- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-帶寬管理配置
本章節下載: 01-帶寬管理配置 (310.95 KB)
目 錄
帶寬管理對通過設備的流量實現基於源/目的安全域、源/目的IP地址、服務、用戶/用戶組、應用、DSCP優先級和時間段等,實現精細化的管理和控製。
帶寬管理的應用場景如下:
· 企業內網用戶所需的帶寬遠大於從運營商租用的出口帶寬,這時網絡出口就會存在帶寬瓶頸的問題。
· 網絡出口中P2P業務類型的數據流量消耗了絕大部分的帶寬資源,致使企業的關鍵業務得不到帶寬保證。
為了解決以上問題,可以在網絡出口設備上部署帶寬管理,針對不同的內網業務流量應用不同的帶寬策略規則,實現合理分配出口帶寬和保證關鍵業務正常運行的目的。
帶寬策略可以對符合匹配條件的流量應用帶寬通道,在帶寬通道中可以配置帶寬保證和帶寬限製功能,進而提高帶寬利用率以及在線路擁堵時保證關鍵業務的正常運行。
圖1-1 帶寬管理實現流程圖
帶寬管理實現流程如下:
(1) 將報文的屬性信息與帶寬策略規則中的過濾條件進行匹配。每種過濾條件的多個匹配項之間是或的關係,即報文與某一個過濾條件中的任意一項匹配成功,則報文與此條過濾條件匹配成功;若報文與某一個過濾條件中的所有項都匹配失敗,則報文與此條過濾條件匹配失敗。
(2) 若報文與某條帶寬策略規則中的所有過濾條件都匹配成功(用戶與用戶組、應用與應用組各匹配一項即可),則報文與此條帶寬策略規則匹配成功。若有一個過濾條件不匹配,則報文與此條帶寬策略規則匹配失敗,報文繼續匹配下一條帶寬策略規則。以此類推,直到最後一條帶寬策略規則,若報文還未與規則匹配成功,則不對報文進行帶寬管理。
(3) 報文與某條帶寬策略規則匹配成功後便結束此匹配過程,如果此規則的動作中引用了帶寬通道,則流量繼續進入相應的帶寬通道進行後續的處理,否則設備不對該流量進行帶寬管理。
(4) 流量進入帶寬通道後,設備會根據此帶寬通道中配置的帶寬限製策略對流量進行相應的處理。
(5) 如果出接口出方向上應用了QoS業務,則對流量先進行帶寬策略處理,再進行QoS業務處理。
(6) 流量從出接口發送時受該接口帶寬的限製。
帶寬策略中可以配置多個帶寬策略規則,這些規則用於定義匹配流量的過濾條件以及流量控製的動作。帶寬策略規則支持四級嵌套關係,即一個規則中可以指定一個父規則,最多支持嵌套四級。
每條帶寬策略規則中可以配置多種過濾條件,具體包括:源/目的安全域、源/目的IP地址、服務、用戶/用戶組、應用和DSCP優先級。每種過濾條件中均可以配置多個匹配項,比如源安全域過濾條件中可以指定多個源安全域等。
在帶寬策略規則動作中引用帶寬通道後,設備將根據此帶寬通道對此流量進行限流。
流量與存在父規則的帶寬策略規則進行匹配時,遵守如下原則:
· 首先匹配父規則,如果父規則匹配上了再匹配子規則。如果父規則沒有匹配上,也不會進行後續的子規則匹配,該匹配過程失敗。
· 如果子規則匹配上了,先執行子規則中指定的動作,再執行父規則中指定的動作,如果父子規則對同一個帶寬資源限製參數或流量優先級參數進行限製,則執行最嚴格的動作。如果子規則沒有匹配上但父規則匹配上了,則執行父規則中指定的動作。
帶寬通道定義了具體的帶寬資源,是進行帶寬管理的基礎。通過帶寬通道,可以將物理的帶寬資源從邏輯上劃分為多個虛擬的帶寬通道,每個帶寬通道中都可自定義相應的帶寬資源限製參數和流量優先級參數。目前,帶寬通道中支持的帶寬資源限製參數和流量優先級參數包括以下如下幾種:
帶寬通道中對流量的限製方式,包括如下兩種:
· 分別設置上下行帶寬:對帶寬通道中的上下行流量分別限製。
· 設置總帶寬:對帶寬通道中的上下行流量整體限製。
每規則的保證帶寬:保證業務的最小帶寬,在線路擁堵時,可以保證公司關鍵業務所需的帶寬,確保此類業務不受影響。
每規則的最大帶寬:限製業務的最大帶寬,比如限製網絡中非關鍵業務占用的帶寬資源,避免該類業務消耗大量的帶寬,影響其他關鍵業務的正常運行。
每IP或每用戶的保證帶寬:設備除了支持配置每規則的保證帶寬之外,還支持基於IP地址和用戶的保證帶寬,實現更加精細化的帶寬管理。
每IP或每用戶的最大帶寬:設備除了支持配置每規則的最大帶寬之外,還支持基於IP地址和用戶的最大帶寬,實現更加精細化的帶寬管理。
每規則、每IP或每用戶的最大連接數和最大新建連接速率限製:通常在出現以下兩類網絡問題的組網環境中需要在設備上配置最大連接數和最大新建連接速率限製:某內網用戶在短時間內經過設備向外部網絡發起大量連接,導致設備係統資源迅速消耗,其它內網用戶無法正常使用網絡資源;某內部服務器在短時間內接收到大量的連接請求,導致該服務器忙於處理這些連接請求,以至於不能再接受其它客戶端的正常連接請求。
流量優先級:當多個帶寬通道中的流量同時從某個接口發送時,如果此接口發生阻塞,則優先級高的流量優先被發送。優先級相同的流量將會自由競爭出接口的帶寬資源。
