- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-帶寬管理配置
本章節下載: 01-帶寬管理配置 (444.38 KB)
目 錄
1.10 開啟使用NAT源/目的地址轉換後的報文信息匹配帶寬策略功能
1.14.4 對NAT源地址轉換後的報文流進行帶寬管理配置舉例
1.14.5 對NAT目的地址轉換後的報文流進行帶寬管理配置舉例
帶寬管理基於源/目的安全域、源/目的IP地址、服務、用戶/用戶組、應用、DSCP優先級和時間段等過濾條件,對通過設備的流量進行精細化的管理和控製。
帶寬管理的應用場景如下:
· 企業內網用戶所需的帶寬遠大於從運營商租用的出口帶寬,這時網絡出口就會存在帶寬瓶頸的問題。
· 網絡出口中P2P業務類型的數據流量消耗了絕大部分的帶寬資源,致使企業的關鍵業務得不到帶寬保證。
為了解決以上問題,可以在網絡出口設備上部署帶寬管理,針對不同的內網業務流量應用不同的帶寬策略規則,實現合理分配出口帶寬和保證關鍵業務正常運行的目的。
帶寬策略可以對符合匹配條件的流量應用帶寬通道,在帶寬通道中可以配置帶寬保證和帶寬限製功能,進而提高帶寬利用率以及在線路擁堵時保證關鍵業務的正常運行。
圖1-1 帶寬管理實現流程圖
帶寬管理實現流程如下:
(1) 將報文的屬性信息與帶寬策略規則中的過濾條件進行匹配。每種過濾條件的多個匹配項之間是或的關係,即報文與某一個過濾條件中的任意一項匹配成功,則報文與此條過濾條件匹配成功;若報文與某一個過濾條件中的所有項都匹配失敗,則報文與此條過濾條件匹配失敗。
(2) 若報文與某條帶寬策略規則中的所有過濾條件都匹配成功(用戶與用戶組、應用與應用組各匹配一項即可),則報文與此條帶寬策略規則匹配成功。若有一個過濾條件不匹配,則報文與此條帶寬策略規則匹配失敗,報文繼續匹配下一條帶寬策略規則。以此類推,直到最後一條帶寬策略規則,若報文還未與規則匹配成功,則不對報文進行帶寬管理。
(3) 報文與某條帶寬策略規則匹配成功後便結束此匹配過程。對成功匹配規則的報文執行規則中配置的動作。
¡ 阻斷:直接丟棄報文。
¡ 限流:將報文引入到規則引用的帶寬通道中,經帶寬通道處理後,未超過帶寬限額的報文從出接口轉發。
¡ 不限流:放行報文,報文不經過帶寬通道直接從出接口轉發。
(4) 流量進入帶寬通道後,設備會根據此帶寬通道中配置的帶寬限製策略對流量進行相應的處理。
(5) 如果出接口出方向上應用了QoS業務,則對流量先進行帶寬策略處理,再進行QoS業務處理。
(6) 流量從出接口發送時受該接口帶寬的限製。
帶寬策略中可以配置多個帶寬策略規則,這些規則用於定義匹配流量的過濾條件以及流量控製的動作。帶寬策略規則支持四級嵌套關係,即一個規則中可以指定一個父規則,最多支持嵌套四級。
每條帶寬策略規則中可以配置多種過濾條件,具體包括:源/目的安全域、源/目的IP地址、源/目的IP地址對象組、服務、用戶/用戶組、應用和DSCP優先級。每種過濾條件中均可以配置多個匹配項,比如應用過濾條件中可以指定多個應用等。
在帶寬策略規則動作中引用帶寬通道後,設備將根據此帶寬通道對此流量進行限流。
流量與存在父規則的帶寬策略規則進行匹配時,遵守如下原則:
· 首先匹配父規則,如果父規則匹配上了再匹配子規則。如果父規則沒有匹配上,也不會進行後續的子規則匹配,該匹配過程失敗。
· 如果子規則匹配上了,先執行子規則中指定的動作,再執行父規則中指定的動作,如果父子規則對同一個帶寬資源限製參數或流量優先級參數進行限製,則執行最嚴格的動作。如果子規則沒有匹配上但父規則匹配上了,則執行父規則中指定的動作。
為了提高報文對帶寬策略規則的匹配速度,設備支持帶寬策略規則加速功能。當帶寬策略內包含大量規則時,此功能可以實現報文對帶寬策略規則的快速匹配。若帶寬策略規則加速功能失敗,變化後的帶寬策略規則不生效,係統繼續使用原來的帶寬策略規則進行快速匹配。
帶寬通道可以將帶寬資源劃分為多個虛擬的帶寬通道。每個通道可自定義帶寬資源限製和流量優先級參數,從而實現對帶寬資源的精細化管理和控製。
目前,帶寬通道中支持的帶寬資源限製參數和流量優先級參數包括如下幾種。
帶寬通道中對流量的限製方式,包括如下兩種:
· 分別設置上下行帶寬:對帶寬通道中的上下行流量分別限製。
· 設置總帶寬:對帶寬通道中的上下行流量整體限製。
每規則的保證帶寬:保證業務的最小帶寬,在線路擁堵時,可以保證公司關鍵業務所需的帶寬,確保此類業務不受影響。
每規則的最大帶寬:限製業務的最大帶寬,比如限製網絡中非關鍵業務占用的帶寬資源,避免該類業務消耗大量的帶寬,影響其他關鍵業務的正常運行。
每IP或每用戶的保證帶寬:設備除了支持配置每規則的保證帶寬之外,還支持基於IP地址和用戶的保證帶寬,實現更加精細化的帶寬管理。
每IP或每用戶的最大帶寬:設備除了支持配置每規則的最大帶寬之外,還支持基於IP地址和用戶的最大帶寬,實現更加精細化的帶寬管理。
每規則、每IP或每用戶的最大連接數和最大新建連接速率限製:通常在出現以下兩類網絡問題的組網環境中需要在設備上配置最大連接數和最大新建連接速率限製:某內網用戶在短時間內經過設備向外部網絡發起大量連接,導致設備係統資源迅速消耗,其它內網用戶無法正常使用網絡資源;某內部服務器在短時間內接收到大量的連接請求,導致該服務器忙於處理這些連接請求,以至於不能再接受其它客戶端的正常連接請求。
流量優先級:DSCP優先級是網絡設備進行流量分類的依據。當多個帶寬通道中的流量同時從某個接口發送時,如果此接口發生阻塞,則優先級高的流量優先被發送。優先級相同的流量將會自由競爭出接口的帶寬資源。
重標記報文的DSCP優先級:重新配置報文DSCP(Differentiated Services Code Point)字段的值。在報文傳輸路徑上的網絡設備,能夠通過DSCP優先級來區分流量,因此可以便於上下行設備依據修改後的DSCP優先級對流量采取差異化處理。
· 配置帶寬管理策略時,請按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行配置。
· 接口期望帶寬的缺省值較小時,在流量較大的情況下,很容易出現丟包現象,這時可以將此接口的期望帶寬值調大。比如Tunnel口的默認帶寬是64kbps,流量比較大的情況下,易出現丟包現象,這時可將Tunnel接口的期望帶寬值調大。
· 在支持部署多塊安全業務板的設備上,帶寬通道中配置的相關閾值參數對報文的限製都是在每塊安全業務板上獨立計算的。在這種情況下,設備實際對報文的帶寬限製結果會大於管理員配置的閾值。請管理員根據設備上部署的安全業務板數量和整機的目標帶寬限製需求,合理配置帶寬通道中的相關閾值參數以達到預期效果。例如,設備上部署了三塊安全業務板,同時希望設備整體上行最大帶寬為30000kbps,這時需要在帶寬通道中設置上行最大帶寬為10000kbps。
在配置帶寬管理策略之前,需完成以下任務:
· 配置時間段(請參見“ACL和QoS配置指導”中的“時間段”)。
· 配置IP地址對象組和服務對象組(請參見“安全配置指導”中的“對象組”)。
· 配置應用(請參見“安全配置指導”中的“APR”)。
· 配置用戶和用戶組(請參見“安全配置指導”中的“用戶身份識別與管理”)。
· 配置安全域(請參見“安全配置指導”中的“安全域”)。
帶寬管理配置任務如下:
(1) 配置帶寬通道
¡ 創建帶寬通道
¡ 配置帶寬限流參數
¡ (可選)配置帶寬檢測參數
¡ (可選)重命名帶寬通道
(2) 配置帶寬策略規則
¡ 創建帶寬策略規則
¡ (可選)配置帶寬策略規則生效時間
(3) (可選)管理和維護帶寬策略規則
¡ 複製帶寬策略規則
¡ 移動帶寬策略規則
¡ 禁用帶寬策略規則
(4) (可選)激活帶寬策略規則加速功能
(5) (可選)開啟IPv6全數據流帶寬管理功能
