防火墙限流功能测试过程：

1) 测试不配置 BT限流时，最大能下载的速率。

PC1从PC2上(PC2是种子)，用BT下载。从BITTORRENT软件上可以看见BT下载速度，一般能达到700Kbps以上。

注意用BITTORRENT4.0版本，上面有个左右移动的拉条，是用于决定该种子机器最大对外提供的带宽，原则上设置到最大。因此PC2上应设置最大。如果速度上不去，可能是有误码，观察防火墙接口误码统计，一般是网口工作模式不匹配，和PC机直连的时候，常见的是设置成百兆自适应。

2) 测试配置 BT限流时，能否限制到预设的BT带宽

设置BT

带宽速率为200kbps. 然后停止上面的BT下载，然后再重新或者继续下载，这时候可以看到下载速率逐渐上升，当上升到200kbps左右时，就上升不上去，误差很小。

停止一下的原因： 因为BT限流，采用的是基于会话的流方式(路由器因为支持的是单包转发，所以路由器上很难支持)。

如果防火墙上设置限流前，一个已经建立了会话的正在下载的BT流，防火墙限制不了该流。但是如果下载中断一下，再次发起下载，BT流就会被识别并被限制。但现实网络中，BT下载流是经常断续的,和其它种子不断建立新的连接，因此网络上BT流很快就会全部受限。当然如果想立即对所有的BT流立即见效，也可以用命令清空防火墙会话表，这时原来的BT下载会立即全部中断，新发起的BT流，立即会被识别(但不建议这样做)。

注意下面命令里写的是P2P，而不是BT，原因是该命令同时包含了BT、电骡、电驴等多种P2P应用的限流功能，不仅仅是BT。

命令1： firewall p2p-car

default-permit 使能 BT限流功能。

命令2：firewall p2p-car cir cir-value<100-1000000

kbps> 配置BT带宽

具体命令解释参见后面。

3) 测试修改BT带宽时，带宽设置是否生效

在防火墙上修改BT缺省带宽参数，例如修改成400kbps.

这时可以看到刚才下载速度为200kbps，现在速率则渐渐上升，最后停止在400kbps左右。

如果设置成100kbps,则可以看到速率逐渐下降，很快停留在100kbps.

防火墙是采用硬件流控，流控基本不消耗防火墙性能，而且带宽控制的比较精确。目前Eudemon防火墙可以限制BT流在100kbps-

1Gbps带宽之间任意设置。

注意这项的测试，不需要暂停一下BT客户。这是因为该BT会话流已经被打上了BT流标记，因此后续自然会限制到设定的带宽。

4) 测试基于时间段的带宽。

从运营商角度，为了保证给用户一定BT带宽，又不影响网络其它业务，因此常常希望在不同时段，分配不同的BT带宽，在网络流量高峰期，把BT流量限制更低。

Eudemon防火墙可以配置

10个时间段，以及一个缺省的BT带宽(上面3和4项测试实际就是配置缺省的BT带宽)。这10个时间段，从1到10优先匹配时间段的速率，如果没有时间段速率或者当前不处于任何配置的时间段，使用缺省速率。具体当前使用的是哪个时间段的，可以用命令display

p2p-car 查看。

命令：firewall p2p-car cir cir-value<100-1000000

kbps> [ cir-id time-rang]

具体命令解释参见后面。

5)测试选择用户功能，对特定用户允许BT下载不受限制，哪些用户受限制。

这个功能是用ACL组来设定的，每个组下面可以设定多个ACL。

ACL组要应用在域间，这个测试里是应用在TRUST和UNTRUST之间，通过acl来控制对该域间的某些用户做BT限流，某些用户不做限流。注意acl的优先级高于全局的缺省配置。即这里的ACL指定的用户不受限制时，即使配置了BT限流，对这些用户的BT流也不限制。