重標記報文的DSCP優先級:修改報文中DSCP(Differentiated Services Code Point)字段的值,DSCP優先級是網絡設備進行流量分類的依據。位於報文傳輸路徑上的各個網絡設備,能夠通過DSCP優先級來區分流量,因此可以便於上下行設備依據修改後的DSCP優先級對流量采取差異化處理。
· 配置帶寬管理策略時,請按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行配置。
· 接口期望帶寬的缺省值較小時,在流量較大的情況下,很容易出現丟包現象,這時可以將此接口的期望帶寬值調大。比如Tunnel口的默認帶寬是64kbps,流量比較大的情況下,易出現丟包現象,這時可將Tunnel接口的期望帶寬值調大。
在配置帶寬管理策略之前,需完成以下任務:
· 配置時間段(請參見“ACL和QoS配置指導”中的“時間段”)。
· 配置IP地址對象組和服務對象組(請參見“安全配置指導”中的“對象組”)。
· 配置應用(請參見“安全配置指導”中的“APR”)。
· 配置用戶和用戶組(請參見“安全配置指導”中的“用戶身份識別與管理”)。
· 配置安全域(請參見“安全配置指導”中的“安全域”)。
帶寬管理配置任務如下:
(1) 配置帶寬通道
¡ 創建帶寬通道
¡ 配置帶寬通道參數
¡ (可選)重命名帶寬通道
(2) 配置帶寬策略規則
¡ 創建帶寬策略規則
¡ (可選)配置帶寬策略規則生效時間
(3) (可選)管理和維護帶寬策略規則
¡ 複製帶寬策略規則
¡ 移動帶寬策略規則
¡ 禁用帶寬策略規則
¡ (可選)開啟帶寬管理統計功能
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 創建帶寬通道,並進入帶寬通道視圖。
profile name profile-name
帶寬通道定義了實施帶寬管理的對象所能夠使用的帶寬資源,帶寬通道將被帶寬策略規則引用後生效。
每IP最大帶寬、每用戶最大帶寬和最大帶寬動態均分功能三種控製方式不能同時存在,會相互替換,最後一次配置的控製方式生效。
每IP保證帶寬與每用戶保證帶寬兩種控製方式不能同時存在,會相互替換,最後一次配置的控製方式生效。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬通道視圖。
profile name profile-name
(4) 配置帶寬參數。
¡ 配置每規則的保證帶寬和最大帶寬。
bandwidth { downstream | total | upstream } { guaranteed | maximum } bandwidth-value
缺省情況下,未配置帶寬通道的保證帶寬和最大帶寬。
請保證最大帶寬不小於保證帶寬。
如需開啟最大帶寬的動態均分功能,則必須配置每規則的最大帶寬。
¡ 配置每IP或每用戶的保證帶寬和最大帶寬。
bandwidth { downstream | total | upstream | } { guaranteed | maximum } { per-ip | per-user } bandwidth-value
缺省情況下,未配置每IP或每用戶的保證帶寬和最大帶寬。
¡ 開啟最大帶寬動態均分功能。
bandwidth average enable
缺省情況下,最大帶寬動態均分功能處於關閉狀態。
(5) 配置連接數限製參數。
¡ 配置最大連接數。
connection-limit count { per-rule | per-ip | per-user } connection-number
缺省情況下,未配置最大連接數。
¡ 配置最大新建連接速率。
connection-limit rate { per-rule | per-ip | per-user } connection-rate
缺省情況下,未配置最大新建連接速率。
(6) 配置優先級參數。
¡ 配置流量優先級。
traffic-priority priority-value
缺省情況下,流量優先級為1。
¡ 重標記報文的DSCP優先級。
remark dscp dscp-value
缺省情況下,不修改報文的DSCP優先級。
多個帶寬策略規則引用同一個帶寬通道的方式,包括如下兩種:
· 策略獨占:表示與帶寬策略規則匹配成功的流量,獨享帶寬通道中的帶寬限製和連接數限製。
· 策略共享:表示與多條帶寬策略規則匹配成功的多條流量,共享帶寬通道中的帶寬限製和連接數限製。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 並進入帶寬通道視圖。
profile name profile-name
(4) 配置帶寬通道的引用方式。
profile reference-mode { per-rule | rule-shared }
缺省情況下,帶寬通道的引用方式為策略獨占。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 重命名帶寬通道。
profile rename old-name new-name
