- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-流量监管典型配置指导
本章节下载: 03-流量监管典型配置指导 (400.8 KB)
目 录
流量监管TP(Traffic Policing)就是对流量进行控制,通过监督进入网络的流量速率,对超出部分的流量进行限制,使进入的流量被限制在一个合理的范围之内,以保证网络资源的合理利用。
流量监管功能可以通过对ACL的引用来实现对不同数据流的限速,在下面的例子中,将针对HTTP、语音、电子邮件业务的流量限速进行举例介绍。
图1-1 配置流量监管组网示意图
某公司网络通过专线接入Internet,上行带宽为6Mbps。网络中存在多种需要上行的数据流量,为合理利用网络资源,现要求对上行流量进行分类限速:
l HTTP流量:总上行限速为3Mbps,其中研发部25台主机分配1Mbps上行带宽,单机最大上行为128Kbps;市场部40台主机分配2Mbps上行带宽,单机最大上行为256Kbps。
l IP语音流量:研发部和市场部共55台IP电话,单台通信所需带宽为32Kbps,通常情况下,按20台IP电话同时通信计算,分配上行带宽为640Kbps,为满足可能存在的瞬时多台电话同时通信需求,按25台IP电话计算突发峰值带宽为800Kbps。
l 邮件服务器代理所有客户端向外网发送电子邮件,限制上行带宽为512Kbps。
l FTP服务器为可以通过外网对分支机构提供数据服务,限制上行的FTP的数据流量不超过1Mbps。
基于端口的流量监管功能使用ACL来进行限速,即对匹配某个ACL规则的流量,为其限制指定的速率。因此,需要在接入各种数据源的设备上进行如下的配置。
l 通过高级IPv4 ACL分别匹配研发和市场部的HTTP流量,并在GigabitEthernet1/0/2端口上进行对各部门上行HTTP数据总量的限速;并配置适当的承诺突发尺寸,这里建议配置为50ms内以承诺速率通过的数据量(经计算分别为6225bytes和12450bytes)。
l 通过基本IPv4 ACL匹配IP电话的上行流量,配置突发峰值速率为800Kbps,承诺信息速率为640Kbps;
l 通过高级IPv4 ACL匹配邮件服务器发送邮件的数据(匹配SMTP协议),在GigabitEthernet1/0/3端口上进行限速;
l 通过基本IPv4 ACL匹配FTP服务器发送的数据,并在GigabitEthernet1/0/3端口上进行限速。
在接入每个主机的端口上,使用高级IPv4 ACL匹配HTTP流量,并使用该ACL进行单机上行方向的限速。由于每个端口下只连接一台主机,因此高级IPv4 ACL可以匹配源地址为一个网段,各端口引用同样的ACL即可。
配置思路与SwitchB相同,仅在限制速率上有所区别。
|
软件版本 |
|
|
S5810系列以太网交换机 |
Release 1102 |
|
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
|
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
l 对各部门上行流量的限制
# 创建高级IPv4 ACL 3000,匹配研发部发送的HTTP流量(TCP端口80)。
<SwitchA> system-view
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit tcp destination-port eq 80 source 192.168.1.0 0.0.0.255
# 在GigabitEthernet1/0/2端口上,对匹配ACL3000的报文限速为1024Kbps,承诺突发尺寸为6225bytes。
[SwitchA-acl-adv-3000] quit
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] qos car inbound acl 3000 cir 1024 cbs 6225
[SwitchA-GigabitEthernet1/0/2] quit
# 使用同样方法创建高级IPv4 ACL3001,匹配市场部发送的HTTP流量,并在GigabitEthernet1/0/2端口上限速2048Kbps,承诺突发尺寸为12450bytes。
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule permit tcp destination-port eq 80 source 192.168.2.0 0.0.0.255
[SwitchA-acl-adv-3001] quit
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] qos car inbound acl 3001 cir 2048 cbs 12450
[SwitchA-GigabitEthernet1/0/2] quit
l 对IP语音流量的限制
# 创建基本IPv4 ACL 2000,匹配IP电话发送的报文。
[SwitchA] acl number 2000
[SwitchA-acl-basic-2000] rule permit source 192.168.3.0 0.0.0.255
[SwitchA-acl-basic-2000] quit
# 在GigabitEthernet1/0/2端口上,对匹配ACL2000的报文进行流量监管,承诺速率为640Kbps,峰值速率为800Kbps。
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] qos car inbound acl 2000 cir 640 pir 800