(6) (可選)開啟使用NAT源/目的地址轉換後的報文信息匹配帶寬策略功能
(7) (可選)開啟帶寬管理的出接口限速功能
(8) (可選)開啟帶寬管理統計功能
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 創建帶寬通道,並進入帶寬通道視圖。
profile name profile-name
帶寬通道通過定義實施帶寬管理的對象所能夠使用的帶寬資源來實現帶寬管理,它被帶寬策略規則引用後才會生效。
每IP最大帶寬、每用戶最大帶寬和最大帶寬動態均分功能三種控製方式不能同時存在,會相互替換,最後一次配置的控製方式生效。
每IP保證帶寬與每用戶保證帶寬兩種控製方式不能同時存在,會相互替換,最後一次配置的控製方式生效。
對於指定每用戶的控製方式,需要保證引用本帶寬通道的帶寬策略規則中配置了作為帶寬策略規則過濾條件的用戶或用戶組,否則每用戶的控製方式不生效。
對於指定每IP的控製方式,需要保證引用本帶寬通道的帶寬策略規則中配置了作為帶寬策略規則過濾條件的IP地址或地址對象組,否則每IP的控製方式不生效,此時會有以下情況:
· 帶寬策略規則中配置了源IP地址或源IP地址對象組:設備根據源IP地址對流量進行控製。
· 帶寬策略規則中配置了目的IP地址或目的IP地址對象組:設備根據目的IP地址對流量進行控製。
· 帶寬策略規則中同時配置了源和目的IP地址(包含地址對象組):設備根據源IP地址對流量進行控製。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬通道視圖。
profile name profile-name
(4) 配置每規則的保證帶寬和最大帶寬。
bandwidth { downstream | total | upstream } { guaranteed | maximum } bandwidth-value
缺省情況下,未配置帶寬通道的保證帶寬和最大帶寬。
請保證最大帶寬不小於保證帶寬。
如需開啟最大帶寬的動態均分功能,則必須配置每規則的最大帶寬。
(5) 配置每IP或每用戶的保證帶寬和最大帶寬。
bandwidth { downstream | total | upstream | } { guaranteed | maximum } { per-ip | per-user } bandwidth-value
缺省情況下,未配置每IP或每用戶的保證帶寬和最大帶寬。
(6) 配置每IP每月的流量使用上限值。
bandwidth total traffic-quota per-ip monthly quota-value
缺省情況下,未配置每IP每月的流量使用上限值,即不對流量進行限製。
(7) 開啟最大帶寬動態均分功能。
bandwidth average enable
缺省情況下,最大帶寬動態均分功能處於關閉狀態。
(8) 配置帶寬通道的TCP最大報文段長度。
tcp mss mss-value
缺省情況下,未配置帶寬通道的TCP最大報文段長度。
(9) 配置連接數限製參數。
¡ 配置最大連接數。
connection-limit count { per-rule | per-ip | per-user } connection-number
缺省情況下,未配置最大連接數。
¡ 配置最大新建連接速率。
connection-limit rate { per-rule | per-ip | per-user } connection-rate
缺省情況下,未配置最大新建連接速率。
(10) 配置優先級參數。
¡ 配置流量優先級。
traffic-priority priority-value
缺省情況下,流量優先級為1。
¡ 重標記報文的DSCP優先級。
remark dscp dscp-value
缺省情況下,不修改報文的DSCP優先級。
開啟帶寬檢測功能後,設備可基於IP地址對進入帶寬通道的流量進行實時的帶寬閾值(包括最大值和最小值)檢測。當帶寬超過配置的閾值時,設備將以快速日誌輸出的方式向用戶發送日誌進行告警。
設備支持配置如下類型的帶寬閾值:
· 靜態帶寬閾值:用戶手工配置的固定帶寬閾值,包括靜態帶寬閾值上限和靜態帶寬閾值下限。
· 動態帶寬閾值:設備自動學習到的帶寬閾值。在尚未了解網絡正常流量大小的情況下,用戶很難正確配置固定的帶寬閾值上下限。可通過使用動態帶寬閾值學習功能,讓設備對正常網絡環境下的流量進行統計,得出平均帶寬值,並將此平均帶寬值分別乘以最小和最大容忍度,分別得到動態帶寬閾值的上下限。用戶可到Web界麵中的“策略 > 帶寬管理 > 帶寬通道 > 帶寬閾值學習”查看學習結果。
當設備上配置了靜態帶寬閾值並開啟動態帶寬閾值學習功能時,設備將做出如下判斷:
· 如果已經通過動態閾值學習功能學習到了帶寬平均值,則將動態帶寬閾值上下限作為帶寬檢測閾值。
· 如果尚未通過動態閾值學習功能學習到帶寬平均值,則將配置的靜態帶寬閾值上下限作為帶寬檢測閾值。
如果要開啟每IP帶寬檢測功能,需要保證引用本帶寬通道的帶寬策略規則中配置了作為帶寬策略規則過濾條件的IP地址或地址對象組,否則每IP帶寬檢測功能不生效。
帶寬策略規則中配置的IP地址或地址對象組不同,會有以下情況:
· 帶寬策略規則中配置了源IP地址或源IP地址對象組:設備根據源IP地址對流量進行檢測。
· 帶寬策略規則中配置了目的IP地址或目的IP地址對象組:設備根據目的IP地址對流量進行檢測。
· 帶寬策略規則中同時配置了源和目的IP地址(包含地址對象組):設備根據源IP地址對流量進行檢測。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬通道視圖。
profile name profile-name
(4) 開啟每IP帶寬檢測功能。
per-ip bandwidth-threshold-detect enable
缺省情況下,每IP帶寬閾值檢測功能處於關閉狀態。
(5) 配置靜態每IP帶寬閾值。
¡ 配置靜態每IP帶寬閾值上限值。
per-ip bandwidth-threshold max-value max-value
缺省情況下,未配置靜態每IP帶寬閾值上限值。
¡ 配置靜態每IP帶寬閾值下限值。
per-ip bandwidth-threshold min-value min-value
缺省情況下,未配置靜態每IP帶寬閾值下限值。
(6) 配置動態每IP帶寬閾值。
a. 開啟每IP動態帶寬閾值學習功能。
per-ip bandwidth-threshold-learn enable
缺省情況下,每IP動態帶寬閾值學習功能處於關閉狀態。
b. 配置每IP動態帶寬閾值學習時長。
per-ip bandwidth-threshold-learn duration duration-value
缺省情況下,每IP動態帶寬閾值學習時長為1440分鍾。
建議學習時長設置大於1440分鍾(24小時),以確保設備學習到一整天的流量。如果在學習過程中修改了該值,係統將會以新的時長為準重新進行學習。
c. 配置每IP動態帶寬閾值學習最大容忍度。
per-ip bandwidth-threshold-learn tolearnce max-value max-value
缺省情況下,未配置每IP動態帶寬閾值學習最大容忍度。
d. 配置每IP動態帶寬閾值學習最小容忍度。
per-ip bandwidth-threshold-learn tolearnce min-value min-value
缺省情況下,未配置每IP動態帶寬閾值學習最小容忍度。
多個帶寬策略規則引用同一個帶寬通道的方式,包括如下兩種:
· 策略獨占:表示與帶寬策略規則匹配成功的流量,獨享帶寬通道中的帶寬限製和連接數限製。