一個帶寬策略中可以創建多個帶寬策略規則,這些規則可以獨立定義,也可以繼承其它規則。繼承其他帶寬策略規則是通過在創建帶寬策略規則時為其指定父帶寬策略規則實現的。在父帶寬策略規則和子帶寬策略規則中均可以引用帶寬通道。
第四級帶寬策略規則不能再作為父帶寬策略規則。
隻能在創建帶寬策略規則時指定帶寬策略規則的父帶寬策略規則,不能為已存在的帶寬策略規則添加或修改父帶寬策略規則。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 創建帶寬策略規則,並進入該帶寬策略規則視圖。未配置作為帶寬策略規則過濾條件的安全域
rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬策略規則視圖。請選擇其中一項進行配置。
¡ rule rule-id
¡ rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(4) 配置作為帶寬策略規則過濾條件的安全域。
¡ 配置作為帶寬策略規則過濾條件的目的安全域。
destination-zone destination-zone-name
¡ 配置作為帶寬策略規則過濾條件的源安全域。
source-zone source-zone-name
缺省情況下,未配置作為帶寬策略規則過濾條件的安全域。
(5) 配置作為帶寬策略規則過濾條件的地址對象組。
¡ 配置作為帶寬策略規則過濾條件目的IP地址。
destination-address address-set object-group-name
¡ 配置作為帶寬策略規則過濾條件的源IP地址。
source-address address-set object-group-name
缺省情況下,未配置作為帶寬策略規則過濾條件的地址對象組。
(6) 配置作為帶寬策略規則過濾條件的服務。
service object-group-name
缺省情況下,未配置作為帶寬策略規則過濾條件的服務。
(7) 配置作為帶寬策略規則過濾條件的應用。
application { app application-name | app-group application-group-name }
缺省情況下,未配置作為帶寬策略規則過濾條件的應用。
(8) 配置作為帶寬策略規則過濾條件的用戶和用戶組。
¡ 配置作為帶寬策略規則過濾條件的用戶。
user user-name [ domain domain-name ]
¡ 配置作為帶寬策略規則過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置作為帶寬策略規則過濾條件的用戶和用戶組。
(9) 配置作為帶寬策略規則過濾條件的DSCP優先級。
dscp dscp-value
缺省情況下,未配置作為帶寬策略規則過濾條件的DSCP優先級。
如果流量成功匹配了某個帶寬策略規則,則設備將會根據該帶寬策略規則中指定的動作對此流量進行控製和管理,即按照引用的帶寬通道對此流量進行限流。
子規則引用的帶寬通道中的最大帶寬不能大於父規則引用的帶寬通道中的最大帶寬。
父規則引用的帶寬通道中的保證帶寬不能小於子規則引用的帶寬通道中的保證帶寬。
子規則與父規則不能引用同一個帶寬通道。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬策略規則視圖。請選擇其中一項進行配置。
¡ rule rule-id
¡ rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(4) 配置帶寬策略規則中的動作。
action qos profile profile-name
缺省情況下帶寬策略規則為限流,但未引用帶寬通道。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬策略規則視圖。請選擇其中一項進行配置。
¡ rule rule-id
¡ rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(4) 配置帶寬策略規則的生效時間。
time-range time-range-name
缺省情況下,帶寬策略規則在任何時間下都生效。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 複製帶寬策略規則。
rule copy rule-name new-rule-name
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 重命名帶寬策略規則。
rule rename old-rule-name new-rule-name
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 移動帶寬策略規則的排列順序。
rule move rule-name1 { after | before } rule-name2