举例：对于trust-untrust域间ip为2.2.2.2用户除外的所有用户做BT限流，10:00~10:05的带宽为

400kbps，其他时间为 200kbps 。(这里为验证方便，时间设置的比较短)

acl number

2001 定义ACL组

rule deny source 2.2.2.2 0

firewall p2p-car

default-permit 打开BT限流功能

firewall p2p-car

200 设定缺省BT带宽

firewall p2p-car 400 1

aaa 设定基于时间端的带宽

time-range aaa 10:00 to 10:05

daily

firewall interzone trust untrust

p2p-cr

2001 域间应用ACL组

2． 现网测试

组网考虑：

现在城域网和校园网出口应用BT限流比较多。特别是有的城域网出口运营商涉及网间流量结算，减少BT过高的带宽消耗，是有必要的；而学校学生更是BT应用最活跃的一层，流量消耗很大，导致很多学校网络很慢。

校园网出口，应用NAT比较普遍，而Eudemon防火墙同时又是一款非常优秀的NAT设备，NAT

ALG支持非常丰富，和BT限流结合起来，非常适合这类应用。

城域网上，应用透明模式比较多，此时防火墙类似一个二层交换机(差别在于防火墙对于报文，实际会进行三层以上处理)，只需要把防火墙插在现有网络中间就可以。这是出于多种原因考虑：

1. 现网改造的问题：如果在路由模式下，还需要对现网进行改造，而透明模式不需要。

2.

如果城域网有动态路由协议,甚至MPLS等应用，对防火墙这些特性的支撑要求也很高(Eudemon防火墙支持动态路由协议，但MPLS目前还无法支持)。

3.

如果采用透明模式，互通性好。因为对MPLS,动态路由协议报文或其它未知的特殊报文，防火墙上即使不识别这些报文类型，可以采用穿透方式，即这些不能识别的报文只工作在二层(MPLS三层报文，2005年底，Eudemon防火墙上会支持识别，也可以进行三层安全处理)。对普通的的IP报文，则可以进行安全和BT限流等处理。

4.

透明模式下，故障恢复快。这种组网对现网改造小，对现网可能带来的影响也小。如果万一发现有其它问题，恢复也很快，只需要把相关网线或光纤拔回就可以了。Eudemon防火墙在透明模式下，接口也可以单独配置IP，满足远程网管和维护需要。

另外，城域网出口如果可靠性要求很高，可以配置双机热备，确保故障时可以倒换。在透明模式和路由等模式下，都可以实现双机热备倒换。Eudemon防火墙硬件是电信级设计的，接口卡、风扇可热拔插，支持双电源，内部有温度监控，调整风速，非常适合城域网等对设备可靠性的需求。

当然，有的城域网上出口有NAT需求，这时Eudemon防火墙也非常合适，对MSN /QQ的语音视频，H.323、RTSP等NAT

ALG丰富的支持，可以充分满足城域网应用需要。

Eduemon

1000防火墙目前可以支持最多6个GE接口，吞吐量3Gbps (采用 IBM的RAINIER高端网络处理器)。2005年底有10G

接口的T比特防火墙开发出来，满足更高性能的应用。

测试方法：

现网测试方法和上面类似。注意只有经过防火墙的BT流，才会被BT限流，因此，防火墙放置的位置要合理；为了验证效果，可以采用和上面类似的方法。 当放防火墙在城域网出口，要选用城域网外的种子进行测试。

两个方法可以观察设置BT限流前后的效果，一是观察本地客户端BT下载速率的变化，此外就是观察防火墙接口上的报文速率和带宽统计变化。

此外Eudemon防火墙，还支持基于单个IP的带宽控制，即IP

CAR功能。这个功能与BT控制结合在一起，可以有效控制单个用户占用过多带宽。

4. P2P配置命令

1、 [undo] firewall p2p-car default-permit

该命令在系统视图下执行，[去]使能缺省限流，执行firewall p2p-car

default-permit后缺省(没有命中配置3所配置的acl时)对所有用户做p2p流量限流；执行undo firewall

p2p-car default-permit后缺省对所有用户都不做p2p流量限流

2、 firewall p2p-car cir cir-value<100-1000000

kbps> [ cir-id time-rang]

该命令在系统视图下执行，用于配置速率，可以配置一个缺省速率，和10个带时间段的速率，从1到10优先匹配时间段的速率，如果没有时间段速率或者当前不处于任何配置的时间段，使用缺省速率。

