SecPath ACG1000 版本6616P02,如何配置對內網用戶的限速

1.4  組網需求

如圖1所示，某公司內網辦公網段IP地址為192.168.3.0/24，其中預留IP地址192.168.3.112給財務PC使用。使用設備的ge2和ge3接口作為透明橋，串接部署在網絡中，在設備上啟用QoS功能。具體應用需求如下：

·     將設備的ge3接口的上行流速和下行流速均限製為8Mbps。

·     針對辦公網段用戶，限製其上下行流速均為6Mbps，保障其上下行流速均不小於4Mbps，該策略生效時間為每周一至每周五的9:00-18:00。

·     針對辦公網段用戶的HTTP網頁瀏覽和HTTP網頁圖片瀏覽/下載兩個應用，限製其上下行流速均為5Mbps，保障其上下行流速均不小於3Mbps，該策略生效時間為每周一至每周五的9:00-18:00。

·     針對辦公網段用戶的各種P2P軟件應用，限製其上下行流速均為1Mbps，並限製每IP的上下行流速均為500Kbps，該策略生效時間為每周一至每周五的9:00-18:00。

·     針對財務PC，不進行QoS。

·     後續公司將出口帶寬升級為20M線路，線路下的所有通道帶寬根據新的線路帶寬自適應調整通道下的帶寬。

圖1 QoS通道限速功能配置組網圖

1.5  配置思路

·     配置QoS時，首先基於接口綁定線路。

·     配置好線路後，基於線路逐級配置基於IP地址、應用和時間等其它條件的流量控製通道。

1.6  使用版本

本舉例是在R6616版本上進行配置和驗證的。

1.7  配置注意事項

·     在設備的QoS配置中，上級通道和下級通道互為父子關係，要求所有子節點的帶寬之和必須小於父節點的帶寬。在配置前，可以預先對每一層通道需要配置的帶寬進行規劃。

·     在設備的QoS配置中，保障帶寬不允許配置為空，保障帶寬最小可以設置為8kbs，如果在流控策略中中沒有保障帶寬的需求，可直接使用限製通道。

·     設備在透明部署模式下配置流量控製策略時，線路中綁定橋口或物理接口，流量控製策略均生效。

·     設備在三層部署模式下進行QoS時，線路中綁定的接口必須是三層接口，功能才能生效。另外，當使用bvi接口進行三層轉發時，QoS線路需要綁定在bvi接口上才能生效。

·     設備在子接口模式下進行QoS時，線路中綁定的接口必須在子接口上做，綁定在子接口的物理口上不生效

·     設備在聚合接口模式下進行QoS時，線路中綁定的接口必須在聚合接口上做，綁定在聚合接口的物理口上不生效。

·     流控策略（包括子通道、限製通道和排除策略）中的源目的地址不區分方向。

1.8  配置步驟

1. 配置地址對象和時間表對象

(1)     配置地址對象

如圖2所示，進入“策略配置>對象管理>地址對象>地址對象”，點擊<新建>，IP地址配置為192.168.3.0/24創建辦公網段地址對象，點擊<提交>。按照同樣的方法配置財務PC地址對象。

圖2 配置地址對象

如圖3所示，創建成功的地址對象配置如下：

圖3 地址對象配置成功

(2)     配置時間對象

如圖4所示，進入“策略配置>對象管理>時間對象>日計劃”，點擊<新建>，“開始時間”和“結束時間”配置為9:00和18:00，命名為“工作時間”，點擊<提交>。

圖4 配置日計劃時間表對象

如圖5所示，進入“策略配置>對象管理>時間對象>周計劃”，點擊<新建>，在周一到周五的下拉菜單中選擇“工作時間”，命名為“每周工作時間”，點擊<提交>。

圖5 配置周計劃時間表對象

2. 配置線路

如圖6所示，進入“策略配置>流量控製策略>流量控製”，點擊<新建>，選擇<線路>，“綁定接口”配置為ge3，“帶寬管理（出）”和“帶寬管理（入）”均配置為8Mb（這裏出和入的方向基於ge3接口），命名為“接口QoS”並點擊<提交>。

圖6 配置線路

3. 配置流量控製通道

(1)     配置辦公網段流量控製通道（1級）

如圖7所示，進入“策略配置>流量控製策略>流量控製”，使用鼠標單擊選中線路“接口QoS”，再點擊<新建>，選擇<通道>彈出配置頁麵。“級別”配置為高，在“帶寬設定”中將上下行的最大帶寬均配置為6Mb，上下行保障帶寬均配置為4Mb，“匹配條件”配置為辦公網段、“時間”配置為每周工作時間，命名為“辦公網段QoS”並點擊<提交>。

圖7 配置辦公網段流量控製通道

(2)     配置辦公網段HTTP保障流量控製通道（2級）

如圖8所示，進入“策略配置>流量控製策略>流量控製”，使用鼠標單擊選中通道辦公網段QoS，再點擊<新建>，選擇<通道>彈出配置頁麵。“級別”配置為高，在“帶寬設定”中將上下行的最大帶寬均配置為5Mb，上下行保障帶寬均配置為3Mb，在“匹配條件”中的“應用”配置為網絡協議/網頁圖片瀏覽_下載和網絡協議/網頁瀏覽(HTTP)、“時間”配置為每周工作時間，命名為“辦公網段HTTP保障”並點擊<提交>。

圖8 配置辦公網段HTTP保障流量控製通道

(3)     配置辦公網段P2P限速（限製通道）

如圖9所示，進入“策略配置>流量控製策略>流量控製”，使用鼠標單擊<新建>，選擇<限製通道>彈出配置頁麵。在“帶寬設定”中將上下行的最大帶寬均配置為1Mb，每IP限速上下行均配置為500Kb，接口選擇ge3，“匹配條件”中的“應用”配置為P2P軟件和P2P流媒體，“時間”配置為每周工作時間，命名為“辦公網段P2P限速”並點擊<提交>。

圖9 配置辦公網段P2P限速

如圖10所示，整體配置完成的流量控製通道如下：

圖10 整體流量控製通道創建成功

4. 配置QoS排除策略

如圖11所示，進入“策略配置>流量控製策略>排除策略”，點擊<新建>，“源地址”配置為財務PC，點擊<提交>。

圖11 配置QoS排除策略

5. 調整線路帶寬，線路下通道帶寬自適應

進入“策略配置>流量控製策略>流量控製”，選中線路，點擊<編輯>，修改“帶寬管理（出）”和“帶寬管理（入）”均配置為20Mb（這裏出和入的方向基於ge3接口），並點擊<提交>。

圖12 接口QoS線路修改20M

查看調整後的線路下通道帶寬如圖13所示。

圖13 調整後的線路下通道帶寬

1.9  驗證配置

(1)     驗證ge3接口流量限製效果

如圖14所示，觀察設備的首頁的實時流量統計圖，發現上行和下行流速都小於8Mbps：

圖14 設備的上下行流量統計

(2)     驗證辦公網段流量限製效果

如圖15所示，通過觀察設備的首頁的實時用戶流量統計數據，辦公網段（IP地址為192.168.3.0/24）的用戶下行流速無法超過6Mbps：

圖15 辦公網段用戶流量統計

(3)     驗證財務PC免流量限製效果

如圖16所示，使用財務PC地址192.168.3.112時，則完全不受QoS策略的影響，上下行流速可以超出QoS限製的6Mbps。

圖16 財務PC不受QoS限製