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬策略規則視圖。請選擇其中一項進行配置。
¡ rule rule-id
¡ rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(4) 禁用帶寬策略規則。
disable
缺省情況下,帶寬策略規則處於開啟狀態。
開啟帶寬管理相關統計功能後,設備才能對其相關的數據進行統計。設備支持的帶寬管理統計功能如下:
· 流量統計功能:帶寬管理業務將對匹配帶寬策略規則的流量進行統計,統計信息可通過display traffic-policy statistics bandwidth命令查看。
· 連接數限製統計功能:帶寬管理業務將對匹配帶寬策略規則的連接數限製信息進行統計,統計信息可通過display traffic-policy statistics connection-limit命令查看。
· 規則命中統計功能:帶寬管理業務將對帶寬策略規則的命中情況進行統計,統計信息可通過display traffic-policy statistics rule-hit命令查看。
開啟統計功能將對設備處理性能產生影響,建議僅在需要查看統計信息時開啟。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 開啟帶寬管理統計功能。
¡ 開啟帶寬管理流量統計功能。
statistics bandwidth enable
缺省情況下,帶寬管理流量統計功能處於關閉狀態。
¡ 開啟帶寬管理連接數限製統計功能。
statistics connection-limit enable
缺省情況下,帶寬管理連接數限製統計功能處於關閉狀態。
¡ 開啟帶寬管理規則命中統計功能。
statistics rule-hit enable
缺省情況下,帶寬管理規則命中統計功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後帶寬管理的運行情況,以及帶寬管理處理業務的統計信息。
表1-1 帶寬管理顯示和維護
|
操作 |
命令 |
|
顯示帶寬管理的流量統計信息 |
(獨立運行模式) display traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
顯示帶寬管理的連接數限製統計信息 |
(獨立運行模式) display traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
顯示帶寬策略規則的命中統計信息 |
(獨立運行模式) display traffic-policy statistics rule-hit [ rule rule-name ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display traffic-policy statistics rule-hit [ rule rule-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
清除帶寬管理的流量統計信息 |
(獨立運行模式) reset traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
清除帶寬管理的連接數限製統計信息 |
(獨立運行模式) reset traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
清除帶寬策略規則被命中次數的統計信息 |
(獨立運行模式) reset traffic-policy statistics rule-hit [ rule rule-name ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset traffic-policy statistics rule-hit [ rule rule-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
內網主機通過Device與外網相連,通過在Device上配置帶寬管理功能,實現當內網流量的出口發生擁塞時優先保證FTP業務的需求。具體要求如下:
· 限製內網用戶,訪問外網愛奇藝(iQiYiPPS)應用流量的上行最大帶寬和下行最大帶寬均為30720kbps。
· 保證內網用戶,訪問外網FTP應用流量的上行保證帶寬和下行保證帶寬均為30720kbps。
· 限製外網出接口的最大帶寬為102400kbps。
圖1-2 單通道模式帶寬管理配置組網圖
(1) 配置接口IP地址、路由、安全域及域間策略保證網絡可達,具體配置步驟略
(2) 配置帶寬通道
# 創建名為aiqiyi的帶寬通道,並進入該帶寬通道視圖。
<Device> system-view
[Device] traffic-policy