3、 p2p-car acl-number

该命令在域间配置，通过acl来控制对该域间的某些用户做p2p car，某些用户不做p2p

car，acl的优先级高于全局的缺省配置

举例：对于trust-untrust域间ip为2.2.2.2用户除外的所有用户做p2p

car，7:00~8:00的带宽为500M，其他时间为100M

acl number 2001

rule deny source 2.2.2.2 0

firewall p2p-car default-permit

firewall p2p-car 100000

firewall p2p-car 500000 1 aaa

time-range aaa 7:00 to 8:00

daily

firewall interzone trust untrust

p2p-car 2001

4、 display p2p-car

该命令在所有视图都可以执行，用于查看p2p-car的带宽情况，*号表示当前p2p car使用的带宽

id car-cir

value time-range

*

0 100000

1 500000 aaa 5. IP 带宽和连接数限制(附加)

Eudemon防火墙还支持对每个IP发起的连接数数量进行限制；对每个IP允许的带宽进行设置。防火墙可以根据连接发起方向(主动发起或被连接)和特定的连接种类的连接数目进行限制；也可以根据IP报文流的方向(入和出)以及特定的流的种类进行带宽限制。因此可以很灵活的设置，满足各种应用的安全需求。

因为IP数量众多，对每个IP单独设置一个带宽或者连接数无必要。目前是采用最多分配七个等级，即连接数和IP

带宽都分别可以设置七个不同的数量(等级)的限制。

A)连接数限制功能配置基本步骤：

1) 定义基本ACL，后面的连接数统计限制命令会关联该ACL,命中该ACL则会对这些IP发起的连接数进行限制。

命令： 略

2) 定义高级ACL，命中上面定义的基本ACL的IP报文，还要再关联一条高级ACL,

命中该高级ACL的连接报文，才会进行连接数限制，这主要是为拓宽应用范围，有些应用，需要对由该IP发起的特定连接，或者向该IP发起的特定连接数量进行限制(例如对邮件服务器，有时候要限制外面一个IP对其发起的连接数，否则邮件服务器可能速度很慢，这个有应用实例)。

命令： 略

3) 配置允许的IP连接数(可以设置7个等级)

命令：firewall conn-class conn-class conn-num

4) 使得域IP统计。

只有使能域统计功能，连接数限制功能才可能有效。如果对出域方向的连接数进行限制，则对OUTZONE流进行统计，反之，则配置INZONE

命令：

域模式下： statistic enable ip {outzone | inzone}

5) 使能IP 连接数统计限制功能 ，该命令关联了步骤 1中的ACL和步骤3中的连接数等级

(对入和出方向连接数可以单独进行设置)

命令：

域模式下： statistics connect-number ip { tcp | udp } { inbound |

outbound } conn-class acl acl-number

6) 指定特定的连接才作连接数限制，即关联 步骤2里面设定的高级ACL(指定方向) 。

域模式下： statistic ip-stat {

inbound | outbound } acl acl-number

B) IP 带宽限制功能配置基本步骤：

1) 定义基本ACL，后面的IP 带宽限制命令会关联该ACL, 命中该ACL的IP的流量才可能进行带宽限制

命令：略

2) 定义高级ACL，命中上面定义的基本ACL的IP报文，还要再关联一条高级ACL,

命中该高级ACL的IP报文，才会进行带宽限制，这主要是为拓宽应用范围，有些应用，需要对该IP发出的特定报文作带宽限制。

命令： 略

3) 配置允许的IP带宽等级(可以设置7个等级)

命令：firewall car-class car-class

band-width (注意这里单位是bps)

