华为Eudemon系列防火墙P2P限流配置指导.doc

Eudemon系列防火墙P2P限流配置指导文档密级Eudemon系列防火墙P2P限流配置指导 V2 .1拟制:王巍日期：2005/07/01审核:日期：审核:日期：批准:日期：修订记录日期修订版本作者描述2005/07/042.0王巍2005/09/052.1唐正斌增加基于IP CAR进行P2P限流的功能华为技术有限公司Huawei Technologies Co., Ltd.目 录1概述32P2P限流常用配置32.1全局P2P限流配置32.2全局策略P2P限流配置32.2.1指定某些用户进行P2P限流，其他用户不限流42.2.2指定某些用户不进行P2P限流，其他用户限流42.2.3指定两类用户进行不同的P2P限流52.2.4分别对用户的上传和下载进行限流52.3基于IP进行P2P限流配置62.3.1在分别限制下载和上传总带宽的同时限制每个用户的下载和上传带宽62.4基于不同时间段进行限流82.5日志服务器82.6连接状态检测93典型组网103.1Eudemon系列防火墙透明模式P2P限流组网103.1.1组网简图103.1.2组网需求103.1.3组网配置113.2Eudemon系列防火墙路由模式P2P限流组网123.2.1组网简图123.2.2组网需求123.2.3组网配置133.3Eudemon系列防火墙路由模式P2P上下行分别限流组网153.3.1组网简图153.3.2组网需求153.3.3组网配置163.4Eudemon系列防火墙多路径P2P限流组网183.4.1组网简图183.4.2组网需求183.4.3组网配置191 概述本文档用于指导Eudemon系列防火墙关于P2P限流的配置，适用于Eudemon500和Eudemon1000。防火墙主机软件版本适用于D032SP04。其他后续版本有关P2P限流的配置命令如有所变化，请参考相关的手册。2 P2P限流常用配置2.1 全局P2P限流配置Eudemon系列防火墙可以对经过防火墙的所有P2P流进行全局限制。对P2P流量可以限定在一个范围内，可以指定P2P流量范围为100K1Gbps。1）打开全局P2P限流开关例如：Eudemon firewall p2p-car default-permit 2）设置BT限流带宽 例如：Eudemon firewall p2p-car cir 100000 （单位：Kbit/s） 等同于 Eudemon firewall p2p-car class 0 cir 100000 注意： 注意命令里写的是P2P，而不是BT，原因是该命令同时包含了BT、电骡、电驴等多种P2P应用的限流功能，不仅仅是BT。 通常全局P2P限流需求，只要上述两条命令即可实现。域间不用配置BT限流策略。 设置P2P限流带宽时，可以同时配置两种：class0和class1，不指定class，缺省为class0。全局BT限流配置缺省采用class0。 可以将P2P限流带宽设置为最大1000000（1G bit/s），这样等于没有限制P2P流，可以统计出当前P2P的流量。 2.2 全局策略P2P限流配置Eudemon系列防火墙可以同时设置两种限流带宽：class0和calss1。防火墙对符合不同策略的P2P流使用不同的限制带宽。通过ACL来控制对域间的某些用户做P2P限流，某些用户不做限流；或是分别限制用户的上传和下载。下面列举一些常用的P2P限流策略应用：2.2.1 指定某些用户进行P2P限流，其他用户不限流例如：指定对/24网段的用户进行限流20M，其他用户不限流。1）设置class0的P2P限流带宽为20M（bit/s）Eudemon firewall p2p-car class 0 cir 20000 2）配置P2P限流策略Eudemonacl number 3000Eudemon-acl-3000rule permit source 55Eudemon-acl-3000rule permit destination 55Eudemon-acl-3000rule deny ip3）域间应用P2P限流策略Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust p2p-car 3000 class 0 inbound Eudemon-interzone-trust-untrust p2p-car 3000 class 0 outbound 注意：这里假设防火墙的上下行流量都属于trust域和untrust域间，如果存在其他安全域间流量，也要配置p2p-car 3000 class 0命令。2.2.2 指定某些用户不进行P2P限流，其他用户限流例如：指定对/24网段的用户不进行限流，其他用户限流20M。1）设置class0的P2P限流带宽为20M（bit/s）Eudemon firewall p2p-car class 0 cir 20000 2）配置P2P限流策略Eudemonacl number 3000Eudemon-acl-3000rule deny source 55Eudemon-acl-3000rule deny destination 55Eudemon-acl-3000rule permit ip3）域间应用P2P限流策略Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust p2p-car 3000 class 0 inbound Eudemon-interzone-trust-untrust p2p-car 3000 class 0 outbound 注意：这里假设防火墙的上下行流量都属于trust域和untrust域间，如果存在其他安全域间流量，也要配置p2p-car 3000 class 0命令。2.2.3 指定两类用户进行不同的P2P限流例如：指定对/24网段的用户限流20M，对/24网段的用户限流30M。