· 策略共享:表示與多條帶寬策略規則匹配成功的多條流量,共享帶寬通道中的帶寬限製和連接數限製。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 並進入帶寬通道視圖。
profile name profile-name
(4) 配置帶寬通道的引用方式。
profile reference-mode { per-rule | rule-shared }
缺省情況下,帶寬通道的引用方式為策略獨占。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 重命名帶寬通道。
profile rename old-name new-name
一個帶寬策略中可以創建多個帶寬策略規則,這些規則可以獨立定義,也可以繼承其它規則。繼承其他帶寬策略規則是通過在創建帶寬策略規則時為其指定父帶寬策略規則實現的。在父帶寬策略規則和子帶寬策略規則中均可以引用帶寬通道。
第四級帶寬策略規則不能再作為父帶寬策略規則。
隻能在創建帶寬策略規則時指定帶寬策略規則的父帶寬策略規則,不能為已存在的帶寬策略規則添加或修改父帶寬策略規則。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 創建帶寬策略規則,並進入該帶寬策略規則視圖。
rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬策略規則視圖。請選擇其中一項進行配置。
¡ rule rule-id
¡ rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(4) 配置作為帶寬策略規則過濾條件的安全域。
¡ 配置作為帶寬策略規則過濾條件的目的安全域。
destination-zone destination-zone-name
¡ 配置作為帶寬策略規則過濾條件的源安全域。
source-zone source-zone-name
缺省情況下,未配置作為帶寬策略規則過濾條件的安全域。
(5) 配置作為帶寬策略規則過濾條件的IP地址。
¡ 配置作為帶寬策略規則過濾條件目的IP地址。
destination-ip { ipv4 { host ip-address | range ip-address1 ip-address2 | subnet ip-address { mask-length | mask } } | ipv6 { host ipv6-address | range ipv6-address1 ipv6-address2 | subnet { ipv6-address prefix-length | ipv6-address/prefix-length } } }
¡ 配置作為帶寬策略規則過濾條件的源IP地址。
source-ip { ipv4 { host ip-address | range ip-address1 ip-address2 | subnet ip-address { mask-length | mask } } | ipv6 { host ipv6-address | range ipv6-address1 ipv6-address2 | subnet { ipv6-address prefix-length | ipv6-address/prefix-length } } }
缺省情況下,未配置作為帶寬策略規則過濾條件的IP地址。
(6) 配置作為帶寬策略規則過濾條件的地址對象組。
¡ 配置作為帶寬策略規則過濾條件目的IP地址對象組。
destination-address address-set object-group-name
¡ 配置作為帶寬策略規則過濾條件的源IP地址對象組。
source-address address-set object-group-name
缺省情況下,未配置作為帶寬策略規則過濾條件的地址對象組。
(7) 配置作為帶寬策略規則過濾條件的服務。
service object-group-name
缺省情況下,未配置作為帶寬策略規則過濾條件的服務。
(8) 配置作為帶寬策略規則過濾條件的應用。
application { app application-name | app-group application-group-name }
缺省情況下,未配置作為帶寬策略規則過濾條件的應用。
(9) 配置作為帶寬策略規則過濾條件的用戶和用戶組。
¡ 配置作為帶寬策略規則過濾條件的用戶。
user user-name [ domain domain-name ]
¡ 配置作為帶寬策略規則過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置作為帶寬策略規則過濾條件的用戶和用戶組。
(10) 配置作為帶寬策略規則過濾條件的DSCP優先級。
dscp dscp-value
缺省情況下,未配置作為帶寬策略規則過濾條件的DSCP優先級。
(11) 配置作為帶寬策略規則過濾條件的IPv6報文信息。
¡ 配置作為帶寬策略規則過濾條件的IPv6報文頭流標簽。
ipv6 flow-label { nonzero | zero }
缺省情況下,未配置作為帶寬策略規則過濾條件的IPv6報文頭流標簽。
¡ 配置作為帶寬策略規則過濾條件的IPv6擴展報文頭。
ipv6 extension-header { authentication | destination | encapsulating | fragment | hop-by-hop | routing }
缺省情況下,未配置作為帶寬策略規則過濾條件的IPv6擴展報文頭。
(12) 配置作為帶寬策略規則過濾條件的無線相關參數。
¡ 配置作為帶寬策略規則過濾條件的SSID。
wlan ssid ssid-name
缺省情況下,未配置作為帶寬策略規則過濾條件的SSID。
¡ 配置作為帶寬策略規則過濾條件的User Profile。
wlan user-profile profile-name
缺省情況下,未配置作為帶寬策略規則過濾條件的User Profile。
(13) 配置作為帶寬策略規則過濾條件的終端和終端組。
¡ 配置作為帶寬策略規則過濾條件的終端。
terminal terminal-name
¡ 配置作為帶寬策略規則過濾條件的終端組。
terminal-group group-name
缺省情況下,未配置作為帶寬策略規則過濾條件的終端和終端組。
(14) 配置入接口指定VPN實例作為帶寬策略規則的過濾條件。
vrf vrf-name
缺省情況下,帶寬策略規則對公網和所有VPN實例的報文有效。
如果流量成功匹配了某個帶寬策略規則,則設備將會根據該帶寬策略規則中指定的動作對此流量進行控製和管理,即按照引用的帶寬通道對此流量進行限流。
子規則引用的帶寬通道中的最大帶寬不能大於父規則引用的帶寬通道中的最大帶寬。
父規則引用的帶寬通道中的保證帶寬不能小於子規則引用的帶寬通道中的保證帶寬。
子規則與父規則不能引用同一個帶寬通道。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬策略規則視圖。請選擇其中一項進行配置。
¡ rule rule-id
¡ rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(4) 配置帶寬策略規則中的動作。
action { deny | none | qos profile profile-name }
缺省情況下帶寬策略規則為限流,但未引用帶寬通道。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬策略規則視圖。請選擇其中一項進行配置。
