【ACE适用于硬件版本是1.0/2.0/3.0】ACE策略中心注意事项

发布时间：2013-10-09

点击量：2048

1)如果没有启用7层识别协议，设置策略时是看不到相应应用的。

2)了解客户网络中的应用非常重要，决定了策略是保证什么，限制什么和禁止什么；还将决定ACE设备是放在防火墙外还是防火墙内。

3)在接入后，不要马上进行策略制定，设备刚接入，流量重新建立，应在观察1个小时左右采取相应的策略制定。

4)详细列出客户的需求，需求到位了，测试才会更顺利，没有弄清楚前，不要轻易设置策略。

5)策略制定分为三个步骤：对象配置、通道配置、应用控制策略配置；其中1可以省略，2和3是必须有的。

6)SFQ是随机公平分配队列，对于管道中的流量，每个IP获得的带宽是一样的，IP多则每个分得的就少点；PerIP是对每个IP的流量进行管控，对每个IP动态保证和最大速率限制，与IP的多少无关，INT是基于源发起的流量进行管控（如学生区），EXT是基于目的发起的流量进行管控（如服务器区）；PerNet是对每个子网的流量进行管控，对每个子网网段流量的动态保证和最大速率限制，子网内流量自动分配带宽，同样INT是基于源发起的流量进行管控（如学生区），EXT是基于目的发起的流量进行管控（如服务器区）。

7)排列在前面的应用防火墙规则，优先进行比对，因此用户可以根据自己网络的具体情况适当调整规则的排列顺序，例如将流量大的一些应用程序对应的规则排列在前面；或者将保障策略在最前面、封堵策略在中间、限制策略在最后。流量是逐条匹配的，匹配不到则会执行FIFO，不会丢弃。

8)禁止流量，对于匹配到该策略的数据流，会被中止（分配不到令牌，RG-ACE是基于令牌桶原理的），此策略放在第一条，或者保证带宽的下面。

9)ACE不能做到匹配限制流量的策略后，继续能执行后续的策略。ACE的策略匹配和大部分设备的规则是一样的，顺序匹配且单次匹配。

10)ACE 系统在进行流控时的匹配原则是：从上到下依次执行，当满足条件后即停止往下执行，所以排列在前面的流控策略，会优先进行比对。因此用户在配置策略时一定要注意策略的顺序，以免造成误配置或配置不生效的情况出现。

11)配置流控通道的时候，隶属于同一个父通道的子通道的保证带宽之和要小于父通道的保证带宽之和；隶属于同一个父通道的子通道的最大带宽之和要小于父通道的最大带宽之和。

12)没有经过任何策略设置和管控的流量都走默认通道，因此默认通道不宜设置过小，以免出现影响用户网络使用的情况。

13)封禁策略的时候，在流量大的情况下，最好不要开启阻断日志，否则会影响系统整体性能。

14)管理员可以通过时间对象的设置——使用户能够控制策略的激活和停用的具体时间。

ACE 系统时间对象的设置是不可以跨天的，且若终止时间到晚上 24点，需要写 23:59。例如：需要设置一个时间段为周一晚上 8 点到周二上午 10 点，则需要制作两个时间进度对象，时间进度对象 1为周一晚上 8点到 23:59，时间对象 2为周二 0点到 10点然后将这两个时间对象建组。这才是正确的设置方法。

在使用时间策略时，一定要保证设备端时间、管理端时间和北京时间要保持一致，否则策略可能会不生效。

15)在对象管理中，新建的对象不能使用中文名字，只能以字母开头、后面可跟数字，不能有特殊字符。

16)在通道管理中，在配置带宽通道时，不能使用小数点，例如：如果要配置 1.5Mbp的通道，则需要写成 1500kbps。

17)在启用 httplog 功能时，需要注意磁盘空间大小及相关 httplog 配置选项，包括日志保存间隔时间和 HTTP日志文件大小等。