QoS快速配置指南

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

本文檔中的信息可能變動，恕不另行通知。

目  錄

1 配置IP限速

1.1 簡介

1.2 組網需求

1.3 配置思路

1.4 配置步驟

1.5 驗證配置

1.6 配置文件

1.7 相關資料

2 配置流量統計

2.1 簡介

2.2 組網需求

2.3 配置步驟

2.4 驗證配置

2.5 配置文件

2.6 相關資料

3 配置QoS策略禁止VLAN間設備互訪

3.1 簡介

3.2 組網需求

3.3 配置思路

3.4 配置步驟

3.5 驗證配置

3.6 配置文件

3.7 相關資料

 

1  配置IP限速

1.1  簡介

本案例介紹IP限速配置方法。

1.2  組網需求

如圖1所示，某公司通過專線連接分支機構與總部，專線中傳輸的流量主要有三類：FTP流量、業務應用流量、IP語音流量。整個專線的速率為15Mbps，在總部的邊緣設備DeviceB上已經配置了相應的流量監管功能：

·     IP語音流量的承諾速率為10Mbps

·     業務應用流量的承諾速率為3Mbps

·     FTP流量的承諾速率為7Mbps

為配合總部的流量監管，要求在分支機構的邊緣設備DeviceA上配置流量整形功能，對各類流量中突發的超出部分進行緩存，避免數據丟失。

由於整個專線的速率為15Mbps，因此要求在DeviceA上配置接口限速功能，保證發往專線的所有數據總速率不得超過15Mbps。

圖1 流量整形與接口限速組網示意圖

 

1.3  配置思路

·     要實現流量整形功能，首先要確認各類報文在發送時所在的隊列編號。本例中沒有給出各類報文的優先級，因此需要使用重標記功能將不同類型的報文手工調度到不同的隊列中。

·     手工調度報文隊列可以通過重標記報文的DSCP/802.1p優先級或者重標記本地優先級來實現，為保持原始報文內容不變，使用重標記本地優先級進行配置。

1.4  配置步驟

 

1. 重標記功能的配置

(1)     在Device A上創建三個流分類，分別匹配三類報文的源IP網段。

# 創建基本IPv4 ACL2000，匹配IP電話發送的流量（源地址為192.168.3.0/24網段）。

<DeviceA> system-view

[DeviceA] acl basic 2000

[DeviceA-acl-ipv4-basic-2000] rule permit source 192.168.3.0 0.0.0.255

[DeviceA-acl-ipv4-basic-2000] quit

# 創建流分類voice，匹配規則為IPv4 ACL 2000。

[DeviceA] traffic classifier voice

[DeviceA-classifier-voice] if-match acl 2000

[DeviceA-classifier-voice] quit

# 創建基本IPv4 ACL2001，匹配業務軟件終端發送的流量（源地址為192.168.2.0/24網段）。

[DeviceA] acl basic 2001

[DeviceA-acl-ipv4-basic-2001] rule permit source 192.168.2.0 0.0.0.255

[DeviceA-acl-ipv4-basic-2001] quit

# 創建流分類service，匹配規則為IPv4 ACL 2001。

[DeviceA] traffic classifier service

[DeviceA-classifier-service] if-match acl 2001

[DeviceA-classifier-service] quit

# 創建高級IPv4 ACL 3000，匹配普通PC發送的FTP流量（源地址為192.168.1.0/24網段，目的端口為20）。

[DeviceA] acl advanced 3000

[DeviceA-acl-ipv4-adv-3000] rule permit tcp destination-port eq 20 source 192.168.1.0 0.0.0.255

