- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-帶寬管理配置
本章節下載: 01-帶寬管理配置 (279.88 KB)
目 錄
帶寬管理對通過設備的流量實現基於SSID(Service Set Identifier,服務集標識符)、User Profile、源/目的IP地址、服務、用戶/用戶組、應用、DSCP優先級和時間段等,實現精細化的管理和控製。
帶寬管理的應用場景如下:
· 企業內網用戶所需的帶寬遠大於從運營商租用的出口帶寬,這時網絡出口就會存在帶寬瓶頸的問題。
· 網絡出口中P2P業務類型的數據流量消耗了絕大部分的帶寬資源,致使企業的關鍵業務得不到帶寬保證。
為了解決以上問題,可以在網絡出口設備上部署帶寬管理,針對不同的內網業務流量應用不同的帶寬策略規則,實現合理分配出口帶寬和保證關鍵業務正常運行的目的。
帶寬策略可以對符合匹配條件的流量應用帶寬通道,在帶寬通道中可以配置帶寬保證和帶寬限製功能,進而提高帶寬利用率以及在線路擁堵時保證關鍵業務的正常運行。
圖1-1 帶寬管理實現流程圖
帶寬管理實現流程如下:
(1) 將報文的屬性信息與帶寬策略規則中的過濾條件進行匹配。每種過濾條件的多個匹配項之間是或的關係,即報文與某一個過濾條件中的任意一項匹配成功,則報文與此條過濾條件匹配成功;若報文與某一個過濾條件中的所有項都匹配失敗,則報文與此條過濾條件匹配失敗。
(2) 若報文與某條帶寬策略規則中的所有過濾條件都匹配成功(用戶與用戶組匹配一項即可),則報文與此條帶寬策略規則匹配成功。若有一個過濾條件不匹配,則報文與此條帶寬策略規則匹配失敗,報文繼續匹配下一條帶寬策略規則。以此類推,直到最後一條帶寬策略規則,若報文還未與規則匹配成功,則不對報文進行帶寬管理。
(3) 報文與某條帶寬策略規則匹配成功後便結束此匹配過程,如果此規則的動作中引用了帶寬通道,則流量繼續進入相應的帶寬通道進行後續的處理,否則設備不對該流量進行帶寬管理。
(4) 流量進入帶寬通道後,設備會根據此帶寬通道中配置的帶寬限製策略對流量進行相應的處理。
(5) 如果出接口出方向上應用了QoS業務,則對流量先進行帶寬策略處理,再進行QoS業務處理。
(6) 流量從出接口發送時受該接口帶寬的限製。
帶寬策略中可以配置多個帶寬策略規則,這些規則用於定義匹配流量的過濾條件以及流量控製的動作。帶寬策略規則支持四級嵌套關係,即一個規則中可以指定一個父規則,最多支持嵌套四級。
每條帶寬策略規則中可以配置多種過濾條件,具體包括:SSID(Service Set Identifier,服務集標識符)、User Profile、源/目的IP地址、服務、用戶/用戶組、應用和DSCP優先級。每種過濾條件中均可以配置多個匹配項,比如應用過濾條件中可以指定多個應用等。
在帶寬策略規則動作中引用帶寬通道後,設備將根據此帶寬通道對此流量進行限流。
流量與存在父規則的帶寬策略規則進行匹配時,遵守如下原則:
· 首先匹配父規則,如果父規則匹配上了再匹配子規則。如果父規則沒有匹配上,也不會進行後續的子規則匹配,該匹配過程失敗。
· 如果子規則匹配上了,就執行子規則中指定的動作;如果子規則沒有匹配上但父規則匹配上了就執行父規則中指定的動作。
帶寬通道定義了具體的帶寬資源,是進行帶寬管理的基礎。通過帶寬通道,可以將物理的帶寬資源從邏輯上劃分為多個虛擬的帶寬通道,每個帶寬通道中都可自定義相應的帶寬資源限製參數和流量優先級參數。目前,帶寬通道中支持的帶寬資源限製參數和流量優先級參數包括以下如下幾種:
帶寬通道中對流量的限製方式,包括如下兩種:
· 分別設置上下行帶寬:對帶寬通道中的上下行流量分別限製。
· 設置總帶寬:對帶寬通道中的上下行流量整體限製。
每規則的保證帶寬:保證業務的最小帶寬,在線路擁堵時,可以保證公司關鍵業務所需的帶寬,確保此類業務不受影響。
每規則的最大帶寬:限製業務的最大帶寬,比如限製網絡中非關鍵業務占用的帶寬資源,避免該類業務消耗大量的帶寬,影響其他關鍵業務的正常運行。
每IP或每用戶的保證帶寬:設備除了支持配置每規則的保證帶寬之外,還支持基於IP地址和用戶的保證帶寬,實現更加精細化的帶寬管理。
每IP或每用戶的最大帶寬:設備除了支持配置每規則的最大帶寬之外,還支持基於IP地址和用戶的最大帶寬,實現更加精細化的帶寬管理。
每規則、每IP或每用戶的最大連接數和最大新建連接速率限製:通常在出現以下兩類網絡問題的組網環境中需要在設備上配置最大連接數和最大新建連接速率限製:某內網用戶在短時間內經過設備向外部網絡發起大量連接,導致設備係統資源迅速消耗,其它內網用戶無法正常使用網絡資源;某內部服務器在短時間內接收到大量的連接請求,導致該服務器忙於處理這些連接請求,以至於不能再接受其它客戶端的正常連接請求。
流量優先級:當多個帶寬通道中的流量同時從某個接口發送時,如果此接口發生阻塞,則優先級高的流量優先被發送。優先級相同的流量將會自由競爭出接口的帶寬資源。