1）设置class0的P2P限流带宽为20M（bit/s），class1的P2P限流带宽为30M（bit/s）Eudemon firewall p2p-car class 0 cir 20000 Eudemon firewall p2p-car class 1 cir 30000 2）配置P2P限流策略Eudemonacl number 3000Eudemon-acl-3000rule permit ip source 55Eudemon-acl-3000rule permit ip destination 55Eudemonacl number 3001Eudemon-acl-3001rule permit ip source 55Eudemon-acl-3001rule permit ip destination 553）域间应用P2P限流策略Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust p2p-car 3000 class 0 inbound Eudemon-interzone-trust-untrust p2p-car 3000 class 0 outbound Eudemon-interzone-trust-untrust p2p-car 3001 class 1 inbound Eudemon-interzone-trust-untrust p2p-car 3001 class 1 outbound 注意：这里假设防火墙的上下行流量都属于trust域和untrust域间，如果存在其他安全域间流量，也要配置p2p-car 3000 class 0和p2p-car 3001 class 1命令。2.2.4 分别对用户的上传和下载进行限流例如：限制/24网段的用户上传20M，下载为30M。1）设置class0的P2P限流带宽为20M（bit/s），class1的P2P限流带宽为30M（bit/s）Eudemon firewall p2p-car class 0 cir 20000 Eudemon firewall p2p-car class 1 cir 30000 2）配置P2P上传限流策略3000，下载限流策略3001Eudemonacl number 3000Eudemon-acl-3000rule permit ip source 55 Eudemonacl number 3001 Eudemon-acl-3001rule permit ip destination 553）域间应用P2P限流策略Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust p2p-car 3000 class 0 outbound Eudemon-interzone-trust-untrust p2p-car 3001 class 1 inbound 注意：这里假设防火墙的上下行流量都属于trust域和untrust域间，如果存在其他安全域间流量，也要配置p2p-car 3000 class 0和p2p-car 3001 class 1命令。在配置P2P策略限流时应该注意的几个问题：a、域间限流策略ACL会按照从小到大的顺序匹配。b、ACL的优先级高于全局的限流配置。即这里的ACL指定的用户不受限制时，即使配置了P2P限流，对这些用户的P2P流也不限制。c、域间没有配置限流ACL策略，则使用全局P2P限流配置进行限流。d、域间配置了限流ACL策略，但是不匹配ACL（ACL中没有提到）的数据流，使用全局P2P限流配置进行限流。2.3 基于IP进行P2P限流配置在指定全局限流策略的同时，还可以分别限制每个IP占用的上传和下载的P2P带宽。2.3.1 在分别限制下载和上传总带宽的同时限制每个用户的下载和上传带宽例如：（假设/24在Trust区域内）l 指定对/24网段的用户下载限流200M，其他用户不限流l 指定对/24网段的用户上载限流400M，其他用户不限流l 对/24网段的每个用户限制P2P下载流量为1Ml 对/24网段的每个用户限制P2P上载流量为2M1）指定对/24网段的用户下载限流200M，其他用户不限流：1.1）设置class0的P2P限流带宽为200M（bit/s）Eudemon firewall p2p-car class 0 cir 200000 1.2）配置P2P限流策略Eudemonacl number 3000Eudemon-acl-3000rule permit source 55Eudemon-acl-3000rule permit destination 55Eudemon-acl-3000rule deny ip1.3）域间应用P2P限流策略Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust p2p-car 3000 class 0 inbound2）指定对/24网段的用户上载限流400M，其他用户不限流：2.1）设置class1的P2P限流带宽为400M（bit/s）Eudemon firewall p2p-car class 1cir 400000 /*注：单位为Kbit/s */2.2）配置P2P限流策略Eudemonacl number 3001Eudemon-acl-3001rule permit source 55Eudemon-acl-3001rule permit destination 55Eudemon-acl-3001rule deny ip1.3）域间应用P2P限流策略Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust p2p-car 3001 class 1 outbound3）对/24网段的每个用户限制P2P下载流量为1M：3.1）设置IP CAR的限流带宽1M（bit/s）Eudemon firewall car-class 1 10000003.2）配置P2P限流策略Eudemonacl number 3002Eudemon-acl-3002rule permit source 553.3）在Trust域上应用P2P限流策略Eudemon firewall zone trust Eudemon-zone-trust statistic enable ip inzoneEudemon-zone-trust statistic car ip inbound 1 acl 30024) 对/24网段的每个用户限制P2P上载流量为2M。 