F1030防火墙+ftp

外网口可能是正常的，和宽带套餐相关，内网口看下是否配置限速了。

先确认下防火墙支持的带宽情况

检查下有没有做限速

在千兆带宽下FTP上传仅有60Mbps，这个速度确实不太正常。防火墙自身通常不会对FTP这类基础应用做主动限速，60Mbps这个瓶颈值，更像是触发了百兆协商、应用层安全策略深度检测，或经过VPN封装后的性能上限。

排查效率上，建议优先对比测试和简化防火墙策略。

1. 隔离“真凶”：一个关键的对比测试

这个测试能帮你瞬间锁定问题是在服务器端还是中间的网络。

1. 直连测试：找台电脑，配置一个与防火墙内网口同网段的IP，用网线直连到防火墙的内网接口上。

2. 上传文件：从这台电脑向FTP服务器上传文件。

   • 速度恢复正常：说明问题很可能出在防火墙的安全策略和深度检测功能上。

   • 速度依然很慢：问题大概率出在FTP服务器本身，或者防火墙与服务器间的网络链路上。

2. 防火墙侧深度排查与优化（按推荐顺序尝试）

以下操作无明确版本限制，但涉及多个功能调整，建议在业务低峰期进行，每次只改动一处，验证无效后立即恢复。

• 暂停应用层检测：这是性能损耗最可能的来源。应用层检测或入侵防御如果对FTP流量做逐包深度检查，会严重拖慢速度。操作建议：在安全策略中，临时创建一个测试规则，将FTP流量的动作设为deny（不启用任何安全Profile），或将相关的应用层检测Profile临时移除。测试时务必关闭AV/IPS等策略。

• 检查接口协商速率：确保防火墙涉及的内外网接口都已协商为1000M全双工。恢复验证：在接口视图下使用display interface命令检查。

• 关闭部分攻击防范：开启过多attack-defense功能（如扫描、Flood防范）可能会误伤高速传输。在系统视图下使用display attack-defense configuration检查并临时关闭非核心防范功能进行测试。

• 检查FTP ALG状态：检查FTP的ALG功能是否正常工作。通常NAT开启后ALG会自动生效。验证命令：display nat alg，确认FTP状态为Enabled。

• 调整TCP MSS值：MTU或MSS值不匹配可能导致TCP切片效率低下。操作建议：在外网接口调整MSS值，如：[H3C-GigabitEthernet1/0/X] tcp mss 1300。可尝试1200-1460之间的值。

• 检查限速策略：确认是否有被遗忘的QoS流量整形或bandwidth policy。操作：检查相关QoS配置，确保当前策略无错误限速。

3. 其他网络环节排查

如果上述针对防火墙的操作都无效，请继续排查以下三点：

• 检查网卡与服务器：排查FTP服务器及途经的交换机端口工作模式，通过备用端口或FTP客户端进行交叉测试，确认服务器后端磁盘I/O无瓶颈。

• FTP传输模式：建议将FTP客户端设置为被动模式 (Passive Mode)。主动模式要求服务器主动连接客户端，易被客户端侧防火墙拦截。

• 复杂组网排查：若组网涉及VPN，排查VPN本身的性能限制。检查防火墙的日志，看会话是否被错误丢弃。最后，还可通过FTP多线程工具测试，判断是否为单线程性能问题。

• 60MB/s 正常，不是故障
• F1030 本身没有 “FTP 强制限速”，但有默认 QoS / 安全策略会压到这个区间
• 1Gbps 带宽 ≈ 125MB/s 理论上限，实际能跑到 90–110MB/s 才算跑满

一、为什么 1G 带宽只跑 60MB/s？

• 理论最大速度：1000Mbps ÷ 8 = 125MB/s
• 实际环境（TCP + 开销）一般能到 90–110MB/s

1. F1030 的性能与默认策略

• F1030：三层吞吐量约 2.5–3Gbps，七层（带安全检测）会低很多江苏政府采购网
• FTP 属于七层应用，开启 AV/IPS/ 应用识别后，吞吐量会明显下降
• 出厂默认会有 QoS / 带宽管理、会话限制、安全策略限流，刚好把 FTP 压在 50–70MB/s 区间H3C

2. 防火墙 “FTP 服务器” 本身的限制

• 存储是内置硬盘或 Flash，读写速度本身就有限（常见 60–80MB/s）
• FTP 服务单进程 / 单线程，CPU 调度优先级低，大文件跑不高
• 不存在 “故意限速”，但 系统资源调度会自然卡在 60M 左右H3C

3. 网络与客户端侧瓶颈

• 客户端网卡 / 网线：是不是真千兆、有没有协商成百兆
• 中间交换机：端口限速、风暴抑制、QoS
• FTP 模式：用 被动模式（PASV） 比主动模式更容易被限速 / 丢包

二、是不是防火墙 “FTP 软件” 本身有限速？

1. 带宽管理（QoS）
   • 全局或接口下配置了 maximum bandwidth，比如限制 500Mbps → 实际～60MB/sH3C
   • 命令示例：
     plaintext

     traffic-policy profile FTP bandwidth upstream maximum 500000 // 单位 kbps
2. 安全策略里的应用限速
   • 策略里勾选了 FTP → 限速 60MB/s（常见默认值）
3. 会话数 / 连接数限制
   • 全局或域间策略限制 单 IP 最大会话数、TCP 最大连接数，大文件传输会被限流

三、排查与提速步骤（可直接照着做）

1. 先确认有没有全局 / 接口限速

• 看到 bandwidth maximum、CIR 等，就是限速了

2. 检查安全策略是否对 FTP 限速

• 策略 → 安全策略 → 找到放通 FTP 的策略 → 编辑 → 应用控制 → 看是否勾选 FTP → 限速 60MB/s

3. 关闭不必要的安全检测（临时提速）

• 关闭：AV 防病毒、IPS 入侵防御、应用识别
• 关闭后 FTP 吞吐量通常能到 90–110MB/s（接近千兆上限）

4. 换用 “主动模式” 或调整 PASV 端口范围

5. 客户端侧排查

• 用 iperf3 测裸 TCP 速度：
  plaintext

  iperf3 -c 防火墙IP
  • 能到 900Mbps+ → 网络没问题，瓶颈在防火墙 FTP 服务
  • 只有 500–600Mbps → 中间链路 / 交换机有限速

四、总结

• 60MB/s 正常，不是故障，是 F1030 默认策略 + FTP 服务性能的典型区间
• 没有 “FTP 软件强制限速”，但 QoS / 安全策略会把它压在这个速度
• 想跑满千兆：关闭 AV/IPS/ 应用识别、删除 FTP 限速策略、用 iperf3 确认网络无瓶颈