说明：

两次使用带no-reverse参数的nat server命令，为该内部服务器配置两个外部IP地址。

[USG5300] nat address-group 0 2.2.2.2 2.2.2.2 [USG5300] nat address-group 1 3.3.3.3 3.3.3.3

注意：

需要为不同的公网IP地址配置各自所属的不同的地址池。

[USG5300] nat-policy interzone dmz untrust outbound

[USG5300-nat-policy-interzone-dmz-untrust-outbound] policy 0

[USG5300-nat-policy-interzone-dmz-untrust-outbound-0] policy source 1.1.1.1 0

[USG5300-nat-policy-interzone-dmz-untrust-outbound-0] policy destination 2.0.0.0 mask 8

[USG5300-nat-policy-interzone-dmz-untrust-outbound-0] action source-nat

[USG5300-nat-policy-interzone-dmz-untrust-outbound-0] address-group 0 [USG5300-nat-policy-interzone-dmz-untrust-outbound-0] quit [USG5300-nat-policy-interzone-dmz-untrust-outbound] policy 1

[USG5300-nat-policy-interzone-dmz-untrust-outbound-1] policy source 1.1.1.1 0

[USG5300-nat-policy-interzone-dmz-untrust-outbound-1] policy destination 3.0.0.0 mask 8

[USG5300-nat-policy-interzone-dmz-untrust-outbound-1] action source-nat

[USG5300-nat-policy-interzone-dmz-untrust-outbound-1] address-group 1 允许内部服务器访问外部不同网段的用户群或不同的安全区域时，需要配置不同的目的地址，使该内部服务器通过不同的公网IP地址访问。

内部服务器访问2.0.0.0/24网段时，内部服务器私网的IP地址转换为地址池0中的公网IP地址2.2.2.2。内部服务器访问3.0.0.0/24网段时，内部服务器私网的地址转换成地址池1中的公网IP地址3.3.3.3。由此可以配置内部服务器与用户群之间能相互访问。

说明：

注意根据企业向运营商租用的总带宽、上网人数规划数据。

例如企业总带宽为150M，规划办公区上网的总带宽不能超过100M。上网人数为20人，此时每个人可获得的平均带宽为5M，规划每个人的最大带宽可以高于平均带宽，保证带宽则要低于平均带宽，否则无法保证最低带宽。

限制上传、下载两个方向的流量需要配置两条限流策略，上传是Trust到Untrust区域的策略，下载是Untrust到Trust区域的策略。

配置每IP限流策略时，除了可以指定每个IP的最大带宽还可以指定最低保证带宽。为使保证带宽达到效果，需要将每IP限流策略和整体限流结合使用，当某个IP获取到保证带宽后发现网络总带宽还有剩余，还可以获得剩余的带宽。 1、命令行配置方式：

配置整体限流策略，限制上网的总体最大上传/下载带宽均为100Mbps 整体上传限流：

traffic-policy enable //启用限流功能 #

car-class upload_class type shared //配置整体限流Class，名称为upload_class

connection-number 2000 //限制连接数上限为2000，一般上传不限制连接数。 car 10000 //限制最大带宽为100Mbps，单位为kbps，1Mbps＝1000kbps #

//创建上传的限流策略，上传的方向是从Trust到Untrust traffic-policy interzone trust untrust outbound shared policy 0

action car //动作为限流

policy source 192.168.20.0 mask 24 //上传要指定源地址，目的地址是所有。 policy car-class upload_class //引用创建的限流class。

#

整体下载限流：

traffic-policy enable //启用限流功能 #

car-class download_class type shared car 10000 #

//创建下载的限流策略，上传的方向是从Untrust到Trust traffic-policy interzone trust untrust inbound shared policy 0

action car //动作为限流

policy destination 192.168.5.0 mask 24 //下载要指定目的地址，源地址是所有。 policy car-class download_class //引用创建的限流class。

#

配置每IP限流策略，限制每个员工的上传流量。 每个员工的最大上传/下载带宽：8Mbps/10Mbps 每个员工的上传/下载保证带宽：4Mbps #

car-class per_upload_class type per-ip

car max 8000 guaranteed 4000 //上传最大带宽8M，保证带宽4M。 car-class per_download_class type per-ip

car max 10000 guaranteed 4000 //下载最大带宽10M，保证带宽4M。

connection-number 10 //也可以设置最大连接数，一般不设置，把这条命令去掉即可。 #

traffic-policy interzone trust untrust outbound per-ip policy 0 action car

policy source 192.168.100.0 mask 24 // 因为需要限制上网员工的上传流量，所以限流对象选择“源地址”。

policy car-type source-ip policy car-class per_upload_class

traffic-policy interzone trust untrust inbound per-ip policy 0 action car

policy destination 192.168.100.0 mask 24 //为需要限制上网员工的下载流量，所以限流对象选择“目的地址”。 policy car-type destination-ip policy car-class per_download_class

car-class ip线速 type per-ip connection-number 10 car max 20 guaranteed 10 #

配置限制外网用户访问内网服务器连接数的整体限流策略。 car-class connection_class type shared

connection-number 20 //限制外网用户访问内网FTP服务器的最大连接数不能超过20个 traffic-policy interzone dmz untrust inbound shared policy 0 action car

policy destination 10.1.1.0 mask 24 //ftp服务器的ip地址 policy car-class connection_class