重標記報文的DSCP優先級:修改報文中DSCP(Differentiated Services Code Point)字段的值,DSCP優先級是網絡設備進行流量分類的依據。位於報文傳輸路徑上的各個網絡設備,能夠通過DSCP優先級來區分流量,因此可以便於上下行設備依據修改後的DSCP優先級對流量采取差異化處理。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
說明 |
|
MSG係列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
· MSG360-4:支持 · MSG360-4-PWR:支持 · MSG360-10:支持 · MSG360-10S:支持 · MSG360-10-PWR:支持 · MSG360-10-LTE:支持 · MSG360-20:支持 · MSG360-40:不支持 · MSG360-22L-PWR:支持 |
|
WX2500H-WiNet係列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
支持 |
|
WAC係列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
· WAC380-30:支持 · WAC380-60:支持 · WAC380-90:支持 · WAC380-120:支持 · WAC381:不支持 |
|
WX2500H-LI係列 |
WX2540H-LI WX2560H-LI |
支持 |
|
WX3500H-LI係列 |
WX3510H-LI WX3520H-LI |
支持 |
|
AC1000係列 |
AC1016 AC1108 |
支持 |
由於MSG係列、WX2500H-WiNet係列、WAC係列、WX2500H-LI係列和AC1000係列不支持IRF功能,因此不支持IRF模式的命令行配置。
配置帶寬管理策略時,請按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行配置。
在配置帶寬管理策略之前,需完成以下任務:
· 配置時間段(請參見“安全配置指導”中的“時間段”)。
· 配置應用(請參見“DPI深度安全配置指導”中的“APR”)。
帶寬管理配置任務如下:
(1) 配置帶寬通道
¡ 創建帶寬通道
¡ 配置帶寬通道參數
¡ (可選)重命名帶寬通道
(2) 配置帶寬策略規則
¡ 創建帶寬策略規則
¡ (可選)配置帶寬策略規則生效時間
(3) (可選)管理和維護帶寬策略規則
¡ 複製帶寬策略規則
¡ 移動帶寬策略規則
¡ 禁用帶寬策略規則
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 創建帶寬通道,並進入帶寬通道視圖。
profile name profile-name
帶寬通道定義了實施帶寬管理的對象所能夠使用的帶寬資源,帶寬通道將被帶寬策略規則引用後生效。
每IP最大帶寬、每用戶最大帶寬和最大帶寬動態均分功能三種控製方式不能同時存在,會相互替換,最後一次配置的控製方式生效。
每IP保證帶寬與每用戶保證帶寬兩種控製方式不能同時存在,會相互替換,最後一次配置的控製方式生效。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬通道視圖。
profile name profile-name
(4) 配置帶寬參數。
¡ 配置每規則的保證帶寬和最大帶寬。
bandwidth { downstream | total | upstream } { guaranteed | maximum } bandwidth-value
缺省情況下,未配置帶寬通道的保證帶寬和最大帶寬。
請保證最大帶寬不小於保證帶寬。
如需開啟最大帶寬的動態均分功能,則必須配置每規則的最大帶寬。
¡ 配置每IP或每用戶的保證帶寬和最大帶寬。
bandwidth { downstream | total | upstream | } { guaranteed | maximum } { per-ip | per-user } bandwidth-value
缺省情況下,未配置每IP或每用戶的保證帶寬和最大帶寬。
¡ 開啟最大帶寬動態均分功能。
bandwidth average enable
缺省情況下,最大帶寬動態均分功能處於關閉狀態。
(5) 配置連接數限製參數。
¡ 配置最大連接數。
connection-limit count { per-rule | per-ip | per-user } connection-number
缺省情況下,未配置最大連接數。
¡ 配置最大新建連接速率。