¡ rule rule-id
¡ rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(4) 配置帶寬策略規則的生效時間。
time-range time-range-name
缺省情況下,帶寬策略規則在任何時間下都生效。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 複製帶寬策略規則。
rule copy rule-name new-rule-name
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 重命名帶寬策略規則。
rule rename old-rule-name new-rule-name
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 移動帶寬策略規則的排列順序。
rule move rule-name1 { after | before } rule-name2
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 進入帶寬策略規則視圖。請選擇其中一項進行配置。
¡ rule rule-id
¡ rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(4) 禁用帶寬策略規則。
disable
缺省情況下,帶寬策略規則處於開啟狀態。
激活帶寬策略規則的加速功能可以使因新增、刪除、修改或移動而發生變化的帶寬策略規則生效。激活帶寬策略規則的加速功能包括如下方式:
· 手動激活:是指帶寬策略規則發生變化後,手動執行acceleration activate命令使這些規則立即加速。
· 自動激活:是指係統按照固定時間間隔進行周期性判斷是否需要帶寬策略規則加速,在一個時間間隔內若帶寬策略規則發生變化,則間隔時間到達後會進行帶寬策略規則加速,否則,不會進行加速。當帶寬策略規則小於等於100條時,此時間間隔為2秒;當帶寬策略規則大於100條時,此時間間隔為20秒。這種方式能夠避免因忘記手動激活規則而導致新增或修改規則不生效的問題。
為使發生變化後的帶寬策略規則對報文進行匹配,必須激活帶寬策略規則的加速功能。
激活帶寬策略規則加速功能時,內存資源不足會導致帶寬策略規則加速失敗。加速失敗後,變化後的帶寬策略規則不生效,設備繼續使用原來的帶寬策略規則進行快速匹配。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 激活帶寬策略規則加速功能。
acceleration activate
缺省情況下,帶寬管理僅對四層協議為TCP、UDP、ICMP和ICMPv6協議的數據流生效。開啟本功能後,對於IPv4流量無影響。對於IPv6流量,帶寬管理功能對所有四層協議的數據流均生效。本功能可以用來配置帶寬管理功能管控數據流的範圍,實現按需配置。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 開啟IPv6全數據流帶寬管理功能。
all-traffic-control enable
缺省情況下,IPv6全數據流帶寬管理功能處於關閉狀態。
當需要實施帶寬管理的目標報文流在設備上進行了NAT源/目的地址轉換,開啟本功能後,帶寬策略使用報文經過NAT源/目的地址轉換後的IP地址、服務端口號及VRF匹配帶寬策略過濾條件。如需控製NAT源/目的轉換前的目標報文流的帶寬,請關閉本功能。
當需要實施帶寬管理的目標報文流在設備上未進行NAT源/目的地址轉換時,不需要開啟本功能。有關NAT的詳細介紹,請參見“NAT配置指導”中的“NAT”。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 開啟使用NAT源地址轉換後的報文信息匹配帶寬策略功能。
source-matching after-nat
缺省情況下,係統使用NAT源地址轉換前的報文信息匹配帶寬策略。
(4) 開啟使用NAT目的地址轉換後的報文信息匹配帶寬策略功能。
destination-matching after-nat
缺省情況下,係統使用NAT目的地址轉換前的報文信息匹配帶寬策略。
帶寬管理出接口限速功能用於對設備出接口發送的流量進行限速。開啟本功能後,帶寬管理才會使用出接口上配置的期望帶寬(即在接口視圖下執行bandwidth命令)對其發送的全部流量進行限速。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 開啟帶寬管理的出接口限速功能。
bandwidth-limit output-interface enable
缺省情況下,帶寬管理的出接口限速功能處於開啟狀態。
開啟帶寬管理相關統計功能後,設備才能對其相關的數據進行統計。設備支持如下帶寬管理統計功能:
· 流量統計功能:帶寬管理業務將對匹配帶寬策略規則的流量進行統計,統計信息可通過display traffic-policy statistics bandwidth命令查看。
· 連接數限製統計功能:帶寬管理業務將對匹配帶寬策略規則的連接數限製信息進行統計,統計信息可通過display traffic-policy statistics connection-limit命令查看。
· 規則命中統計功能:帶寬管理業務將對帶寬策略規則的命中情況進行統計,統計信息可通過display traffic-policy statistics rule-hit命令查看。
開啟統計功能將對設備處理性能產生影響,建議僅在需要查看統計信息時開啟。
(1) 進入係統視圖。
system-view
(2) 進入帶寬策略視圖。
traffic-policy
(3) 開啟帶寬管理統計功能。
¡ 開啟帶寬管理流量統計功能。
statistics bandwidth enable
缺省情況下,帶寬管理流量統計功能處於關閉狀態。
¡ 開啟帶寬管理連接數限製統計功能。
statistics connection-limit enable
缺省情況下,帶寬管理連接數限製統計功能處於關閉狀態。
¡ 開啟帶寬管理規則命中統計功能。
statistics rule-hit enable
缺省情況下,帶寬管理規則命中統計功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後帶寬管理的運行情況,以及帶寬管理處理業務的統計信息。
表1-1 帶寬管理顯示和維護
|
操作 |
命令 |
|
顯示帶寬管理的流量統計信息 |
display traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ slot slot-number ] |
|
顯示帶寬管理的連接數限製統計信息 |
display traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ slot slot-number ] |
|
顯示帶寬策略規則的命中統計信息 |
display traffic-policy statistics rule-hit [ [ beyond beyond-number ] | [ rule rule-name ] ] [ slot slot-number ] |
|
清除帶寬管理的流量統計信息 |
reset traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ slot slot-number ] |
|
清除帶寬管理的連接數限製統計信息 |
