 则是纯转发，开销最小。

针对性解决方案：调整基础策略

修改默认策略为permit：
将策略配置中的 audit 修改为 permit。这是一个无损操作，可以立即验证
# 进入配置视图 system-view # 修改那条策略，将 audit 改为 permit policy any any any any any any any always permit 1
修改后，立即进行上传速度测试。如果速度恢复，则说明问题确实出在审计功能对上传流量的处理上。
检查是否存在隐藏的限速策略（即使你没配置）：
根据社区的经验，ACG设备即使在没有主动配置限速的情况下，也可能因为“线路带宽”的默认设置或某些策略的副作用导致限速。
- 检查线路带宽：登录ACG Web界面，导航到【流量管理】->【流量策略】->【线路设置】。确认你网桥接口（BVI 8）绑定的物理线路的“最高速率”没有被意外设置为一个很低的值（比如10Mbps）。如果没设置，建议将其配置为你实际物理带宽的值。
- 检查QoS设置：确认没有启用任何可能影响上传的QoS（服务质量）策略，例如针对特定端口的限速。

问题二：配置文件上传重启后未生效

你遇到的这个配置文件问题，在ACG1000的特定版本（如R6609, R6610）中是一个非常典型的“坑”。原因是这些版本的配置文件有MD5校验，直接修改后上传会导致校验失败，设备会拒绝加载，或者加载后无变化。

你看到的配置是恢复出厂后的新配置，说明上传的文件根本没被正确应用。

针对性解决方案：正确恢复配置的方法

有几种方法可以尝试，建议按顺序操作：

方法一：通过命令行恢复
既然你的配置看起来并不复杂（主要是透明网桥、IP地址、一条静态路由和一条策略），手动通过命令行重新配置可能比处理文件问题更快、更可靠。你可以对照你提供的配置文件，一条条敲进去。
- 配置BVI接口：interface bvi8 -> ip address 13.0.0.100/24
- 将物理口加入网桥：interface ge8 -> bridge-group 8；interface ge9 -> bridge-group 8
- 配置管理接口：interface ge19 -> ip address 172.17.0.251/24
- 配置默认路由：ip route 0.0.0.0/0 13.0.0.1
- 修改基础策略：policy any any any any any any any always permit 1 （这是为了解决你的速度问题而建议修改的）
- 最后：save (一定要保存！)
方法二（官方推荐）：处理配置文件后再导入
如果非要使用原文件，可以按照H3C官方给出的方法来“解包-修改-打包”：
- 把你从Web导出的配置文件（假设叫 config.cfg）重命名为 config.cfg.zip。
- 解压这个zip文件，你会得到一个名为 syscfg 的文件（无扩展名）。
- 再次将 syscfg 重命名为 syscfg.zip 并解压，这时你会得到一个真正的文本配置文件，通常叫 startup.cfg。
- 用文本编辑器（如Notepad++）打开 startup.cfg，确认你的配置（比如策略）都在里面。如果需要修改（比如将audit改成permit），就在这个文件里改。
- 保存 startup.cfg 文件。
- 在ACG的Web【系统管理】->【系统维护】->【配置维护】里，直接导入这个 startup.cfg 文件，然后重启设备。