4) 使得域IP统计。

只有使能域统计功能，带宽限制功能才可能有效。如果对出域的方向带宽进行限制，则对OUTZONE流进行统计，反之，则配置INZONE

命令：

域模式下： statistic enable ip {outzone | inzone}

5) 指定对哪些IP的流量进行统计，即关联 步骤1里面设定的基本ACL

和步骤3中流量等级，可以对IP的域的入方向或者出方向单独限定带宽。

命令：

命令：

域模式下：statistics car ip { inbound | outbound } car-class acl

acl-number

6) 指定对IP发出的那种流量才作带宽限制，即关联 步骤2里面设定的高级ACL 。

域模式下： statistic ip-stat

statistic ip-stat { inbound | outbound } acl acl-number

配置命令描述

操作 命令

(域模式下)配置IP连接数限制 statistics connect-number ip { tcp | udp } {

inbound | outbound } conn-class acl acl-number

(域模式下)IP动态带宽限制

statistics car ip { inbound | outbound } car-class acl

acl-number

(域模式下)IP统计过滤 statistic ip-stat { inbound | outbound } acl

acl-number

全局IP带宽等级配置 firewall car-class car-class band-width

全局IP连接数等级配置 firewall conn-class conn-class conn-num

配置举例：

1)IP连接数限制

IP连接数/CAR限制的方向均基于安全区域设置，无论outbound/inbound，均是对该域内的IP的连接数进行限制。对照下图(图中的outbound/inbound指的是域间的方向，但这里我们说的是安全区域本身的入/出方向)，如果是在untrust区域上，使用命令

[Eudemon-zone-untrust]statistic connect-number ip tcp outbound 2

acl 2000

意思是限制从该区域出来的特定源IP的会话数量。

下边的命令

[Eudemon-zone-untrust]statistic connect-number ip tcp inbound 2 acl

2000

意思是限制去untrust区域的特定目的IP的会话数量。

具体到会话数量的多少，可以全局定义7个等级，每个等级可以对应不同的会话数量。使用命令firewall conn-class

conn-class conn-num置。

上面这个配置还需要使能统计等功能才能有效，可参见上面的配置步骤。

2)IP CAR限制

IP CAR

带宽限制，与IP连接数限制类似，只是限制的是该IP发起的或去该IP的所有TCP/UDP会话的总带宽(ICMP报文不作CAR)。

下边的命令

[Eudemon-zone-untrust]statistic car ip outbound 2 acl 2000

指定从untrust域来的特定IP发起的会话的总带宽等级为2，注意这里的总带宽，是指该IP发起的会话的双向流量之和。比如，如果untrust域穿过防火墙访问WWW服务器，则该会话中去服务器的流量加上WWW服务器回来的流量之和，不会超过设定的带宽等级。

如果服务器是FTP，则情况复杂一些，因为服务器的Port方式下载，其FTP数据通道是由服务器发起，此时还应增加如下配置

[Eudemon-zone-untrust]statistic car ip inbound 2 acl 2000

才能够限制住该用户的FTP下载流量。

注：IP CAR 中限制的流量，只包含IP包载荷，不包含二层头。

接口、网络和安全区域的关系示意图

ip car配置举例：

client host地址： 100.1.1.100 在防火墙的trust域

server host地址：110.1.1.110 在防火墙的untrust域

现在有一个由client发起去server的tcp连接，如我们要对这个流进行带宽限制，配置如下

[Eudemon-zone-trust]statistic enable ip outzone

打开trust域outzone方向(出方向)的ip统计使能

[Eudemon] firewall car-class 1 100000

ip带宽等级配置，我们用的是等级1，带宽限为100000bps

[Eudemon] acl number 2000

[Eudemon-acl-basic-2000] rule permit source 100.1.1.100 0

sip地址为client，基本acl的作用是用来绑定ip带宽配置

[Eudemon] acl number 3000

[Eudemon-acl-adv-3000]rule permit tcp source 100.1.1.100 0

destination 110.1.1.1 0

高级acl的作用是来指定那些流需要做car。基本acl和高级acl缺一不可。

[Eudemon-zone-trust]st car ip outbound 1 acl 2000

用基本acl来绑定ip带宽配置

[Eudemon-zone-trust]st ip-stat outbound acl-number 3000

用高级acl来指定要做car的流

通过上面的配置可以实现，client发起的到server的tcp连接的带宽限制，双向流量和为100000bps。注意是由client发起的去server的连接，如果是server发起去client的连接不受上面配置的限制。