reset traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ slot slot-number ] |
|
清除帶寬策略規則被命中次數的統計信息 |
reset traffic-policy statistics rule-hit [ rule rule-name ] [ slot slot-number ] |
內網主機通過Device與外網相連,通過在Device上配置帶寬管理功能,實現當內網流量的出口發生擁塞時優先保證FTP業務的需求。具體要求如下:
· 限製內網用戶,訪問外網愛奇藝(iQiYiPPS)應用流量的上行最大帶寬和下行最大帶寬均為30720kbps。
· 保證內網用戶,訪問外網FTP應用流量的上行保證帶寬和下行保證帶寬均為30720kbps。
· 限製外網出接口的最大帶寬為102400kbps。
圖1-2 單通道模式帶寬管理配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例假設設備Device到達外網服務器3.1.1.2/24的下一跳為20.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 3.1.1.2 24 20.1.1.2
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網主機可以訪問Internet,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.2
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置帶寬通道
# 創建名為aiqiyi的帶寬通道,配置該帶寬通道的上/下行最大帶寬均為30720kbps。
[Device] traffic-policy
[Device-traffic-policy] profile name aiqiyi
[Device-traffic-policy-profile-aiqiyi] bandwidth upstream maximum 30720
[Device-traffic-policy-profile-aiqiyi] bandwidth downstream maximum 30720
[Device-traffic-policy-profile-aiqiyi] quit
# 創建名為profileftp的帶寬通道,配置該帶寬通道的上/下行保證帶寬均為30720kbps。
[Device-traffic-policy] profile name profileftp
[Device-traffic-policy-profile-profileftp] bandwidth upstream guaranteed 30720
[Device-traffic-policy-profile-profileftp] bandwidth downstream guaranteed 30720
[Device-traffic-policy-profile-profileftp] quit
[Device-traffic-policy] quit
(6) 配置出接口的最大帶寬
# 配置接口GigabitEthernet1/0/2的期望帶寬為102400kbps。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] bandwidth 102400
[Device-GigabitEthernet1/0/2] quit
(7) 升級APR特征庫到最新版本。
(8) 配置帶寬策略規則
# 創建名為aiqiyi的帶寬策略規則,在帶寬策略中引用預定義應用iQiYiPPS,配置帶寬策略的動作為限流並引用帶寬通道aiqiyi。
[Device] traffic-policy
[Device-traffic-policy] rule name aiqiyi
[Device-traffic-policy-rule-1-aiqiyi] application app iQiYiPPS
[Device-traffic-policy-rule-1-aiqiyi] action qos profile aiqiyi
[Device-traffic-policy-rule-1-aiqiyi] quit
# 創建名為ruleftp的帶寬策略規則,在帶寬策略中引用預定義應用ftp,配置帶寬策略規則動作為限流並引用帶寬通道profileftp。
[Device-traffic-policy] rule name ruleftp
[Device-traffic-policy-rule-2-ruleftp] application app ftp
[Device-traffic-policy-rule-2-ruleftp] action qos profile profileftp
[Device-traffic-policy-rule-2-ruleftp] quit
[Device-traffic-policy] quit
配置完成後,當出接口GigabitEthernet1/0/2的流量達到102400kbps後,愛奇藝應用的流量最大隻能達到30720kbps,FTP應用的流量能夠保證最少達到30720kbps。
內網主機通過Device與外網相連,通過在Device上配置帶寬管理功能,實現當內網流量發生擁塞時優先保證FTP業務的需求。具體要求如下:
· 限製內網用戶,訪問外網愛奇藝(iQiYiPPS)應用流量的上行最大帶寬和下行最大帶寬均為30720kbps。
· 保證內網用戶,訪問外網FTP應用流量的上行保證帶寬和下行保證帶寬均為30720kbps。
· 限製內網用戶的最大帶寬為40960kbps。
圖1-3 父子通道模式帶寬管理配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例假設設備Device到達外網服務器3.1.1.2/24的下一跳為20.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 3.1.1.2 24 20.1.1.2
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略。
# 配置名稱為trust-untrust的安全策略規則,使內網Host訪問外網Internet的報文可通,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.2
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置帶寬通道
# 創建名為profile的帶寬通道,配置該帶寬通道的上/下行最大帶寬為40960kbps。
[Device] traffic-policy
[Device-traffic-policy] profile name profile
[Device-traffic-policy-profile-profile] bandwidth upstream maximum 40960
[Device-traffic-policy-profile-profile] bandwidth downstream maximum 40960
[Device-traffic-policy-profile-profile] quit
# 創建名為aiqiyi的帶寬通道,配置該帶寬通道的上/下行最大帶寬為30720kbps。
[Device-traffic-policy] profile name aiqiyi
[Device-traffic-policy-profile-aiqiyi] bandwidth upstream maximum 30720