connection-limit rate { per-rule | per-ip | per-user } connection-rate
缺省情況下,未配置最大新建連接速率。
(6) 配置優先級參數。
¡ 配置流量優先級。
traffic-priority priority-value
缺省情況下,流量優先級為1。
¡ 重標記報文的DSCP優先級。
remark dscp dscp-value
缺省情況下,不修改報文的DSCP優先級。
多個帶寬策略規則引用同一個帶寬通道的方式,包括如下兩種:
· 策略獨占:表示與帶寬策略規則匹配成功的流量,獨享帶寬通道中的帶寬限製和連接數限製。
· 策略共享:表示與多條帶寬策略規則匹配成功的多條流量,共享帶寬通道中的帶寬限製和連接數限製。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 並進入帶寬通道視圖。
profile name profile-name
(4) 配置帶寬通道的引用方式。
profile reference-mode { per-rule | rule-shared }
缺省情況下,帶寬通道的引用方式為策略獨占。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 重命名帶寬通道。
profile rename old-name new-name
一個帶寬策略中可以創建多個帶寬策略規則,這些規則可以獨立定義,也可以繼承其它規則。繼承其他帶寬策略規則是通過在創建帶寬策略規則時為其指定父帶寬策略規則實現的。在父帶寬策略規則和子帶寬策略規則中均可以引用帶寬通道。
第四級帶寬策略規則不能再作為父帶寬策略規則。
隻能在創建帶寬策略規則時指定帶寬策略規則的父帶寬策略規則,不能為已存在的帶寬策略規則添加或修改父帶寬策略規則。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 創建帶寬策略規則,並進入該帶寬策略規則視圖。
rule name rule-name [ parent parent-rule-name ]
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬策略規則視圖。
rule name rule-name [ parent parent-rule-name ]
(4) 配置作為帶寬策略規則過濾條件的地址對象組。
¡ 配置作為帶寬策略規則過濾條件目的IP地址。
destination-address address-set object-group-name
¡ 配置作為帶寬策略規則過濾條件的源IP地址。
source-address address-set object-group-name
缺省情況下,未配置作為帶寬策略規則過濾條件的地址對象組。
(5) 配置作為帶寬策略規則過濾條件的服務。
service object-group-name
缺省情況下,未配置作為帶寬策略規則過濾條件的服務。
(6) 配置作為帶寬策略規則過濾條件的應用。
application { app application-name | app-group application-group-name }
缺省情況下,未配置作為帶寬策略規則過濾條件的應用。
(7) 配置作為帶寬策略規則過濾條件的用戶和用戶組。
¡ 配置作為帶寬策略規則過濾條件的用戶。
user user-name [ domain domain-name ]
¡ 配置作為帶寬策略規則過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置作為帶寬策略規則過濾條件的用戶和用戶組。
(8) 配置作為帶寬策略規則過濾條件的DSCP優先級。
dscp
缺省情況下,未配置作為帶寬策略規則過濾條件的DSCP優先級。
(9) 配置作為帶寬策略規則過濾條件的SSID。
wlan ssid ssid-name
缺省情況下,未配置作為帶寬策略規則過濾條件的SSID。
(10) 配置作為帶寬策略規則過濾條件的User Profile。
wlan user-profile profile-name
缺省情況下,未配置作為帶寬策略規則過濾條件的User Profile。
如果流量成功匹配了某個帶寬策略規則,則設備將會根據該帶寬策略規則中指定的動作對此流量進行控製和管理,即按照引用的帶寬通道對此流量進行限流。
子規則引用的帶寬通道中的最大帶寬不能大於父規則引用的帶寬通道中的最大帶寬。
父規則引用的帶寬通道中的保證帶寬不能小於子規則引用的帶寬通道中的保證帶寬。
子規則與父規則不能引用同一個帶寬通道。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬策略規則視圖。
rule name rule-name [ parent parent-rule-name ]