[Device-traffic-policy] profile name aiqiyi
# 配置上/下行最大帶寬均為30720kbps。
[Device-traffic-policy-profile-aiqiyi] bandwidth upstream maximum 30720
[Device-traffic-policy-profile-aiqiyi] bandwidth downstream maximum 30720
[Device-traffic-policy-profile-aiqiyi] quit
# 創建名為profileFTP的帶寬通道,並進入該帶寬通道視圖。
[Device-traffic-policy] profile name profileFTP
# 配置上/下行保證帶寬均為30720kbps。
[Device-traffic-policy-profile-profileFTP] bandwidth upstream guaranteed 30720
[Device-traffic-policy-profile-profileFTP] bandwidth downstream guaranteed 30720
[Device-traffic-policy-profile-profileFTP] quit
[Device-traffic-policy] quit
(3) 配置出接口的最大帶寬
# 配置接口GigabitEthernet1/0/2的期望帶寬為102400kbps。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] bandwidth 102400
[Device-GigabitEthernet1/0/2] quit
(4) 配置帶寬策略規則
# 進入帶寬策略視圖。
[Device] traffic-policy
# 創建名為aiqiyi的帶寬策略規則,並進入該帶寬策略規則視圖。
[Device-traffic-policy] rule name aiqiyi
# 在帶寬策略規則aiqiyi中引用預定義應用iQiYiPPS。
[Device-traffic-policy-rule-1-aiqiyi] application app iQiYiPPS
# 配置帶寬策略規則aiqiyi中的動作為限流並應用帶寬通道aiqiyi。
[Device-traffic-policy-rule-1-aiqiyi] action qos profile aiqiyi
[Device-traffic-policy-rule-1-aiqiyi] quit
# 創建名為ruleFTP的帶寬策略規則,並進入該帶寬策略規則視圖。
[Device-traffic-policy] rule name ruleFTP
# 配置帶寬策略規則ruleFTP中引用預定義的應用ftp。
[Device-traffic-policy-rule-2-ruleFTP] application app ftp
# 配置帶寬策略規則ruleFTP中的動作為限流並應用帶寬通道profileFTP。
[Device-traffic-policy-rule-2-ruleFTP] action qos profile profileFTP
[Device-traffic-policy-rule-2-ruleFTP] quit
[Device-traffic-policy] quit
配置完成後,當出接口GigabitEthernet1/0/2的流量達到102400kbps後,愛奇藝應用的流量最大隻能達到30720kbps,FTP應用的流量能夠保證最少達到30720kbps。
內網主機通過Device與外網相連,通過在Device上配置帶寬管理功能,實現當內網流量發生擁塞時優先保證FTP業務的需求。具體要求如下:
· 限製內網用戶,訪問外網愛奇藝(iQiYiPPS)應用流量的上行最大帶寬和下行最大帶寬均為30720kbps。
· 保證內網用戶,訪問外網FTP應用流量的上行保證帶寬和下行保證帶寬均為30720kbps。
· 限製內網用戶的最大帶寬為40960kbps。
圖1-3 父子通道模式帶寬管理配置組網圖
(1) 配置接口IP地址、路由、安全域及域間策略保證網絡可達,具體配置步驟略
(2) 配置帶寬通道
# 創建名為profile的帶寬通道,並進入該帶寬通道視圖。
<Device> system-view
[Device] traffic-policy
[Device-traffic-policy] profile name profile
# 配置上/下行最大帶寬均為40960kbps。
[Device-traffic-policy-profile-profile] bandwidth upstream maximum 40960
[Device-traffic-policy-profile-profile] bandwidth downstream maximum 40960