[Device-traffic-policy-profile-aiqiyi] bandwidth downstream maximum 30720
[Device-traffic-policy-profile-aiqiyi] quit
# 創建名為profileftp的帶寬通道,配置該帶寬通道的上/下行保證帶寬為30720kbps。
[Device-traffic-policy] profile name profileftp
[Device-traffic-policy-profile-profileftp] bandwidth upstream guaranteed 30720
[Device-traffic-policy-profile-profileftp] bandwidth downstream guaranteed 30720
[Device-traffic-policy-profile-profileftp] quit
(6) 升級APR特征庫到最新版本。
(7) 配置帶寬策略
# 創建名為rule的帶寬策略規則,引用帶寬通道profile,配置帶寬策略規則的動作為限流。
[Device-traffic-policy] rule name rule
[Device-traffic-policy-rule-1-rule] action qos profile profile
[Device-traffic-policy-rule-1-rule] quit
# 創建名為aiqiyi的帶寬策略規則,指定該帶寬策略的父規則為rule,引用預定義應用iQiYiPPS,帶寬通道aiqiy,配置該帶寬策略的動作為限流。
[Device-traffic-policy] rule name aiqiyi parent rule
[Device-traffic-policy-rule-2-aiqiyi] application app iQiYiPPS
[Device-traffic-policy-rule-2-aiqiyi] action qos profile aiqiyi
[Device-traffic-policy-rule-2-aiqiyi] quit
# 創建名為ruleftp的帶寬策略規則,指定該帶寬策略的父規則為rule,引用預定義應用ftp,帶寬通道profileftp,配置該帶寬策略的動作為限流。
[Device-traffic-policy] rule name ruleftp parent rule
[Device-traffic-policy-rule-3-ruleftp] application app ftp
[Device-traffic-policy-rule-3-ruleftp] action qos profile profileftp
[Device-traffic-policy-rule-3-ruleftp] quit
[Device-traffic-policy] quit
以上配置完成後,內網用戶的實際流量會限製在40960kbps,並且愛奇藝流量被限製在30720kbps;當網絡發生擁塞時,FTP業務基本不受影響。
內網有兩個用戶組,分別為教師組teacher和學生組student。teacher組有教師2名,student組有學生5名。通過在Device上配置帶寬管理功能,實現基於用戶進行限速帶寬管理的功能。具體需求如下:
· 學生組student1~student5的IP地址依次為10.1.1.2/24~10.1.1.6/24;教師組teacher1~teacher2的IP地址依次為10.1.1.21/24~10.1.1.22/24。
· 每個教師綁定一個IP地址,上行和下行均限速10000kbps,每用戶的最大連接數不超過10000。教師使用的帶寬通道轉發優先級為較低。
· 每個學生綁定一個IP地址,上行和下行均限速2000kbps,每用戶的最大連接數不超過10000。學生使用的帶寬通道轉發優先級為最低。
圖1-4 基於用戶限速帶寬管理配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例假設設備Device到達外網服務器3.1.1.2/24的下一跳為20.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 3.1.1.2 24 20.1.1.2
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略。
# 配置名稱為trust-untrust的安全策略規則,使內網Host訪問外網Internet的報文可通,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.2
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.3
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.4
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.5
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.6
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.21
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.22
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 創建網絡類本地接入用戶
# 創建名為student1的本地接入用戶並設置密碼。
[Device] local-user student1 class network
[Device-luser-network-student1] password simple student
# 指定用戶student1可以使用的服務類型為IKE、Portal以及SSL VPN。
[Device-luser-network-student1] service-type ike
[Device-luser-network-student1] service-type portal
[Device-luser-network-student1] service-type sslvpn
[Device-luser-network-student1] quit
# 創建學生用戶student2~student5,密碼均為student;教師用戶teacher1、teacher2,密碼均為teacher。教師用戶和學生用戶可用服務均為IKE、Portal、SSL VPN。(具體配置步驟請參考上述學生用戶student1的配置步驟)
# 創建名為student的用戶組,並添加身份識別成員學生用戶student1~student5。
[Device] user-group student
[Device-ugroup-student] identity-member user student1
[Device-ugroup-student] identity-member user student2
[Device-ugroup-student] identity-member user student3
[Device-ugroup-student] identity-member user student4
[Device-ugroup-student] identity-member user student5