[DeviceA-acl-ipv4-adv-3000] quit

# 創建流分類ftp，匹配規則為IPv4 ACL 3000。

[DeviceA] traffic classifier ftp

[DeviceA-classifier-ftp] if-match acl 3000

[DeviceA-classifier-ftp] quit

(2)     創建三個流行為，動作分別為重標記本地優先級為6、4、2。

# 創建流行為voice，動作為重標記本地優先級為6。

[DeviceA] traffic behavior voice

[DeviceA-behavior-voice] remark local-precedence 6

[DeviceA-behavior-voice] quit

# 創建流行為service，動作為重標記本地優先級為4。

[DeviceA] traffic behavior service

[DeviceA-behavior-service] remark local-precedence 4

[DeviceA-behavior-service] quit

# 創建流行為ftp，動作為重標記本地優先級為2。

[DeviceA] traffic behavior ftp

[DeviceA-behavior-ftp] remark local-precedence 2

[DeviceA-behavior-ftp] quit

(3)     創建QoS策略並應用

# 創建QoS策略shaping，將上麵三組流分類和流行為進行關聯。

[DeviceA] qos policy shaping

[DeviceA-qospolicy-shaping] classifier voice behavior voice

[DeviceA-qospolicy-shaping] classifier service behavior service

[DeviceA-qospolicy-shaping] classifier ftp behavior ftp

[DeviceA-qospolicy-shaping] quit

# 將QoS策略應用到GigabitEthernet1/0/2端口的入方向。

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] qos apply policy shaping inbound

[DeviceA-GigabitEthernet1/0/2] quit

經過上述配置，三類報文在DeviceA中的本地優先級已經被修改，即可以確定三類報文的輸出隊列分別為6、4、2。

2. 流量整形配置

# 在GigabitEthernet1/0/1端口上配置流量整形，為語音報文（隊列6）配置承諾速率為10Mbps。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] qos gts queue 6 cir 10240

# 在GigabitEthernet1/0/1端口上配置流量整形，為業務應用報文（隊列4）配置承諾速率為3Mbps。

[DeviceA-GigabitEthernet1/0/1] qos gts queue 4 cir 3072

# 在GigabitEthernet1/0/1端口上配置流量整形，為FTP報文（隊列2）配置承諾速率為7Mbps。

[DeviceA-GigabitEthernet1/0/1] qos gts queue 2 cir 7168

3. 接口限速配置

# 在GigabitEthernet1/0/1端口上配置接口限速，對出端口方向的流量配置承諾速率為15Mbps。

[DeviceA-GigabitEthernet1/0/1] qos lr outbound cir 15360

1.5  驗證配置

# 使用display qos policy interface命令查看重標記功能的配置。

<Device> display qos policy interface inbound

Interface: GigabitEthernet1/0/2

  Direction: Inbound

  Policy: shaping

   Classifier: voice

     Operator: AND

     Rule(s) :

      If-match acl 2000

     Behavior: voice

      Marking:

        Remark local-precedence 6

   Classifier: service

     Operator: AND

     Rule(s) :

      If-match acl 2001

     Behavior: service

      Marking:

        Remark local-precedence 4

   Classifier: ftp

     Operator: AND

     Rule(s) :

      If-match acl 3000

     Behavior: ftp

      Marking:

        Remark local-precedence 2

# 使用display qos gts interface命令查看流量整形的配置。

<Device> display qos gts interface

Interface: GigabitEthernet1/0/1

 Rule: If-match queue 6

  CIR 10240 (kbps), CBS 640000 (Bytes)

 Rule: If-match queue 4

  CIR 3072 (kbps), CBS 192000 (Bytes)

 Rule: If-match queue 2

  CIR 7168 (kbps), CBS 448000 (Bytes)

# 使用display qos lr interface命令查看接口限速的配置。

<Device> display qos lr interface

Interface: GigabitEthernet1/0/1

Direction: Outbound

 CIR 15360 (kbps), CBS 960000 (Bytes)

1.6  配置文件

#

acl basic 2000

 rule 0 permit source 192.168.3.0 0.0.0.255

#

acl basic 2001

 rule 0 permit source 192.168.2.0 0.0.0.255

#

acl advanced 3000

 rule 0 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq ftp-data

#

traffic classifier ftp operator and

 if-match acl 3000

#

traffic classifier service operator and

 if-match acl 2001

#

traffic classifier voice operator and

 if-match acl 2000

#

traffic behavior ftp

 remark local-precedence 2

#

traffic behavior service

 remark local-precedence 4

#

traffic behavior voice

 remark local-precedence 6

#

qos policy shaping

 classifier voice behavior voice

 classifier service behavior service

 classifier ftp behavior ftp

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 qos lr outbound cir 15360 cbs 960000

 qos gts queue 6 cir 10240 cbs 640000

 qos gts queue 4 cir 3072 cbs 192000

 qos gts queue 2 cir 7168 cbs 448000

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 qos apply policy shaping inbound