[Device-traffic-policy-profile-profile] quit
# 創建名為aiqiyi的帶寬通道,並進入該帶寬通道視圖。
[Device-traffic-policy] profile name aiqiyi
# 配置上/下行最大帶寬均為30720kbps。
[Device-traffic-policy-profile-aiqiyi] bandwidth upstream maximum 30720
[Device-traffic-policy-profile-aiqiyi] bandwidth downstream maximum 30720
[Device-traffic-policy-profile-aiqiyi] quit
# 創建名為profileFTP的帶寬通道,並進入該帶寬通道視圖。
[Device-traffic-policy] profile name profileFTP
# 配置上/下行保證帶寬均為30720kbps。
[Device-traffic-policy-profile-profileFTP] bandwidth upstream guaranteed 30720
[Device-traffic-policy-profile-profileFTP] bandwidth downstream guaranteed 30720
[Device-traffic-policy-profile-profileFTP] quit
(3) 配置帶寬策略
# 創建名為rule的帶寬策略規則,並進入該帶寬策略規則視圖。
[Device-traffic-policy] rule name rule
# 配置帶寬策略規則rule中的動作為限流並應用帶寬通道profile。
[Device-traffic-policy-rule-1-rule] action qos profile profile
[Device-traffic-policy-rule-1-rule] quit
# 創建名為aiqiyi的帶寬策略規則,並進入該帶寬策略規則視圖,指定帶寬策略規則的父規則為rule。
[Device-traffic-policy] rule name aiqiyi parent rule
# 在帶寬策略規則aiqiyi中引用預定義應用iQiYiPPS。
[Device-traffic-policy-rule-2-aiqiyi] application app iQiYiPPS
# 配置帶寬策略規則aiqiyi中的動作為限流並應用帶寬通道aiqiyi。
[Device-traffic-policy-rule-2-aiqiyi] action qos profile aiqiyi
[Device-traffic-policy-rule-2-aiqiyi] quit
# 創建名為ruleFTP的帶寬策略規則,並進入該帶寬策略規則視圖,指定帶寬策略規則的父規則為rule。
[Device-traffic-policy] rule name ruleFTP parent rule
# 配置帶寬策略規則ruleFTP中引用預定義的應用ftp。
[Device-traffic-policy-rule-3-ruleFTP] application app ftp
# 配置帶寬策略規則ruleFTP中的動作為限流並應用帶寬通道profileFTP。
[Device-traffic-policy-rule-3-ruleFTP] action qos profile profileFTP
[Device-traffic-policy-rule-3-ruleFTP] quit
[Device-traffic-policy] quit
以上配置完成後,內網用戶的實際流量會限製在40960kbps,並且愛奇藝流量被限製在30720kbps;當網絡發生擁塞時,FTP業務基本不受影響。
內網有兩個用戶組,分別為教師組teacher和學生組student。teacher組有教師2名,student組有學生5名。通過在Device上配置帶寬管理功能,實現基於用戶進行限速帶寬管理的功能。具體需求如下:
· 每個教師綁定一個IP地址,上行和下行均限速10000kbps,每用戶的最大連接數不超過10000。教師使用的帶寬通道轉發優先級為較低。
· 每個學生綁定一個IP地址,上行和下行均限速2000kbps,每用戶的最大連接數不超過10000。學生使用的帶寬通道轉發優先級為最低。
圖1-4 基於用戶限速帶寬管理配置組網圖
(1) 配置接口IP地址、路由、安全域及域間策略保證網絡可達,具體配置步驟略
# 創建名為student1的網絡類本地接入用戶。
<Device> system-view
[Device] local-user student1 class network
# 設置用戶student1的密碼為明文student。
[Device-luser-network-student1] password simple 123456TESTplat&!