3.1）设置IP CAR的限流带宽2M（bit/s）Eudemon firewall car-class 2 2000000/*注：单位为bit/s*/3.2）配置P2P限流策略Eudemonacl number 3003Eudemon-acl-3003rule permit source 553.3）在Trust域上应用P2P限流策略Eudemon firewall zone trust Eudemon-zone-trust statistic enable ip outzoneEudemon-zone-trust statistic car ip outbound 2 acl 30032.4 基于不同时间段进行限流从运营商角度，为了保证给用户一定BT带宽，又不影响网络其它业务，因此常常希望在不同时段，分配不同的P2P带宽，在网络流量高峰期，把P2P流量限制更低。Eudemon防火墙可以配置10个时间段，以及一个缺省的P2P限流带宽。这10个时间段，从1到10优先匹配时间段的限流带宽，如果没有时间段或者当前不处于任何配置的时间段，使用全局缺省限流带宽。1）配置时间段例如：将每天分为两个时间段，白天：10:00-23:59，晚上：00:00-10:00。Eudemon time-range night 00:00 to 10:00 dailyEudemon time-range daytime 10:00 to 23:59 daily2) 不同的时间段指定不同的P2P限流带宽例如：白天限流为20M，晚上限流为10M。Eudemon firewall p2p-car class 0 cir 20000 1 daytime Eudemon firewall p2p-car class 0 cir 10000 2 night 3）显示当前使用的P2P限流时间段带宽Eudemon display p2p-car2.5 日志服务器Eudemon系列防火墙p2p限流支持日志输出，将当前的总流量信息、实际P2P流量信息、P2P限流带宽等发送给日志服务器，日志服务器能够提供数据查询功能，还能够以图表的方式反映P2P限流的情况。日志服务器是运行在WINDOWS操作系统的软件，独立安装运行。关于日志服务器软件的配置，软件安装后有一个配置提示文档，讲解的比较详细，这里就不再详述了。1）配置日志主机地址，防火墙需要路由到达日志主机a、如果防火墙工作在透明模式下，要使用VLANIF来配置IP，一般在RPU的管理接口上配置。如果和上下行路由器的接口IP不在同一个网段，需要另拉一根线出来。例如：防火墙工作在透明模式，通过E0/0/1连接日志服务器Eudemon interface Ethernet 0/0/1 Eudemon-Ethernet0/0/1 port default vlan 24 Eudemon interface Vlanif 24Eudemon-Vlanif24 ip address 24b、配置日志服务器主机例如：配置日志主机为00Eudemon info-center loghost 002）打开p2p日志输出开关Eudemon firewall log stream enable注意：防火墙每隔64秒发送一次日志信息。2.6 连接状态检测Eudemon系列防火墙是基于状态的防火墙，对每个会话流会检测连接状态，比如：TCP会话必须经过三次握手之后，才认为是建立了完整的、合法的TCP会话；还有FTP应用，会检测前后的状态，如果出现状态错误，就进行丢包处理。在城域网出口的地方，存在多种流量路径不唯一的情况。也就是说流经防火墙的会话流可能存在不完整性，比如TCP三次握手不完整等。这种情况防火墙需要去掉连接状态检测。1）判断组网是否存在路径不唯一的情况会话流部分经过防火墙。2）不做连接状态检测Eudemonundo firewall session link-state check3 典型组网3.1 Eudemon系列防火墙透明模式P2P限流组网3.1.1 组网简图图1 透明模式组网简图3.1.2 组网需求1、 加入Eudemon防火墙进行P2P限流，不改变现网组网结构。防火墙采用透明工作模式，这种组网对现网改造小，对现网可能带来的影响也小。如果万一发现有其它问题，恢复也很快，只需要把相关网线或光纤拔回就可以了。Eudemon防火墙工作在透明模式下，接口也可以单独配置IP，满足远程网管和维护需要。2、对所有内网用户A和用户B分时段进行限流，00:00 20:00限制带宽为10M，20:00 23:59限制带宽为20M。Eudemon防火墙设置不同的时间段带宽，在00:00 20:00时间段内，限制P2P带宽为10M，在20:00 23:59时间段内，限制带宽为20M。3.1.3 组网配置1）设置防火墙工作模式Eudemon firewall mode transparent 2）将接口加入安全域中Eudemon firewall zone untrustEudemon-zone-untrust add interface Ethernet4/0/0Eudemon firewall zone trustEudemon-zone-trust add interface Ethernet4/0/13）打开全部缺省过滤规则Eudemon firewall packet-filter default permit all 4）配置限流策略生效时间段 Eudemontime-range daytime 00:00 to 20:00 dailyEudemontime-range night 20:00 to 23:59 daily5）根据时间段，设置不同的限流带宽Eudemon firewall p2p-car class 0 cir 10000 1 daytime Eudemon firewall p2p-car class 0 cir 20000 2 night 6）配置日志服务器Eudemon interface vlanif 24Eudemon-Vlanif24ip address Eudemon info-center loghost 0Eudemon firewall log stream enable3.2 Eudemon系列防火墙路由模式P2P限流组网3.2.1 组网简图图2 路由模式组网简图3.2.2 组网需求1、所有内网用户通过Eudemon防火墙后，转换源地址防火墙工作在路由模式，现网中与防火墙直接连接的上下行设备的接口IP地址、路由等相应的更改。