[Device-ugroup-student] quit
# 創建名為teacher的用戶組,並添加身份識別成員教師用戶teacher1和teacher2。
[Device] user-group teacher
[Device-ugroup-teacher] identity-member user teacher1
[Device-ugroup-teacher] identity-member user teacher2
[Device-ugroup-teacher] quit
# 創建靜態類型的身份識別用戶並開啟身份識別功能
[Device] user-identity static-user student1 bind ipv4 10.1.1.2
[Device] user-identity static-user student2 bind ipv4 10.1.1.3
[Device] user-identity static-user student3 bind ipv4 10.1.1.4
[Device] user-identity static-user student4 bind ipv4 10.1.1.5
[Device] user-identity static-user student5 bind ipv4 10.1.1.6
[Device] user-identity static-user teacher1 bind ipv4 10.1.1.21
[Device] user-identity static-user teacher2 bind ipv4 10.1.1.22
[Device] user-identity enable
(6) 配置帶寬通道
# 創建名為profile-teacher的帶寬通道,配置該帶寬通道上/下行最大帶寬均為10000kbps、每用戶的最大連接數為10000,轉發流量優先級為較低(2)。
[Device] traffic-policy
[Device-traffic-policy] profile name profile-teacher
[Device-traffic-policy-profile-profile-teacher] bandwidth upstream maximum per-user 10000
[Device-traffic-policy-profile-profile-teacher] bandwidth downstream maximum per-user 10000
[Device-traffic-policy-profile-profile-teacher] connection-limit count per-user 10000
[Device-traffic-policy-profile-profile-teacher] traffic-priority 2
[Device-traffic-policy-profile-profile-teacher] quit
# 創建名為profile-student的帶寬通道,配置該帶寬通道的上/下行最大帶寬均為2000kbps、每用戶的最大連接數為10000、轉發流量優先級為最低(1)。
[Device-traffic-policy] profile name profile-student
[Device-traffic-policy-profile-profile-student] bandwidth upstream maximum per-user 2000
[Device-traffic-policy-profile-profile-student] bandwidth downstream maximum per-user 2000
[Device-traffic-policy-profile-profile-student] connection-limit count per-user 10000
[Device-traffic-policy-profile-profile-student] traffic-priority 1
[Device-traffic-policy-profile-profile-student] quit
(7) 配置帶寬策略
# 創建名為rule-teacher的帶寬策略規則,指定該帶寬策略匹配報文的用戶組為teacher,引用帶寬通道profile-teacher,配置動作為限流。
[Device-traffic-policy] rule name rule-teacher
[Device-traffic-policy-rule-1-rule-teacher] user-group teacher
[Device-traffic-policy-rule-1-rule-teacher] action qos profile profile-teacher
[Device-traffic-policy-rule-1-rule-teacher] quit
# 創建名為rule-student的帶寬策略規則,指定該帶寬策略匹配報文的用戶組為student,引用帶寬通道profile-student,配置動作為限流。
[Device-traffic-policy] rule name rule-student
[Device-traffic-policy-rule-2-rule-student] user-group student
[Device-traffic-policy-rule-2-rule-student] action qos profile profile-student
[Device-traffic-policy-rule-2-rule-student] quit
[Device-traffic-policy] quit
以上配置完成後,可以實現基於用戶進行限速的功能。兩位教師限速均為10000kbps,每位學生限速為2000kbps,且會話新建連接數都會受到限製。
某公司內網主機通過Device與外網相連,該公司擁有公網IP地址202.38.1.2/24。內網主機經過NAT源地址轉換後,使用公網IP地址202.38.1.2/24訪問Internet。公司希望通過NAT源轉換後的公網IP地址限製內網所有主機訪問外網愛奇藝(iQiYiPPS)應用流量的總帶寬不超過10240kbps。
圖1-5 對NAT源地址轉換後的報文流進行帶寬管理配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 24
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例假設設備Device到達外網服務器3.1.1.2/24的下一跳為202.38.1.3,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 3.1.1.2 24 202.38.1.3
(4) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網Host訪問外網Internet的報文可通,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置NAT功能
# 配置NAT地址組0,包含外網地址202.38.1.2。
[Device] nat address-group 0
[Device-address-group-0] address 202.38.1.2 202.38.1.2
[Device-address-group-0] quit
