ACG1000-M限速不生效
- 0关注
- 0收藏,48浏览
ACG1000在桥接模式下针对特定IP的限速不生效,通常不是单一原因造成的。根据你的描述和拓扑,问题很可能出在限速策略匹配到了错误的接口(BVI接口 vs 物理接口),或是“线路”带宽配置值过小。
排查步骤
第一步:检查线路设置和QoS父策略
首先检查接口线路带宽配置。由于ACG1000是桥接模式,需要进入策略配置 > 流量控制策略 > 流量控制,检查是否已为连接上下行的物理接口(如ge0/ge1)创建了线路并正确配置带宽。
关键点:确认线路带宽是否高于2M。线路带宽是限速策略的上限,如果线路带宽低于2M,限速会失效。
检查父策略:若策略存在层级(父策略),需确保父策略的带宽上限足够大,不会“卡住”子策略。
第二步:确认桥接口及策略绑定
在桥接模式下,限速策略需绑定物理成员接口,而非BVI接口本身。
操作:编辑限速通道,在“绑定接口”中直接选择物理接口(如ge0/ge1),不要选BVI接口。
避免冲突:确保限速策略是唯一有效的规则,排除任何可能“any”的全匹配排除策略干扰。
第三步:检查地址对象配置
检查地址对象配置,确保只选中了终端IP。
操作:在
策略配置 > 对象管理 > 地址对象中,确认地址对象名称是否包含192.168.16.16,并且没有选择“地址组对象”。
第四步:其他因素排查
策略匹配顺序:确保限速策略的优先级高于任何可能与之冲突的放行策略。
开启可选功能:在系统视图下执行
qos keep-order enable和qos perip cache-mode enable命令,可优化限速精度。考虑升级固件:如果以上方法都无效,可尝试升级到较新的稳定版固件,如R6616P02版本。
检查会话限制:可能存在会话数限制(
show configuration session-limit)导致流量被截断,而非限速失效。检查MTU:路径MTU不匹配可能导致上传性能异常,可在PC上用
ping -f -l 1472 网关IP测试。
完成以上调整后,请通过以下方式验证:
实时监控:登录ACG Web界面,进入“流量监控 > 实时速率”,观察该IP的流量速率。
测速工具:用测试设备(
192.168.16.16)下载文件,观察速率是否稳定在2M左右。命令行检查:登录ACG后台执行
display traffic-policy statistics查看统计计数。
ACG1000-M 限速不生效 完整排查与修复方案
一、先核对你的部署模式(最常见坑)
你的拓扑:
终端(192.168.16.16) → 核心(192.168.99.1) → ACG(桥接192.168.99.2) → 防火墙(192.168.99.254) → 外网ACG 是二层透明桥接模式串在核心和防火墙之间,这是限速不生效的重灾区,必须先确认:1. 流量策略必须绑定「桥接接口 / 桥组」,不能只绑物理口
- ACG 透明模式下,所有流量都走
bridge-group 1(默认桥组),流量策略的「应用接口」必须选桥组,不能选物理 GE 口 - 错误:策略只绑定了 GE0/0、GE0/1 物理口 → 桥接流量不经过物理口策略,直接透传,限速完全不生效
- 正确:进入「流量管理→流量策略→编辑策略」,在「应用接口」处,勾选桥组(bridge-group 1),保存提交
2. 桥接模式下,ACG 管理 IP 必须和终端三层互通
- 你的 ACG 桥接 IP 是 192.168.99.2,终端 192.168.16.16 必须能 Ping 通 192.168.99.2
- 不通的话,ACG 无法识别终端流量,限速策略不匹配,直接透传
二、你的配置细节排查(对应截图)
1. 地址对象匹配是否正确
- 你已选中
192.168.16.16单个主机,匹配逻辑正确,不是地址段问题 - 验证:进入「对象管理→地址」,确认该地址对象内容为
192.168.16.16/32,无排除地址
2. 带宽参数配置是否正确
- 你设置的「最大带宽 (出 / 入) 2M」「每 IP 限速出 / 入 2M」,参数逻辑正确