防火墙配置NAT策略，可以采用上行口E4/0/0的IP地址作为转换后的源地址。2、用户A限制P2P带宽为10M，用户B限制P2P带宽为20M 防火墙对于用户A和用户B指定不同的P2P限流策略，同时根据P2P限流策略，指定不同的限流带宽。3.2.3 组网配置1）设置防火墙工作模式Eudemon firewall mode route2）设置接口IP地址Eudemon interface Ethernet 4/0/0Eudemon-Ethernet4/0/0 ip address 52Eudemon interface Ethernet 4/0/1Eudemon-Ethernet4/0/0 ip address 52 3）将接口加入安全域中Eudemon firewall zone untrustEudemon-zone-untrust add interface Ethernet4/0/0Eudemon firewall zone trustEudemon-zone-trust add interface Ethernet4/0/14）打开全部缺省过滤规则Eudemon firewall packet-filter default permit all 5）配置NAT地址转换地址池 Eudemon nat address-group 1 6）配置NAT地址转换策略 Eudemon acl number 2000 Eudemon-acl-adv-2000 rule permit ip 7）域间配置NAT地址转换 Eudemon firewall interzone trust untrust Eudemon-interzone-trust-untrust nat outbound 2000 address-group 1 8）配置用户A的限流策略Eudemon acl number 3000 Eudemon-acl-adv-3000rule permit ip source 0 0Eudemon-acl-adv-3000rule permit ip destination 0 09）配置用户A的限流带宽class0Eudemon firewall p2p-car class 0 cir 10000 10）配置用户B的限流策略Eudemon acl number 3001 Eudemon-acl-adv-3001rule permit ip source 0 0Eudemon-acl-adv-3000rule permit ip destination 0 011）配置用户B的限流带宽class1Eudemon firewall p2p-car class 1 cir 20000 12）域间配置用户A和用户B的限流带宽Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust p2p-car 3000 class 0 inbound Eudemon-interzone-trust-untrust p2p-car 3000 class 0 outbound Eudemon-interzone-trust-untrust p2p-car 3001 class 1 inbound Eudemon-interzone-trust-untrust p2p-car 3001 class 1 outbound 13）配置日志服务器Eudemon info-center loghost 0Eudemon firewall log stream enable3.3 Eudemon系列防火墙路由模式P2P上下行分别限流组网3.3.1 组网简图3.3.2 组网需求1、所有内网用户通过Eudemon防火墙后，转换源地址防火墙工作在路由模式，现网中与防火墙直接连接的上下行设备的接口IP地址、路由等相应的更改。防火墙配置NAT策略，可以采用上行口E4/0/0的IP地址作为转换后的源地址。2、用户A限制P2P上行带宽为10M，限制P2P下行带宽为20M 防火墙对于用户A上下行指定不同的P2P限流策略，同时根据P2P限流策略，指定不同的限流带宽。3.3.3 组网配置1）设置防火墙工作模式Eudemon firewall mode route2）设置接口IP地址Eudemon interface Ethernet 4/0/0Eudemon-Ethernet4/0/0 ip address 52Eudemon interface Ethernet 4/0/1Eudemon-Ethernet4/0/0 ip address 52 3）将接口加入安全域中Eudemon firewall zone untrustEudemon-zone-untrust add interface Ethernet4/0/0Eudemon firewall zone trustEudemon-zone-trust add interface Ethernet4/0/14）打开全部缺省过滤规则Eudemon firewall packet-filter default permit all 5）配置NAT地址转换地址池 Eudemon nat address-group 1 6）配置NAT地址转换策略 Eudemon acl number 2000 Eudemon-acl-adv-2000 rule permit ip 7）域间配置NAT地址转换 Eudemon firewall interzone trust untrust Eudemon-interzone-trust-untrust nat outbound 2000 address-group 1 8）配置用户A上行的限流策略Eudemon acl number 3000 Eudemon-acl-adv-3000rule permit ip source 0 09）配置用户A上行限流带宽class0Eudemon firewall p2p-car class 0 cir 10000 10）配置用户A下行的限流策略Eudemon acl nu