USG2210功能介绍操作指南.docx

USG2210针对贵单位的功能介绍操作指南一、基于IP的流量限制通过配置限流策略限制企业员工访问Internet的流量、外网用户访问企业服务器的流量，以提高带宽利用率。配置思路配置内网员工上网流量限制。 配置整体限流策略，限制上网的总体最大上传/下载带宽均为100Mbps。 配置每IP限流策略，限制每个员工的最大上传/下载带宽为8Mbps/10Mbps，并且可以获得4Mbps的保证带宽。说明： 限制上传、下载两个方向的流量需要配置两条限流策略，上传是Trust到Untrust区域的策略，下载是Untrust到Trust区域的策略。配置每IP限流策略时，除了可以指定每个IP的最大带宽还可以指定最低保证带宽。为使保证带宽达到效果，需要将每IP限流策略和整体限流结合使用，当某个IP获取到保证带宽后发现网络总带宽还有剩余，还可以获得剩余的带宽。配置整体限流策略，限制外网用户访问内网服务器的总体连接数最多为20个。项目数据说明(1)接口号：GigabitEthernet 0/0/2IP地址：/24安全区域：Trust与内网办公区相连的接口。(2)接口号：GigabitEthernet 0/0/3IP地址：/24安全区域：DMZ与服务器区相连的接口。(3)接口号：GigabitEthernet 0/0/4IP地址：/24安全区域：Untrust与Internet相连的接口。内网办公区IP地址范围：/24总体最大上传/下载带宽：100Mbps/100Mbps每个员工的最大上传/下载带宽：8Mbps/10Mbps每个员工的上传/下载保证带宽：4Mbps注意根据企业向运营商租用的总带宽、上网人数规划数据。例如企业总带宽为150M，规划办公区上网的总带宽不能超过100M。上网人数为20人，此时每个人可获得的平均带宽为5M，规划每个人的最大带宽可以高于平均带宽，保证带宽则要低于平均带宽，否则无法保证最低带宽。FTP服务器IP地址：/24服务器连接数上限：20个–配置思路配置内网员工上网流量限制。 配置整体限流策略，限制上网的总体最大上传/下载带宽均为100Mbps。 配置每IP限流策略，限制每个员工的最大上传/下载带宽为8Mbps/10Mbps，并且可以获得4Mbps的保证带宽。说明： 限制上传、下载两个方向的流量需要配置两条限流策略，上传是Trust到Untrust区域的策略，下载是Untrust到Trust区域的策略。配置每IP限流策略时，除了可以指定每个IP的最大带宽还可以指定最低保证带宽。为使保证带宽达到效果，需要将每IP限流策略和整体限流结合使用，当某个IP获取到保证带宽后发现网络总带宽还有剩余，还可以获得剩余的带宽。配置整体限流策略，限制外网用户访问内网服务器的总体连接数最多为20个。说明： 企业内网访问Internet、外网用户访问企业FTP服务器需要分别配置源NAT和NAT Server，本例步骤略。配置NAT的情况下，需要针对真实的私网IP地址进行限流而不是NAT转换后的公网IP地址。操作步骤配置各接口基本参数。 选择“网络 接口 接口”。 在“接口列表”中，单击GigabitEthernet 0/0/2对应的。 GigabitEthernet 0/0/2的相关参数如下，其他参数使用默认值：安全区域：trust 模式：路由 连接类型：静态IP IP地址： 子网掩码：重复上述类似操作，配置GigabitEthernet 0/0/3和GigabitEthernet 0/0/4的接口参数。 GigabitEthernet 0/0/3的相关参数如下，其他参数使用默认值：安全区域：dmz 模式：路由 连接类型：静态IP IP地址： 子网掩码：GigabitEthernet 0/0/4的相关参数如下，其他参数使用默认值：安全区域：untrust 模式：路由 连接类型：静态IP IP地址： 子网掩码：对于USG系列，配置域间包过滤，以保证网络基本通信正常。对于USG BSR/HSR系列，不需要执行此步骤。 选择“防火墙 安全策略 转发策略”。 在“转发策略列表”中，单击“trust-untrust”下“默认”对应的，修改动作为permit。 重复上述类似操作，修改“untrust-dmz”的默认动作为permit。 配置内网员工上网限流策略。 选择“防火墙 限流策略 基本配置”，启用限流功能。 配置整体限流策略，限制整体上传流量。 先配置整体限流Class再新建整体限流策略引用Class。 选择“防火墙 限流策略 整体限流”。 选择“整体限流Class”页签，单击，新建整体限流Class。说明： 带宽单位为kbps，1Mbps＝1000kbps。选择“整体限流”页签，单击，新建整体限流策略。上传的方向是从Trust到Untrus