- 注意:ACG 带宽单位是 Mbps,2M=2Mbps,不是 2MB/s(实际下载速度≈256KB/s,避免误判)
- 错误:把「保障带宽」当成「最大带宽」,保障带宽是保底,不限制速度,最大带宽才是限速
3. 策略优先级与匹配顺序
- 你设置的「级别:高」,优先级正确,但要确认:
- 有没有其他流量策略 / 安全策略优先级更高,先匹配了 192.168.16.16 的流量,导致你的限速策略不生效
- 进入「流量管理→流量策略」,查看策略列表,确保你的限速策略在最上方(ACG 按从上到下顺序匹配,先匹配到就不再往下走)
- 临时禁用所有其他流量策略,只保留你的 2M 限速策略,测试是否生效
4. 匹配条件是否完整
- 你勾选了「匹配用户 / 组」「匹配应用」,但用户 / 组、应用都选了
any,匹配逻辑正确 - 注意:不要勾选「匹配时间」为非 always,避免时间不匹配导致策略不生效
- 你设置的「时间:always」,正确,无问题
三、核心修复步骤(按顺序执行,必生效)
步骤 1:修正接口绑定(90% 问题出在这)
- 登录 ACG Web,进入「流量管理→流量策略」,找到你这条 16.16 的 2M 限速策略,点击「编辑」
- 找到「应用接口」选项,删除所有物理 GE 口,仅勾选桥组(bridge-group 1)
- 点击「提交」,再点右上角「配置保存」,确保配置生效
步骤 2:调整策略优先级与顺序
- 在流量策略列表页,选中你的限速策略,点击「上移」,把它移到第一条
- 临时禁用所有其他流量策略(右键→禁用),避免优先级冲突
- 保存配置,重启 ACG(可选,加速生效)
步骤 3:验证流量匹配与限速
- 用 192.168.16.16 终端测速(推荐***.***,避免内网测速)
- 进入「上网行为管理→流量管理→流量统计」,查看 192.168.16.16 的流量是否被策略匹配
- 进入「系统管理→系统日志→流量日志」,查看是否有该终端的限速日志,确认策略已触发
步骤 4:桥接模式专项优化(必做)
- 进入「网络配置→接口→桥接」,确认桥组状态为「Up」,物理口已加入桥组
- 进入「网络配置→路由」,确认 ACG 有到 192.168.16.0/24 网段的回程路由(下一跳指向核心 192.168.99.1)
- 关闭 ACG 的「快速转发」(系统管理→系统设定→高级设置→快速转发),快速转发会跳过流量策略,导致限速不生效
四、其他常见坑(补充排查)
1. 终端流量方向问题
- 你设置了「出 / 入」双向限速,确认终端流量是入 ACG→出 ACG,双向都经过桥组
- 若终端流量绕开 ACG(如核心直接走防火墙),ACG 无法限速,需确认拓扑无旁路
2. ACG 版本 BUG
- 旧版本 ACG1000-M 存在桥接模式限速不生效的已知 BUG,升级到最新稳定版本可修复
- 升级前备份配置,避免配置丢失
3. 防火墙 / 核心的限速冲突
- 确认防火墙、核心交换机上没有对 192.168.16.16 配置更高的限速 / QoS,覆盖 ACG 的限速策略
- 临时关闭防火墙 / 核心的 QoS,单独测试 ACG 限速
五、最终验证标准
- 下载 / 上传速度稳定在 2Mbps 左右(≈256KB/s)
- ACG 流量统计中,该终端流量匹配你的限速策略,有明确的限速日志
- 断开 ACG 后,终端速度恢复正常,确认是 ACG 限速生效
六、一键排查命令(Console 口)
# 查看桥组状态
display bridge-group 1
# 查看流量策略配置
display traffic-policy
# 查看流量策略匹配统计
display traffic-policy statistics interface bridge-group 1
# 查看192.168.16.16流量日志
display logbuffer | include 192.168.16.16暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论