环境描述:客户出口是防火墙,双外网线路,一根联通,一根电信,防火墙做了策略路由:内网用户上网走电信,访问vpn 路由器的数据走联通。现有一台某公司上网行为管理透明部署在防火墙和核心交换机之间,设备配置了相关应用控制和审计策略,流控策略等。流控策略中设置了2条虚拟线路:
线路2:原地址专线路由器地址,目的all,应用all(6M)
线路1:原地址all,目的地址all,应用all(电信20M)
流控策略的配置如下:
如上图所示的流控策略问题:vpn组中的用户去下载的时候,发现单ip限速超过1.5MB/s,达到了3MB/s,流控控不住?
排查思路
1.先查看了客户当前配置,包含线路数,线路带宽,线路规则,流控策略等有没有重复或者覆盖的现象,详细步骤如下:
1)生效线路是否选对了
2)查看限制带宽的值是多少
3)查看匹配的应用是怎么样的
4)目标ip地址组是否为全部
5)是否有全局排除或者是开直通
6)生效的时间是否在有效期内
解决方法
如图所示因为设备是单网桥,而且根据当前的线路规则来看,线路1的规则包含了线路2的规则,当vpn用户组的用户来上网的时候 ,首先会匹配vpn流控策略,但是发现匹配后还是不行,流量控制控制不住。除了看策略还要看一下时间组,我这边排错的时候就发现,因为是周六没注意,发现数据跑到默认规则里面,找了半天才找到原因。
由于客户设备是网桥部署,在这种环境下建议只建立一条线路,把2条线路和带宽合并到1条上去,防止出现和上述一样的同时匹配2条策略的情况。