H3C SecPath DAR特性(BT限流)典型配置
- 0关注
- 0收藏 621浏览
H3C SecPath DAR特性(BT限流)典型配置
一、 组网需求:
使用一台防火墙,一个网络接口接入Internet,另一网络接口连接一台PC,PC模拟局域网(内网)用户。
用户需求,对于10.173.0.0/24网段的用户,在每个工作日8:30-18:00,对BT的下载和上传速度进行限流;而其他网段的用户下载和上传速度没有限制;所有用户在其他时间段下载和上传速度也没有限制。
二、 组网图:
适用版本:
Comware software, Version 3.40, ESS 1621及以上
支持产品:
SecPath V1000-A /F1000-A/F1000-S/F100-E/F100-A
支持的BT客户端:
BitComet V0.77,BitSpirit V3.2.2,FlashBT V0.661,BitTorrent V3.2
三、 配置步骤:
BT报文识别和限流的基本配置步骤分为以下四步:
1. 创建BT报文的流分类
2. 创建BT报文的流行为
3. 创建BT报文的QOS策略
4. 将BT报文的QOS策略应用到相应的网络接口上
|
当前视图 |
配置命令 |
简单说明 |
|
<H3C> |
sys |
进入系统视图 |
|
[H3C] |
firewall packet-filter default permit |
防火墙包过滤默认改为允许 |
|
[H3C] |
firewall zone untrust |
进入域视图 |
|
[H3C-zone-untrust] |
add interface GigabitEthernet0/0 |
添加外网接口到untrust域 |
|
[H3C-zone-untrust] |
quit |
退回系统视图 |
|
[H3C] |
firewall zone trust |
进入域视图 |
|
[H3C-zone-trust] |
add interface GigabitEthernet 0/1 |
添加内网接口到trust域 |
|
[H3C-zone-trust] |
quit |
退回系统视图 |
|
[H3C] |
acl number 2002 |
创建标准访问控制列表2002 |
|
[H3C-acl-basic-2002] |
rule permit |
配置需要进行NAT转换的IP地址范围 |
|
[H3C-acl-basic-2002] |
quit |
退回系统视图 |
|
[H3C] |
acl number 3010 |
创建高级访问控制列表3010 |
|
[H3C-acl-adv-3010] |
rule permit ip destination 10.173.0.0 0.0.0.255 |
配置需要限制BT下载的IP网段 |
|
[H3C-acl-adv-3010] |
rule deny ip |
不限制其他网段的BT下载 |
|
[H3C-acl-adv-3010] |
quit |
退回系统视图 |
|
[H3C] |
acl number 3011 |
创建高级访问控制列表3011 |
|
[H3C-acl-adv-3011] |
rule permit ip source 10.173.0.0 0.0.0.255 |
配置需要限制BT上传的IP网段 |
|
[H3C-acl-adv-3011] |
rule deny ip |
不限制其他网段的BT上传 |
|
[H3C-acl-adv-3011] |
quit |
退回系统视图 |
|
[H3C] |
time-range test |
创建BT报文限流的时间段 |
|
[H3C] |
acl number 2001 |
创建标准访问控制列表2001 |
|
[H3C-acl-basic-2001] |
rule permit time-range test |
配置BT报文限流的时间段 |
|
[H3C-acl-basic-2001] |
quit |
退回系统视图 |
|
[H3C] |
interface GigabitEthernet 0/0 |
进入接口视图 |
|
[H3C-GigabitEthernet0/0] |
ip address 58.60.106.1 255.255.255.0 |
配置接口IP |
|
[H3C-GigabitEthernet0/0] |
nat outbound 2002 |
直接使用该接口的IP地址作为NAT转换后的IP地址,对匹配标准访问控制列表2002的数据报文的源IP地址进行NAT转换 |
|
[H3C-GigabitEthernet0/0] |
quit |
退回系统视图 |
|
[H3C] |
interface GigabitEthernet 0/1 |
进入接口视图 |
|
[H3C-GigabitEthernet0/1] |
ip address 10.173.0.1 255.255.255.0 |
配置接口IP |
|
[H3C-GigabitEthernet0/1] |
quit |
退回系统视图 |
|
[H3C] |
traffic classifier BT_Download |
创建BT下载报文流分类 |
|
[H3C-classifier-BT_Download] |
if-match protocol bittorrent |
匹配BT报文 |
|
[H3C-classifier-BT_Download] |
if-match acl 3010 |
配置需要限制BT下载的IP网段 |
|
[H3C-classifier-BT_Download] |
if-match acl 2001 |
配置需要限制BT下载的时间段 |
|
[H3C-classifier-BT_Download] |
quit |
退回系统视图 |
|
[H3C] |
traffic classifier BT_Upload |
创建BT上传报文流分类 |
|
[H3C-classifier-BT_Upload] |
if-match protocol bittorrent |
匹配BT报文 |
|
[H3C-classifier-BT_Upload] |
if-match acl 3011 |
配置需要限制BT上传的IP网段 |
|
[H3C-classifier-BT_Upload] |
if-match acl 2001 |
配置需要限制BT上传的时间段 |
|
[H3C-classifier-BT_Upload] |
quit |
退回系统视图 |
|
[H3C] |
traffic behavior BT_Download |
创建BT报文下载流行为 |
|
[H3C-behavior-BT_Download] |
car cir 160000 |
限流160kbps |
|
[H3C-behavior-BT_Download] |
quit |
退回系统视图 |
|
[H3C] |
traffic behavior BT_Upload |
创建BT报文上传流行为 |
|
[H3C-behavior-BT_Upload] |
car cir 160000 |
限流160kbps |
|
[H3C-behavior-BT_Upload] |
quit |
退回系统视图 |
|
[H3C] |
qos policy BT_Download |
创建BT报文下载QOS策略 |
|
[H3C-qospolicy-BT_Download] |
classifier BT_Download behavior BT_Download |
创建BT报文下载QOS策略 |
|
[H3C-qospolicy-BT_Download] |
quit |
退回系统视图 |
|
[H3C] |
qos policy BT_Upload |
创建BT报文上传QOS策略 |
|
[H3C-qospolicy-BT_Upload] |
classifier BT_Upload behavior BT_Upload |
创建BT报文上传QOS策略 |
|
[H3C-qospolicy-BT_Upload] |
quit |
退回系统视图 |
|
[H3C] |
interface GigabitEthernet 0/1 |
进入接口视图 |
|
[H3C-GigabitEthernet0/1] |
qos apply policy BT_Download outbound |
在内网接口上应用BT报文下载QOS策略 |
|
[H3C-GigabitEthernet0/1] |
qos apply policy BT_Upload inbound |
在内网接口上应用BT报文上传QOS策略 |
|
[H3C-GigabitEthernet0/1] |
quit |
退回系统视图 |
|
[H3C] |
return |
退回用户视图 |
四、 配置关键点:
1、注意上传和下载两种情况下,策略应用的方向;
2、在流分类中,如果匹配多条流,缺省关系为“与”,即所有的规则都要匹配;可以根据实际需要,改变流之间的关系为“或”;
traffic classifier tcl-name [ operator { and | or } ]
3、如果禁止BT下载,可以设定动作为discard:
car cir committed-information-rate green discard
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作