# 指定用戶student1可以使用的服務類型為IKE、Portal以及SSL VPN。
[Device-luser-network-student1] service-type ike
[Device-luser-network-student1] service-type portal
[Device-luser-network-student1] service-type sslvpn
[Device-luser-network-student1] quit
# 創建學生用戶student1~student5,密碼均為student;教師用戶teacher1、teacher2,密碼均為teacher。教師用戶和學生用戶可用服務均為IKE、Portal、SSL VPN。(具體配置步驟請參考上述學生用戶student1的配置步驟)
# 創建名為student的用戶組,並添加身份識別成員學生用戶student1~student5。
[Device] user-group student
[Device-ugroup-student] identity-member user student1
[Device-ugroup-student] identity-member user student2
[Device-ugroup-student] identity-member user student3
[Device-ugroup-student] identity-member user student4
[Device-ugroup-student] identity-member user student5
[Device-ugroup-student] quit
# 創建名為teacher的用戶組,並添加身份識別成員教師用戶teacher1和teacher2。
[Device] user-group teacher
[Device-ugroup-teacher] identity-member user teacher1
[Device-ugroup-teacher] identity-member user teacher2
[Device-ugroup-teacher] quit
# 創建靜態類型的身份識別用戶
[Device] user-identity static-user student1 bind ipv4 10.1.1.2
[Device] user-identity static-user student2 bind ipv4 10.1.1.3
[Device] user-identity static-user student3 bind ipv4 10.1.1.4
[Device] user-identity static-user student4 bind ipv4 10.1.1.5
[Device] user-identity static-user student5 bind ipv4 10.1.1.6
[Device] user-identity static-user teacher1 bind ipv4 10.1.1.21
[Device] user-identity static-user teacher2 bind ipv4 10.1.1.22
# 開啟身份識別功能
[Device] user-identity enable
(3) 配置帶寬通道
# 創建名為profile-teacher的帶寬通道,並進入該帶寬通道視圖。
[Device] traffic-policy
[Device-traffic-policy] profile name profile-teacher
# 配置上/下行最大帶寬均為10000kbps。
[Device-traffic-policy-profile-profile-teacher] bandwidth upstream maximum per-user 10000
[Device-traffic-policy-profile-profile-teacher] bandwidth downstream maximum per-user 10000
# 配置每用戶的最大連接數為10000。
[Device-traffic-policy-profile-profile-teacher] connection-limit count per-user 10000
# 配置教師使用的帶寬通道轉發流量優先級為較低(2)。
[Device-traffic-policy-profile-profile-teacher] traffic-priority 2
[Device-traffic-policy-profile-profile-teacher] quit
# 創建名為profile-student的帶寬通道,並進入該帶寬通道視圖。
[Device-traffic-policy] profile name profile-student
# 配置上/下行最大帶寬均為2000kbps。
[Device-traffic-policy-profile-profile-student] bandwidth upstream maximum per-user 2000
[Device-traffic-policy-profile-profile-student] bandwidth downstream maximum per-user 2000
# 配置每用戶的最大連接數為10000。
[Device-traffic-policy-profile-profile-student] connection-limit count per-user 10000
# 配置學生使用的帶寬通道轉發流量優先級為最低(1)。
[Device-traffic-policy-profile-profile-student] traffic-priority 1
[Device-traffic-policy-profile-profile-student] quit
(4) 配置帶寬策略
# 創建名為rule-teacher的帶寬策略規則,並進入該帶寬策略規則視圖。
[Device-traffic-policy] rule name rule-teacher
# 指定匹配報文的用戶組為teacher,配置帶寬策略規則rule-teacher中的動作為限流並應用帶寬通道profile-teacher。
[Device-traffic-policy-rule-1-rule-teacher] user-group teacher
[Device-traffic-policy-rule-1-rule-teacher] action qos profile profile-teacher
[Device-traffic-policy-rule-1-rule-teacher] quit
# 創建名為rule-student的帶寬策略規則,並進入該帶寬策略規則視圖。
[Device-traffic-policy] rule name rule-student
# 指定匹配報文的用戶組為student,配置帶寬策略規則rule-student中的動作為限流並應用帶寬通道profile-student。
[Device-traffic-policy-rule-2-rule-student] user-group student
[Device-traffic-policy-rule-2-rule-student] action qos profile profile-student
[Device-traffic-policy-rule-2-rule-student] quit
[Device-traffic-policy] quit
以上配置完成後,可以實現基於用戶進行限速的功能。兩位教師限速均為10000kbps,每位學生限速為2000kbps,且會話新建連接數都會受到限製。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