[SwitchA-GigabitEthernet1/0/2] quit
l 对发送电子邮件流量的限制
# 创建高级IPv4 ACL 3002,匹配邮件服务器向外发送邮件的数据。
[SwitchA] acl number 3002
[SwitchA-acl-adv-3002] rule permit tcp destination-port eq smtp source 192.168.10.1 0.0.0.0
[SwitchA-acl-adv-3002] quit
# 在GigabitEthernet1/0/3端口上,对匹配ACL3002的报文进行流量监管,承诺速率为512Kbps。
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] qos car inbound acl 3002 cir 512
l 对FTP流量的限制
# 创建基本IPv4 ACL 2001,匹配FTP服务器发送的报文。
[SwitchA] acl number 2001
[SwitchA-acl-basic-2001] rule permit source 192.168.10.2 0.0.0.0
[SwitchA-acl-basic-2001] quit
# 在GigabitEthernet1/0/3端口上,对匹配ACL2001的报文进行流量监管,承诺速率为1024Kbps。
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] qos car inbound acl 2001 cir 1024
[SwitchA-GigabitEthernet1/0/3] quit
# 创建高级IPv4 ACL 3000,匹配市场部所在网段的上行HTTP流量。
<SwitchB> system-view
[SwitchB] acl number 3000
[SwitchB-acl-adv-3000] rule permit tcp destination-port eq 80 source 192.168.2.0 0.0.0.255
[SwitchB-acl-adv-3000] quit
# 由于在每个接入主机的端口上都要进行相同的限速配置,这里我们使用端口组功能来简化配置。
[SwitchB] port-group manual 1
[SwitchB-port-group-manual-1] group-member GigabitEthernet 1/0/1 to GigabitEthernet 1/0/40
[SwitchB-port-group-manual-1] qos car inbound acl 3000 cir 256
# 创建高级IPv4 ACL 3000,匹配研发部所在网段的上行HTTP流量。
<SwitchC> system-view
[SwitchC] acl number 3000
[SwitchC-acl-adv-3000] rule permit tcp destination-port eq 80 source 192.168.1.0 0.0.0.255
[SwitchC-acl-adv-3000] quit
# 由于在每个接入主机的端口上都要进行相同的限速配置,这里我们使用端口组功能来简化配置。
[SwitchC] port-group manual 1
[SwitchC-port-group-manual-1] group-member GigabitEthernet 1/0/1 to GigabitEthernet 1/0/25
[SwitchC-port-group-manual-1] qos car inbound acl 3000 cir 128
l Switch A的完整配置
#
acl number 2000
rule 0 permit source 192.168.3.0 0.0.0.255
acl number 2001
rule 0 permit source 192.168.10.2 0
#
acl number 3000
rule 0 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www
acl number 3001
rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
acl number 3002
rule 0 permit tcp source 192.168.10.1 0 destination-port eq smtp
#
interface GigabitEthernet1/0/2
qos car inbound acl 3000 cir 1024 cbs 6225 ebs 100000 red discard
qos car inbound acl 3001 cir 2048 cbs 12450 ebs 100000 red discard
qos car inbound acl 2000 cir 640 cbs 100000 ebs 100000 pir 800 red discard
#
interface GigabitEthernet1/0/3
qos car inbound acl 3002 cir 512 cbs 100000 ebs 100000 red discard
qos car inbound acl 2001 cir 1024 cbs 100000 ebs 100000 red discard
l Switch B的完整配置
#
acl number 3000
rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