#

return

1.7  相關資料

·     產品配套“ACL和QoS配置指導”中的“ACL”。

·     產品配套“ACL和QoS命令參考”中的“ACL”。

 

2  配置流量統計

2.1  簡介

本案例介紹流量統計配置方法。

2.2  組網需求

如2.2  圖2所示，PC訪問服務器出現丟包現象，可以通過配置QoS策略做流量統計來排查報文是否丟棄在交換機上。

在交換機GE1/0/1和GE1/0/2接口配置流量統計，查看接口下的報文統計信息。

圖2 流量統計配置組網圖

 

2.3  配置步驟

# 創建高級規則IPv4 ACL3001，配置2條規則，用於分別匹配源IP地址為192.168.0.2，目的地址為192.168.0.1的流量和源IP地址為192.168.0.1，目的地址為192.168.0.2流量。

<Sysname> system-view

[Sysname] acl advanced 3001

[Sysname-acl-ipv4-adv-3001] rule 0 permit ip source 192.168.0.2 0 destination 192.168.0.241 0

[Sysname-acl-ipv4-adv-3001] rule 5 permit ip source 192.168.0.241 0 destination 192.168.0.2 0

[Sysname-acl-ipv4-adv-3001] quit

# 創建流分類aa，匹配規則為IPv4 ACL 3001。

[Sysname] traffic classifier aa

[Sysname-classifier-1] if-match acl 3001

[Sysname-classifier-1] quit

# 創建流行為aa，動作為記錄報文。

[Sysname] traffic behavior aa

[Sysname-behavior-1] accounting packet

[Sysname-behavior-1] quit

# 創建QoS策略aa，將上麵已創建的流分類和流行為進行關聯。

[Sysname] qos policy aa

[Sysname-qospolicy-aa] classifier aa behavior aa

[Sysname-qospolicy-aa] quit

## 將QoS策略應用到GigabitEthernet1/0/1端口和GigabitEthernet1/0/2的入方向和出方向。（此處可以根據現場業務情況，調用在終端訪問的接口的入方向和服務器連接接口的出方向）。

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] qos apply policy 1 inbound

[Sysname-GigabitEthernet1/0/1] qos apply policy 1 outbound

[Sysname-GigabitEthernet1/0/1] quit

[Sysname] interface gigabitethernet 1/0/2

[Sysname-GigabitEthernet1/0/2] qos apply policy 1 inbound

[Sysname-GigabitEthernet1/0/2] qos apply policy 1 outbound

[Sysname-GigabitEthernet1/0/2] quit

2.4  驗證配置

# 在PC上ping 服務器的IP地址，可以看出發出4個數據包，接收4個數據包。

C:\Users\user>ping 192.168.0.1

 

正在 Ping 192.168.0.1具有 32 字節的數據:

來自 192.168.0.1 的回複: 字節=32 時間=3ms TTL=255

來自 192.168.0.1的回複: 字節=32 時間=1ms TTL=255

來自 192.168.0.1的回複: 字節=32 時間=1ms TTL=255

來自 192.168.0.1的回複: 字節=32 時間=1ms TTL=255

 

192.168.0.1 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

    最短 = 1ms，最長 = 3ms，平均 = 1ms

# 在交換機上查看接口GE1/0/1和GE1/0/2的報文統計信息，GE1/0/1口連接PC，入方向報文為4個，GE1/0/2口連接服務器，出方向報文為4個，報文數相同，說明交換機將報文全部轉發。

[Sysname] display qos policy interface

Interface: GigabitEthernet1/0/1

  Direction: Inbound

  Policy: aa

   Classifier: aa

     Operator: AND

     Rule(s) :

      If-match acl 3001

Behavior: aa

      Accounting enable:

        4 (Packets)

 

Interface: GigabitEthernet1/0/1

  Direction: Outbound

  Policy: aa

   Classifier: aa

     Operator: AND

     Rule(s) :

      If-match acl 3001

     Behavior: aa

      Accounting enable:

        7 (Packets)

 

Interface: GigabitEthernet1/0/2

  Direction: Inbound

  Policy: aa

   Classifier: aa

     Operator: AND

     Rule(s) :

      If-match acl 3001

Behavior: aa

      Accounting enable:

        7 (Packets)

 

Interface: GigabitEthernet1/0/2

  Direction: Outbound

  Policy: aa

   Classifier: aa

     Operator: AND

     Rule(s) :

      If-match acl 3001

     Behavior: aa

      Accounting enable:

        4 (Packets)

2.5  配置文件

#

traffic classifier aa operator and

 if-match acl 3001

#

traffic behavior aa

 accounting packet

#

qos policy aa

 classifier aa behavior aa

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 qos apply policy aa inbound

 qos apply policy aa outbound

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 qos apply policy aa inbound

 qos apply policy aa outbound

#

acl number 3001

rule 0 permit ip source 192.168.0.2 0 destination 192.168.0.1 0

rule 5 permit ip source 192.168.0.1 0 destination 192.168.0.2 0

#

2.6  相關資料

·     產品配套“ACL和QoS配置指導”中的“ACL”。

·     產品配套“ACL和QoS命令參考”中的“ACL”。

3  配置QoS策略禁止VLAN間設備互訪

3.1  簡介

本案例介紹禁止不同VLAN之間的流量互訪的配置方法。

3.2  組網需求

如3.2  圖3所示，PC屬於VLAN 10，服務器屬於VLAN 20，為安全考慮，需要在交換機的GE1/0/1和GE1/0/2接口配置QoS策略，禁止不同VLAN的設備互相訪問，同時不影響其他的流量的轉發。

圖3 配置QoS策略禁止VLAN間設備互訪組網圖

 

3.3  配置思路

配置思路如下：

·     在接口GigabitEthernet1/0/1的入方向應用QoS策略，禁止訪問VLAN接口20網段設備的流量通過。

·     在接口GigabitEthernet1/0/2的入方向應用QoS策略，禁止訪問VLAN接口10網段設備的流量通過。

3.4  配置步驟

# 配置VLAN接口和IP地址。

<Sysname> system-view

[Sysname] vlan 10

[Sysname-vlan10] port gigabitethernet 1/0/1

[Sysname-vlan10] quit

[Sysname] vlan 20

[Sysname-vlan20] port gigabitethernet 1/0/2

[Sysname-vlan20] quit

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] ip address 192.168.1.1 24

[Sysname-Vlan-interface10] quit

[Sysname] interface vlan-interface 20

[Sysname-Vlan-interface20] ip address 192.168.2.1 24

[Sysname-Vlan-interface20] quit

# 創建高級規則IPv4 ACL 3000，配置1條規則，匹配源IP地址為192.168.1.0/24，目的地址為192.168.2.0/24的流量。

<Sysname> system-view

[Sysname] acl advanced 3000

[Sysname-acl-ipv4-adv-3000] rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[Sysname-acl-ipv4-adv-3000] quit

# 創建流分類a1，匹配規則為IPv4 ACL 3000。

[Sysname] traffic classifier a1

[Sysname-classifier-a1] if-match acl 3000

[Sysname-classifier-a1] quit

# 創建流行為a2，動作為丟棄命中規則的數據包。

[Sysname] traffic behavior a2

[Sysname-behavior-a2] filter deny

[Sysname-behavior-a2] quit

# 創建QoS策略a3，將上麵已創建的流分類和流行為進行關聯。

[Sysname] qos policy a3

[Sysname-qospolicy-a3] classifier a1 behavior a2

[Sysname-qospolicy-a3] quit

## 將QoS策略a3應用到GigabitEthernet1/0/1接口的入方向。

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] qos apply policy a3 inbound

