USG系列产品IP-CAR各种应用总结

:W80A 标题： USG 系列产品 IP-CAR 各种应用总结

关键字： IP-CAR 连接数限制   带宽限制

摘要： IP-CAR 应用比较广泛，应用场景也比较多，各种需求也不一样，各版本的配置也不一样，现对这些各种应用场景和各种版本做一个简单的总结，本文主要设计到的应用场景有：基于时间段的限制带宽，限制连接数，特别 IP 不做限制，以及各版本的配置差异。

 

组网需求

如图 1 所示， USG 的接口 GigabitEthernet 0/0/0 属于 Untrust 区域， GigabitEthernet 0/0/1 属于 Trust 区域， GigabitEthernet 5/0/0 属于 DMZ 区域。 PC 都属于 Trust 区域， Internet 属于 Untrust 区域， FTP Server 属于 DMZ 区域。

需求 1 ：为了防止 FTP Server 受攻击，限制其 FTP 端口连接数上限为 500 。

需求 2 ：限制 Trust 区域的 IP 带宽上限：白天为 100kbit/s ，晚上为 300kbit/s 。但 IP 地址为 110.1.1.5/24 PC 的入域方向（ inzone ）和出域方向（ outzone ） IP 会话不受限制。

图 1 IP-CAR 配置举例组网图

 

一、  第一种配置方法 ：

1. 完成 USG 的基本配置。

# 配置接口 GigabitEthernet 0/0/0 的 IP 地址。

<USG> system-view

[USG] interface GigabitEthernet 0/0/0

[USG-GigabitEthernet 0/0/0] ip address 100.1.1.1 24

[USG-GigabitEthernet 0/0/0] quit

# 配置接口 GigabitEthernet 5/0/0 的 IP 地址。

[USG] interface GigabitEthernet 5/0/0

[USG-GigabitEthernet 5/0/0] ip address 200.1.1.1 24

[USG-GigabitEthernet 5/0/0] quit

# 配置接口 GigabitEthernet 0/0/1 的 IP 地址。

[USG] interface GigabitEthernet 0/0/1

[USG-GigabitEthernet 0/0/1] ip address 110.1.1.1 24

[USG-GigabitEthernet 0/0/1] quit

# 将接口 GigabitEthernet 0/0/0 加入 Untrust 区域。

[USG] firewall zone untrust

[USG-zone-untrust] add interface GigabitEthernet 0/0/0

[USG-zone-untrust] quit

# 将接口 GigabitEthernet 5/0/0 加入 DMZ 区域。

[USG] firewall zone dmz

[USG-zone-dmz] add interface GigabitEthernet 5/0/0

[USG-zone-dmz] quit

# 将接口 GigabitEthernet 0/0/1 加入 Trust 区域。

[USG] firewall zone trust

[USG-zone-trust] add interface GigabitEthernet 0/0/1

[USG-zone-trust] quit

# 配置缺省包过滤规则。

[USG] firewall packet-filter default permit all

2. 配置 FTP Server 的连接数限制。

# 配置连接数限制等级及对应的连接数上限为 500 。

[USG] firewall conn-class 1 500

# 配置基本 ACL 。

[USG] acl 2000

[USG-acl-basic-2000] rule permit

[USG-acl-basic-2000] quit

# 将连接数限制策略应用在 DMZ 区域，即限制 FTP 服务器的 FTP 端口连接数上限为 500 。

[USG] firewall zone dmz

[USG-zone-dmz] statistic enable ip inzone

[USG-zone-dmz] statistic connect-number ip tcp inbound 1 acl-number 2000

3. 配置 PC 机的带宽限制。

# 配置带宽限制等级及对应的带宽上限值。

[USG] firewall car-class 1 100000

[USG] firewall car-class 2 300000

# 配置car-class所需要使用的限流策略的时间段。

[USG]time-range night 18:00 to 24:00 daily

[USG]time-range day 00:00 to 18:00 daily

# 配置高级 ACL 。

[USG] acl 3001

[USG-acl-adv-3001] rule deny ip source 110.1.1.5 0

[USG-acl-adv-3001] rule deny ip destination 110.1.1.5 0

[USG-acl-adv-3001] rule permit ip time-range day

[USG-acl-adv-3001] quit

[USG] acl 3002

[USG-acl-adv-3002] rule deny ip source 110.1.1.5 0

[USG-acl-adv-3002] rule deny ip destination 110.1.1.5 0

[USG-acl-adv-3002] rule permit ip time-range night

[USG-acl-adv-3002] quit

# 将带宽限制策略应用在 Trust 区域。

[USG] firewall zone trust

[USG-zone-trust] statistic enable ip inzone

[USG-zone-trust] statistic enable ip outzone

[USG-zone-trust] statistic car ip inbound 1 acl-number 3001

[USG-zone-trust] statistic car ip outbound 1 acl-number 3001

[USG-zone-trust] statistic car ip inbound 2 acl-number 3002

[USG-zone-trust] statistic car ip outbound 2 acl-number 3002

 

