MSR36对终端限速失败

MSR36 G0/0固定IP作为出口，终端的网关在下面交换机上，web界面配置固定流控对地址是用户组OA的终端进行限速，上下行都限制50M，对应命令行配置如下，测速发现无论上行还是下行都限制不住。

# 

qos carl 5 source-ip-address object-group OA per-address 

qos carl 6 destination-ip-address object-group OA per-address 

#

object-group ip address OA 

 0 network range 192.168.0.0 192.168.0.254

#

interface GigabitEthernet0/0

qos car inbound carl 6 cir 50000 cbs 1250000 ebs 0 green pass red discard yellow pass

 qos car outbound carl 5 cir 50000 cbs 1250000 ebs 0 green pass red discard yellow pass

#

对于限速问题，首先需要看终端是否从限速应用的接口出去，可以在终端tracert跟踪路由看看从哪里出去，如果出接口没问题，可以流统确认限速的地址报文是否上到设备。本例中，测速终端地址为192.168.0.2，在MSR上连防火墙的接口流统，发现并没有地址为192.168.0.2的报文上送到设备，但是tracert跟踪又是从MSR路由器出去的。由此猜测可能下面的设备有开启NAT，对192.168.0.2进行了转换。

排查内部网络，最终发现在防火墙上开启了NAT，将限速终端的地址进行了源地址转换。将防火墙NAT关闭后限速正常。

如果MSR上没有到终端网段的路由，需要添加路由，否则关闭防火墙NAT可能会影响业务。