H3C NS-SecPath F1000-A-AC如何实现内网网段内每地址限速

H3C NS-SecPath F1000-A-AC如何实现内网网段内每地址限速

一、防火墙产品型号、序列号及版本

1. NS-SecPath F1000-A-AC

2.序列号见下图二

3.软件版本为Version 3.40, Release 1623

disp ver

 H3C Comware Software

 Comware software, Version 3.40, Release 1623

 Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd.

 All rights reserved.

 Without the owner's prior written consent, no decompiling

 nor reverse-engineering shall be allowed.

 H3C SecPath F1000-A uptime is 0 week, 0 day, 23 hours, 12 minutes

  CPU type: Mips BCM1125H 800MHz

  512M bytes DDR SDRAM Memory

  16M bytes Flash Memory

  Pcb      Version:4.0

  Logic    Version:1.0

  BootROM  Version:1.27

  [SLOT 0] 2GBE     (Hardware)4.0, (Driver)2.0, (Cpld)1.0

  [SLOT 2] NDEC     (Hardware)4.0, (Driver)3.3, (Cpld)1.0

二、局域网拓扑

局域网约400用户，汇聚层通过核心交换机H3C 7506接防火墙F1000-A联入互联网，公网专线用运营商的400M带宽。局域网内部划分多个Vlan。

三、需实现的目标

公司内部可上网的用户原来通过vlan段限速，同时保留一部分带宽另用，即：

acl number 3002                          

 rule 0 permit ip destination 192.*.*.0 0.0.0.255

 rule 8 deny ip

#

interface GigabitEthernet0/1

qos car inbound acl 3002 cir 102400000 cbs 100000000 ebs 0 green pass red discard

qos car outbound acl 3002 cir 102400000 cbs 100000000 ebs 0 green pass red discard

#

现在因内部需上网用户增加，公司与运营商的专线带宽增加到500M，因此需对整个网段的限速带宽调高，但H3C的防火墙产品能给的最大值是155000000无法满足实际需求，且只限vlan段的最大值未限每个IP的值不合理。现在要求实现既对vlan段或连续IP地址整体限速又对每个IP限速。

查阅H3C官网的资料及网上参考资料，未能找到实现目标可用的配置命令。此款防火墙配置只支持如：

[secpath-1000]qos carl 2 ?

  dscp        DSCP (DiffServ CodePoint)

  mac         MAC address

  precedence  Packet precedence

而配置不了http://www.h3c.com/cn/BizPortal/Querycli/index.aspx中的11-QoS命令指导的：

[Sysname] qos carl 1 source-ip-address subnet 1.1.1.0 24 per-address　　或者：

[Sysname] qos carl 2 source-ip-address range 1.1.2.100 to 1.1.2.199 per-address shared-bandwidth

请指教，在NS-SecPath F1000-A-AC上如何实现内网网段内每地址限速。

非常感谢！

2021.07.07