二、  第二种配置方法：

1. 完成 USG 的基本配置。（同第一种方法）

2. 配置 FTP Server 的连接数限制。（同第一种方法）

3. 配置 PC 机的带宽限制。

# 配置带宽限制等级及对应的带宽上限值。

[USG] firewall car-class 1 100000

[USG] firewall car-class 2 300000

# 配置car-class所需要使用的限流策略的时间段。

[USG]time-range night 18:00 to 24:00 daily

[USG]time-range day 00:00 to 18:00 daily

# 配置基本 ACL 和高级 ACL 。

[USG] acl 2001

[USG-acl-basic-2001] rule permit time-range day

[USG-acl-basic-2001] quit

[USG] acl 2002

[USG-acl-basic-2002] rule permit time-range night

[USG-acl-basic-2002] quit

[USG]acl number 3000

[USG-acl-adv-3000]rule 0 deny ip source 110.1.1.5 0

[USG-acl-adv-3000]rule 5 deny ip destination 110.1.1.5 0

[USG-acl-adv-3000]quit

# 将带宽限制策略应用在 Trust 区域。

[USG] firewall zone trust

[USG-zone-trust] statistic enable ip inzone

[USG-zone-trust] statistic enable ip outzone

[USG-zone-trust] statistic car ip inbound 1 acl-number 2001

[USG-zone-trust] statistic car ip outbound 1 acl-number 2001

[USG-zone-trust] statistic car ip inbound 2 acl-number 2002

[USG-zone-trust] statistic car ip outbound 2 acl-number 2002

[USG-zone-trust] statistic ip-stat inbound acl-number 3000

[USG-zone-trust] statistic ip-stat outbound acl-number 3000

 

三、  第三种配置方法：

1. 完成 USG 的基本配置。（同第一种方法）

2. 配置 FTP Server 的连接数限制。（同第一种方法）

3. 配置 PC 机的带宽限制。

主要配置命令：

# 配置带宽限制等级及对应的带宽上限值。

[USG] firewall car-class 1 100000

[USG] firewall car-class 2 300000

# 配置car-class所需要使用的限流策略的时间段。

[USG]time-range night 18:00 to 24:00 daily

[USG]time-range day 00:00 to 18:00 daily

# 配置 ACL 。

[USG] acl 2000

[USG-acl-basic-2000] rule permit

[USG-acl-basic-2000] quit

[USG] acl 2101

[USG-acl-basic-2101] rule permit time-range day

[USG-acl-basic-2101] quit

[USG] acl 2102

[USG-acl-basic-2102] rule permit time-range night

[USG-acl-basic-2102] quit

[USG] acl 3000

[USG-acl-adv-3000] rule deny ip source 110.1.1.5 0

[USG-acl-adv-3000] rule deny ip destination 110.1.1.5 0

[USG-acl-adv-3000] quit

[USG] acl 3100

[USG-acl-adv-3100] permit tcp destination 200.1.1.10 0 destination-port eq ftp

[USG-acl-adv-3100] rule deny ip

[USG-acl-adv-3100] quit

# 将带宽限制策略应用在 Trust 区域。

[USG] firewall zone trust

[USG-zone-trust] ip-car enable

[USG-zone-trust] ip-car inzone 1 acl-number 2101

[USG-zone-trust] ip-car outzone 1 acl-number 2101

[USG-zone-trust] ip-car inzone 2 acl-number 2102

[USG-zone-trust] ip-car outzone 2 acl-number 2102

[USG-zone-trust] ip-car inzone filter acl-number 3000

[USG-zone-trust] ip-car outzone filter acl-number 3000

 

 

说明：

1.USG2200 系列和 USG5300 系列 V1R1 版本只能使用第二种配置方法。

2.USG2200 系列和 USG5300 系列 V1R2 版本可以使用第一种和第二种配置方法。

3.USG2100 系列和 USG3000 系列 V1R1 和 V1R2 只能使用第三种配置方法。

4. 在配置 IP-CAR 是分了 2 个系列： USG2200 和 USG5300 一个系列， USG2100 和 USG3000 一个系列。这 2 个系列配置命令不一样。基本原理是一样的。 USG2200 和 USG5300 系列配置命令为： statistic car ip 和 statistic ip-stat 。 USG2100 和 USG5300 系列配置命令为： ip-car outzone 和 ip-car outzone filter 。

USG2200 和 USG5300V1R1 版本在配置 statistic car ip 不能引用高级 ACL ，这种情况下就只能应用 statistic ip-stat 来引用高级 ACL 。而在 V1R2 版本里面 statistic car ip 后面可以引用高级 ACL ，就不必 statistic ip-stat 。 statistic ip-stat 的作用是用来对特定的 IP 不做限制，对后面引用的 ACL 中 deny 语句定义的流量不做限制。 USG2100 和 USG3000 配置中 ip-car outzone 2 后面是不能引用高级 ACL ，只能引用基本 ACL 。只能在 ip-car outzone filter 中引用高级 ACL 。 ip-car outzone filter 的作用类似 statistic ip-stat ，对后面高级 ACL 中 deny 语句定义的数据流不做限制。

 

附匹配原则：

l. 连接数 / 带宽限制策略的匹配原则为：先匹配高级 ACL ，如果匹配到高级 ACL 的 deny 规则，则不需要限制连接数 / 带宽，且不再查找基本 ACL ；如果未匹配到高级 ACL 的 deny 规则，则继续查找基本 ACL 规则，如果匹配到基本 ACL 的 permit 规则，则使用基本 ACL 对应的连接数 / 带宽限制等级进行限制，否则不限制。

2. 数据流根据 ACL 规则的配置顺序进行匹配，一旦与一条 ACL 规则匹配成功，将不再继续向下匹配。请注意根据实际情况仔细配置 ACL 规则。

3. 如果一个基本 ACL 对应几个不同的连接数 / 带宽限制等级，则连接数 / 带宽限制等级最低（ 0 ～ 7 共 8 个等级中 0 的等级最低）的对该 ACL 规定的用户生效。