# 配置ACL 2000,允許對內部網絡中的用戶報文進行地址轉換。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 在接口GigabitEthernet1/0/2上配置出方向動態地址轉換,允許使用地址組0中的地址對出接口的報文進行源地址轉換,並在轉換過程中使用端口信息。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 0
[Device-GigabitEthernet1/0/2] quit
(6) 配置地址對象組
# 配置地址對象組obj1,包含外網地址202.38.1.2。
[Device] object-group ip address obj1
[Device-obj-grp-ip-obj1] network host address 202.38.1.2
[Device-obj-grp-ip-obj1] quit
(7) 配置帶寬通道
# 配置名為aiqiyi的帶寬通道,配置該帶寬通道總帶寬的最大帶寬為10240kbps。
[Device] traffic-policy
[Device-traffic-policy] profile name aiqiyi
[Device-traffic-policy-profile-aiqiyi] bandwidth total maximum 10240
[Device-traffic-policy-profile-aiqiyi] quit
(8) 升級APR特征庫到最新版本。
(9) 配置帶寬策略
# 配置名為aiqiyi的帶寬策略,指定地址對象組obj1匹配報文源地址,配置帶寬策略的動作為限流並引用帶寬通道aiqiyi。
[Device-traffic-policy] rule name aiqiyi
[Device-traffic-policy-rule-1-aiqiyi] source-address address-set obj1
[Device-traffic-policy-rule-1-aiqiyi] application app aiqiyi
[Device-traffic-policy-rule-1-aiqiyi] action qos profile aiqiyi
[Device-traffic-policy-rule-1-aiqiyi] quit
# 開啟使用NAT源地址轉換後的報文信息匹配帶寬策略功能,實現內網所有主機訪問外網愛奇藝(iQiYiPPS)應用流量的總帶寬不超過10240kbps。
[Device-traffic-policy] source-matching after-nat
[Device-traffic-policy] quit
配置完成後,內網所有用戶訪問外網愛奇藝(iQiYiPPS)應用流量的總帶寬不超過10240kbps。
某公司內部對外提供FTP服務,公司內網地址為192.168.1.0/24。其中內網FTP服務器的地址為192.168.1.2/24,該公司擁有公網IP地址202.38.1.1/24,並以此地址作為公司對外服務的IP地址。公司希望通過對NAT目的地址轉換後的流量進行控製,實現外網所有用戶訪問內網FTP服務器的總下行保證帶寬為30720kbps。
圖1-6 對NAT目的地址轉換後的報文流進行帶寬管理配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 24
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例假設設備Device到達外網主機3.1.1.2/24的下一跳為202.38.1.3,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 3.1.1.2 24 202.38.1.3
(4) 配置安全策略
# 配置名稱為untrust-trust的安全策略,保證Untrust安全域中的Host可以訪問Trust安全域中的Server,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-1-untrust-trust] source-zone untrust
[Device-security-policy-ip-1-untrust-trust] destination-zone trust
[Device-security-policy-ip-1-untrust-trust] destination-ip-host 192.168.1.2
[Device-security-policy-ip-1-untrust-trust] action pass
[Device-security-policy-ip-1-untrust-trust] quit
[Device-security-policy-ip] quit
(5) 配置NAT功能
# 配置內部FTP服務器,允許外網主機使用地址202.38.1.1、端口號21訪問內網FTP服務器。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 21 inside 192.168.1.2 ftp
(6) 配置地址對象組
# 配置地址對象組obj1,包含內網FTP服務器的地址192.168.1.2。
[Device] object-group ip address obj1
[Device-obj-grp-ip-obj1] network host address 192.168.1.2
[Device-obj-grp-ip-obj1] quit
(7) 配置帶寬通道
# 創建名為ftp的帶寬通道,配置該帶寬通道的下行保證帶寬為30720kbps。
[Device] traffic-policy
[Device-traffic-policy] profile name ftp
[Device-traffic-policy-profile-ftp] bandwidth downstream guaranteed 30720
[Device-traffic-policy-profile-ftp] quit
(8) 配置帶寬策略
# 創建名為ftp的帶寬策略規則,指定地址對象組obj1匹配報文目的地址,配置帶寬策略的動作為限流並引用帶寬通道ftp。
[Device-traffic-policy] rule name ftp
[Device-traffic-policy-rule-1-ftp] destination-address address-set obj1
[Device-traffic-policy-rule-1-ftp] application app ftp
[Device-traffic-policy-rule-1-ftp] application app ftp-data
[Device-traffic-policy-rule-1-ftp] action qos profile ftp
[Device-traffic-policy-rule-1-ftp] quit
[Device-traffic-policy] quit
# 開啟使用NAT目的地址轉換後的報文信息匹配帶寬策略功能,實現外網所有用戶訪問內網FTP服務器的總下行保證帶寬為30720kbps。
[Device] traffic-policy
[Device-traffic-policy] destination-matching after-nat
[Device-traffic-policy] quit
以上配置完成後,外網用戶訪問公司內網FTP服務器的下行保證帶寬為30720kbps。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