#
interface GigabitEthernet1/0/1
qos car inbound acl 3000 cir 256 cbs 100000 ebs 100000 red discard
#
interface GigabitEthernet1/0/2
qos car inbound acl 3000 cir 256 cbs 100000 ebs 100000 red discard
#
interface GigabitEthernet1/0/3
qos car inbound acl 3000 cir 256 cbs 100000 ebs 100000 red discard
……(略)
l Switch C的完整配置
#
acl number 3000
rule 0 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www
#
interface GigabitEthernet1/0/1
qos car inbound acl 3000 cir 128 cbs 100000 ebs 100000 red discard
#
interface GigabitEthernet1/0/2
qos car inbound acl 3000 cir 128 cbs 100000 ebs 100000 red discard
#
interface GigabitEthernet1/0/3
qos car inbound acl 3000 cir 128 cbs 100000 ebs 100000 red discard
……(略)
l 重复执行qos car命令将在端口或端口组上配置多条流量监管规则,流量监管的执行顺序与配置的先后顺序一致。
l 有关基本和高级IPv4 ACL的配置注意事项,请参见安全分册中的“ACL典型配置指导”。
流量监管TP(Traffic Policing)就是对流量进行控制,通过监督进入网络的流量速率,对超出部分的流量进行限制,使进入的流量被限制在一个合理的范围之内,以保证网络资源的合理利用。
基于QoS策略方式的流量监管不但能够引用ACL对不同流量进行灵活控制,而且可以针对报文所属VLAN、报文优先级等流分类匹配条件来实现差分服务。
图1-2 配置流量监管组网示意图
某公司网络通过专线接入Internet,上行带宽为6Mbps。为合理利用网络资源,现要求对上行至Internet的流量进行分类限速:
l HTTP流量:总上行限速为3Mbps,其中研发部25台主机分配1Mbps上行带宽,单机最大上行为128Kbps;市场部40台主机分配2Mbps上行带宽,单机最大上行为256Kbps。
l IP语音流量:研发部和市场部共55台IP电话,单台通信所需带宽为32Kbps,通常情况下,按20台IP电话同时通信计算,分配上行带宽为640Kbps,为满足可能存在的瞬时多台电话同时通信需求,按25台IP电话计算突发峰值带宽为800Kbps。
l 邮件服务器代理所有客户端向外网发送电子邮件,限制上行带宽为512Kbps。
l FTP服务器为可以通过外网对分支机构提供数据服务,限制上行的FTP的数据流量不超过1Mbps。
要实现基于QoS策略方式的流量监管,主要是明确匹配各业务数据的流分类规则,并配置流量监管的流行为。因此,根据业务数据特点,在各设备上需要进行如下配置:
l 通过两个高级IPv4 ACL分别匹配研发和市场部的HTTP流量,作为流分类条件;根据需求分别配置两个流行为,承诺速率为1Mbps和2Mbps,并配置适当的承诺突发尺寸,这里建议配置为50ms内以承诺速率通过的数据量(经计算分别为6225bytes和12450bytes)。
l 通过基本IPv4 ACL匹配IP电话的上行流量,作为流分类条件;根据需求配置限速为640Kbps,承诺突发尺寸为4096bytes,超出突发尺寸为1024bytes,峰值速率为800Kbps的流行为。
l 创建一个QoS策略,将以上三组流分类和流行为进行分别配对,然后应用到GigabitEthernet1/0/2端口的入方向。
l 通过高级IPv4 ACL匹配邮件服务器发送邮件的数据(匹配SMTP协议),作为流分类条件;配置承诺速率为512Kbps,承诺突发尺寸为3277bytes。
l 通过基本IPv4 ACL匹配FTP服务器发送的数据,作为流分类条件;配置承诺速率为1024Kbps,承诺突发尺寸为6554bytes的流行为。
l 创建一个QoS策略,将以上两组流分类和流行为进行分别配对,然后应用到GigabitEthernet1/0/3端口的入方向。
l 使用高级IPv4 ACL匹配HTTP流量,作为流分类条件,配置承诺速率为128Kbps,承诺突发尺寸为820bytes的流行为。
l 创建QoS策略,将上面的流分类和流行为进行配对,并应用到每个下行端口的入方向。
l 使用高级IPv4 ACL匹配HTTP流量,作为流分类条件,配置承诺速率为256Kbps,承诺突发尺寸为1638bytes的流行为。
l 创建QoS策略,将上面的流分类和流行为进行配对,并应用到每个下行端口的入方向。
表1-2 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
|
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
|
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
|
CE3000-32F以太网交换机 |
Release 1211 |
|
S5810系列以太网交换机 |
Release 1102 |
|
