AC单网桥部署，直连AF（网关），AF有4个外网口，每个外网口 10

AC单网桥部署，直连AF（网关），AF有4个外网口，每个外网口带宽不一致，最大2G，最小50Mb，做策略路由轮询，AC做指定网段限速，虚拟线路应该怎么配置，配置AF外网口总和还是最大接口。

核心结论
虚拟线路的带宽应该配置为所有外网出口的带宽总和（即2G + ... + 50Mb + ... 的总值）。

配置总和的前提下 还要着重考虑 AF与AC设备  AC设备与核心交换机直接的接口速率要大于这个总和  避免接口瓶颈

而不是配置为最大单个接口的带宽（2G）。

下面我将详细解释为什么，并给出完整的配置逻辑和步骤。

原因分析：为什么是总和？
虚拟线路的作用：AC上的“虚拟线路”是一个逻辑概念，它代表了所有流向广域网（WAN）的总数据流。AC需要知道这个总数据流的“管道”有多大，才能正确地执行基于这个总管道的限速策略。

策略路由 vs 虚拟线路：

AF的策略路由（轮询）：它的工作是在多个物理接口之间分配会话/连接。比如，用户A的第一个新连接可能从2G口出去，用户B的第一个新连接可能从50Mb口出去。它是在出口处进行流量分配。

AC的虚拟线路和流控：AC的流控策略是在入口处（数据包刚到达AC时）生效的。AC需要判断“所有要去外网的流量”总共有多大，并确保这个总量没有超过您设定的规则（如指定网段总速度不超过100Mb）。AC并不关心AF后面具体有几个出口、每个出口多大，它只关心“所有外网流量”这个聚合后的概念。

一个简单的比喻：

把AF的多个外网口想象成多条不同宽度的车道（2G是超宽车道，50Mb是窄车道）。

把AC的虚拟线路想象成进入这个高速公路系统的“主收费站”。

您的需求是：限制某个车队的总车流量（所有要去外网的数据包），不能超过一个值（比如100辆车/分钟）。

“主收费站”（AC虚拟线路） 需要知道所有车道加起来能承受的总车流量（所有车道通行能力之和），这样才能合理地调度和限制即将进入高速的车辆总数。

如果“主收费站”只按最宽的那条车道（2G）来算，那么当流量达到2G时，它就不会再限速，但实际上其他窄车道（50Mb）早已塞满，会导致整体网络拥塞和延迟。

因此，将虚拟线路带宽设置为出口总和，AC才能从全局视角正确地进行流量整形和限速，避免在AF出口处发生拥塞。

配置步骤建议
根据您的拓扑 内网用户 -> AC（网桥模式，做流控） -> AF（网关，做策略路由） -> 多个互联网出口，建议按以下顺序配置：

第一步：配置AF（防火墙）
接口配置：确保AF的4个外网口均已正确配置IP地址、网关、DNS等。

策略路由配置：

创建策略路由规则，源区域选择Trust（信任区域，即内网），目的区域选择Untrust（非信任区域，即外网）。

在“链路负载”选项中，选择轮询（Round Robin） 模式。

将4个外网接口全部加入到负载均衡链路中。

关键点：为每一条链路准确配置其实际带宽（如WAN1: 2000Mbps, WAN2: 500Mbps, WAN3: 100Mbps, WAN4: 50Mbps）。这有助于AF更智能地进行流量分配（虽然轮询模式本身不基于带宽权重，但其他模式或监控需要此信息）。

第二步：配置AC（上网行为管理）
虚拟线路配置：

进入流控设置，创建或编辑您的虚拟线路（通常命名为“互联网出口”等）。

上行带宽和下行带宽均设置为 4个外网口带宽的总和（例如 2000 + 500 + 100 + 50 = 2650 Mbps）。

注意单位：AF界面显示可能是Gbps或Mbps，AC界面也可能是Mbps，请统一单位后计算总和再填写。

流控策略配置（针对指定网段限速）：

创建一条新的流控策略。

源地址：选择您要限制的IP网段。

应用：选择“全部”。

通道选择：选择您刚才创建的“互联网出口”虚拟线路。

保证带宽和最大带宽：根据您的管理需求设置。例如，如果您想限制该网段的总上行速度不超过100Mbps，总下行速度不超过200Mbps，就在这里填写。

动作选择：允取（即允许并执行带宽管理）。

第三步：验证与测试
配置完成后，找一台测试机（属于被限速网段），进行速度测试。

同时使用多台测试机进行下载或上传，观察总速度是否被限制在您设定的阈值附近。

可以在AC的流量监控中，查看“虚拟线路”的利用率，它应该不会超过您设置的总和（2650Mbps），并且您设置的限速策略应该会生效。