(4) 配置帶寬策略規則中的動作。
action qos profile profile-name
缺省情況下帶寬策略規則為限流,但未引用帶寬通道。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬策略規則視圖。
rule name rule-name [ parent parent-rule-name ]
(4) 配置帶寬策略規則的生效時間。
time-range time-range-name
缺省情況下,帶寬策略規則在任何時間下都生效。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 複製帶寬策略規則。
rule copy rule-name new-rule-name
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 重命名帶寬策略規則。
rule rename old-rule-name new-rule-name
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 移動帶寬策略規則的排列順序。
rule move rule-name1 { after | before } rule-name2
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬策略規則視圖。
rule name rule-name [ parent parent-rule-name ]
(4) 禁用帶寬策略規則。
disable
缺省情況下,帶寬策略規則處於開啟狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後帶寬管理的運行情況,以及帶寬管理處理業務的統計信息。
由於MSG係列、WX2500H-WiNet係列、WAC係列、WX2500H-LI係列和AC1016不支持IRF功能,因此不支持IRF模式的命令行配置。
表1-1 帶寬管理顯示和維護
|
操作 |
命令 |
|
顯示帶寬管理的流量統計信息 |
(獨立運行模式) display traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } (IRF模式) display traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } [ slot slot-number ] |
|
顯示帶寬管理的連接數限製統計信息 |
(獨立運行模式) display traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } } (IRF模式) display traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } } [ slot slot-number ] |
|
顯示帶寬策略規則的命中統計信息 |
(獨立運行模式) display traffic-policy statistics rule-hit [ rule rule-name ] (IRF模式) display traffic-policy statistics rule-hit [ rule rule-name ] [ slot slot-number ] |
|
清除帶寬管理的流量統計信息 |
(獨立運行模式) reset traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } (IRF模式) reset traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } [ slot slot-number ] |
|
清除帶寬管理的連接數限製統計信息 |
(獨立運行模式) reset traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } } (IRF模式) reset traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } } [ slot slot-number ] |
|
清除帶寬策略規則被命中次數的統計信息 |
(獨立運行模式) reset traffic-policy statistics rule-hit [ rule rule-name ] (IRF模式) reset traffic-policy statistics rule-hit [ rule rule-name ] [ slot slot-number ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