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5500-EI-D系列以太网交换机 |
Release 2208 |
|
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
|
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5120-EI-D系列以太网交换机 |
Release 1505 |
|
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
|
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
|
S3100V2-EI系列以太网交换机 |
Release 5103 |
l 配置对各部门上行流量进行限制的流分类和流行为
# 创建高级IPv4 ACL 3000,匹配研发部发送的HTTP流量(TCP端口80)。
<SwitchA> system-view
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit tcp destination-port eq 80 source 192.168.1.0 0.0.0.255
[SwitchA-acl-adv-3000] quit
# 创建流分类rd_http,匹配规则为IPv4 ACL 3000。
[SwitchA] traffic classifier rd_http
[SwitchA-classifier-rd_http] if-match acl 3000
[SwitchA-classifier-rd_http] quit
# 创建流行为rd_http,动作为流量监管,承诺速率1024,承诺突发尺寸6225bytes。
[SwitchA] traffic behavior rd_http
[SwitchA-behavior-rd_http] car cir 1024 cbs 6225
[SwitchA-behavior-rd_http] quit
#创建高级IPv4 ACL3001,匹配市场部发送的HTTP流量。
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule permit tcp destination-port eq 80 source 192.168.2.0 0.0.0.255
[SwitchA-acl-adv-3001] quit
# 创建流分类mkt_http,匹配规则为IPv4 ACL 3001。
[SwitchA] traffic classifier mkt_http
[SwitchA-classifier-mkt_http] if-match acl 3001
[SwitchA-classifier-mkt_http] quit
# 创建流行为mkt_http,动作为流量监管,承诺速率为2048,承诺突发尺寸为13108bytes。
[SwitchA] traffic behavior mkt_http
[SwitchA-behavior-mkt_http] car cir 2048 cbs 13108
[SwitchA-behavior-mkt_http] quit
l 配置对IP语音流量进行限制的流分类和流行为
# 创建基本IPv4 ACL 2000,匹配IP电话发送的报文。
[SwitchA] acl number 2000
[SwitchA-acl-basic-2000] rule permit source 192.168.3.0 0.0.0.255
[SwitchA-acl-basic-2000] quit
# 创建流分类ip_voice,匹配规则为IPv4 ACL 2000。
[SwitchA] traffic classifier ip_voice
[SwitchA-classifier-ip_voice] if-match acl 2000
[SwitchA-classifier-ip_voice] quit
# 创建流行为ip_voice,动作为流量监管,承诺速率为640Kbps,承诺突发尺寸为4096bytes,超出突发尺寸为1024bytes,峰值速率为800Kbps。
[SwitchA] traffic behavior ip_voice
[SwitchA-behavior-ip_voice] car cir 640 cbs 4096 ebs 1024 pir 800
[SwitchA-behavior-ip_voice] quit
l 配置对发送电子邮件流量进行限制的流分类和流行为
# 创建高级IPv4 ACL 3002,匹配邮件服务器向外发送邮件的数据。
[SwitchA] acl number 3002
[SwitchA-acl-adv-3002] rule permit tcp destination-port eq smtp source 192.168.10.1 0.0.0.0
[SwitchA-acl-adv-3002] quit
# 创建流分类email,匹配规则为IPv4 ACL 3002。
[SwitchA] traffic classifier email
[SwitchA-classifier-email] if-match acl 3002
[SwitchA-classifier-email] quit
# 创建流行为email,动作为流量监管,承诺速率为512Kbps,承诺突发尺寸为3277bytes。
[SwitchA] traffic behavior email
[SwitchA-behavior-email] car cir 512 cbs 3277
[SwitchA-behavior-email] quit