[Sysname-GigabitEthernet1/0/1] quit

# 創建高級規則IPv4 ACL 3001，配置1條規則，匹配源IP地址為192.168.2.0/24，目的地址為192.168.1.0/24的流量。

[Sysname] acl advanced 3001

[Sysname-acl-ipv4-adv-3001] rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[Sysname-acl-ipv4-adv-3001] quit

# 創建流分類b1，匹配規則為IPv4 ACL 3001。

[Sysname] traffic classifier b1

[Sysname-classifier-b1] if-match acl 3001

[Sysname-classifier-b1] quit

# 創建流行為b2，動作為丟棄命中規則的數據包。

[Sysname] traffic behavior b2

[Sysname-behavior-b2] filter deny

[Sysname-behavior-b2] quit

# 創建QoS策略b3，將上麵已創建的流分類和流行為進行關聯。

[Sysname] qos policy b3

[Sysname-qospolicy-b3] classifier b1 behavior b2

[Sysname-qospolicy-b3] quit

## 將QoS策略b3應用到GigabitEthernet1/0/2接口的入方向。

[Sysname] interface gigabitethernet 1/0/2

[Sysname-GigabitEthernet1/0/2] qos apply policy b3 inbound

[Sysname-GigabitEthernet1/0/2] quit

3.5  驗證配置

# 在接口配置QoS策略前，在PC上ping 服務器的IP地址，可以看出發出4個數據包，接收4個數據包。

C:\Users\user>ping 192.168.2.2

正在 Ping 192.168.2.2具有 32 字節的數據:

來自 192.168.2.2 的回複: 字節=32 時間=3ms TTL=255

來自 192.168.2.2 的回複: 字節=32 時間=1ms TTL=255

來自 192.168.2.2 的回複: 字節=32 時間=1ms TTL=255

來自 192.168.2.2 的回複: 字節=32 時間=1ms TTL=255

 

192.168.2.2 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

最短 = 1ms，最長 = 3ms，平均 = 1ms

# 在接口配置QoS策略後，在PC上ping 服務器的IP地址，發現不能ping通：

C:\Users\user>ping 192.168.2.2

 

正在 Ping 192.168.2.2具有 32 字節的數據:

來自 192.168.2.2 的回複: 無法訪問目標主機。

來自 192.168.2.2 的回複: 無法訪問目標主機。

來自 192.168.2.2 的回複: 無法訪問目標主機。

來自 192.168.2.2 的回複: 無法訪問目標主機。

 

192.168.2.2 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 0，丟失 = 4 (100% 丟失)，

 

# 在交換機上查看接口的QoS策略應用信息：

[Sysname] display qos policy interface

Interface: GigabitEthernet1/0/1

  Direction: Inbound

  Policy: a3

  Classifier: a1

    Operator: AND

    Rule(s) :

     If-match acl 3000

    Behavior: a2

     Filter enable: Deny

Interface: GigabitEthernet1/0/2

  Direction: Inbound

  Policy: b3

  Classifier: b1

    Operator: AND

    Rule(s) :

     If-match acl 3001

    Behavior: b2

     Filter enable: Deny

3.6  配置文件

#

vlan 10

#

vlan 20

#

interface Vlan-interface10

 ip address 192.168.1.1 255.255.255.0

#

interface Vlan-interface20

 ip address 192.168.2.1 255.255.255.0

#

traffic classifier a1 operator and

 if-match acl 3000

#

traffic classifier b1 operator and

 if-match acl 3001

#

traffic behavior a2

 filter deny

#

traffic behavior b2

 filter deny

#

qos policy a3

 classifier a1 behavior a2

#

qos policy b3

 classifier b1 behavior b2

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 port access vlan 10

 qos apply policy a3 inbound

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 20

 qos apply policy b3 inbound

#

acl number 3000

rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

#

#

acl number 3001

rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

#

3.7  相關資料

·     產品配套“ACL和QoS配置指導”中的“ACL”。

·     產品配套“ACL和QoS命令參考”中的“ACL”。

·     產品配套“ACL和QoS配置指導”中的“QoS”。

·     產品配套“ACL和QoS命令參考”中的“QoS”。