l 对内网FTP流量的限制
# 创建基本IPv4 ACL 2001,匹配FTP服务器发送的报文。
[SwitchA] acl number 2001
[SwitchA-acl-basic-2001] rule permit source 192.168.10.2 0.0.0.0
[SwitchA-acl-basic-2001] quit
# 创建流分类ftp,匹配规则为IPv4 ACL 2001。
[SwitchA] traffic classifier ftp
[SwitchA-classifier-ftp] if-match acl 2001
[SwitchA-classifier-ftp] quit
# 创建流行为ftp,动作为流量监管,承诺速率为1024Kbps,承诺突发尺寸为6554bytes。
[SwitchA] traffic behavior ftp
[SwitchA-behavior-ftp] car cir 1024 cbs 6554
[SwitchA-behavior-ftp] quit
l 创建QoS策略并应用到相应端口。
# 创建QoS策略http&voice,并将限制各部门上网流量和IP语音流量的流分类和流行为进行分别配对。
[SwitchA] qos policy http&voice
[SwitchA-qospolicy-http&voice] classifier rd_http behavior rd_http
[SwitchA-qospolicy-http&voice] classifier mkt_http behavior mkt_http
[SwitchA-qospolicy-http&voice] classifier ip_voice behavior ip_voice
[SwitchA-qospolicy-http&voice] quit
# 将策略应用到GigabitEthernet1/0/2端口的入方向。
[SwitchA] interface GigabitEthernet1/0/2
[SwitchA-GigabitEthernet1/0/2] qos apply policy http&voice inbound
[SwitchA-GigabitEthernet1/0/2] quit
# 创建QoS策略email&ftp,并将限制发送电子邮件流量和FTP流量的流分类和流行为进行分别配对。
[SwitchA] qos policy email&ftp
[SwitchA-qospolicy-email&ftp] classifier email behavior email
[SwitchA-qospolicy-email&ftp] classifier ftp behavior ftp
[SwitchA-qospolicy-email&ftp] quit
# 将策略应用到GigabitEthernet1/0/3端口的入方向。
[SwitchA] interface GigabitEthernet1/0/3
[SwitchA-GigabitEthernet1/0/3] qos apply policy email&ftp inbound
[SwitchA-GigabitEthernet1/0/3] quit
# 创建高级IPv4 ACL 3000,匹配市场部所在网段的上行HTTP流量。
<SwitchB> system-view
[SwitchB] acl number 3000
[SwitchB-acl-adv-3000] rule permit tcp destination-port eq 80 source 192.168.2.0 0.0.0.255
[SwitchB-acl-adv-3000] quit
# 创建流分类mkt,匹配规则为IPv4 ACL 3000。
[SwitchB] traffic classifier mkt
[SwitchB-classifier-mkt] if-match acl 3000
[SwitchB-classifier-mkt] quit
# 创建流行为mkt,动作为流量监管,承诺速率为256Kbps,承诺突发尺寸为1638bytes。
[SwitchB] traffic behavior mkt
[SwitchB-behavior-mkt] car cir 256 cbs 1638
[SwitchB-behavior-mkt] quit
# 创建QoS策略mkt,将上面的流分类和流行为进行配对。
[SwitchB] qos policy mkt
[SwitchB-qospolicy-mkt] classifier mkt behavior mkt
# 由于在每个接入主机的端口上都要进行相同的限速配置,这里使用在端口组应用QoS策略的方式来简化配置。
[SwitchB] port-group manual 1
[SwitchB-port-group-manual-1] group-member GigabitEthernet 1/0/1 to GigabitEthernet 1/0/40
[SwitchB-port-group-manual-1] qos apply policy mkt inbound
# 创建高级IPv4 ACL 3000,匹配研发部所在网段的上行HTTP流量。
<SwitchC> system-view
[SwitchC] acl number 3000
[SwitchC-acl-adv-3000] rule permit tcp destination-port eq 80 source 192.168.1.0 0.0.0.255
[SwitchC-acl-adv-3000] quit
# 创建流分类rd,匹配规则为IPv4 ACL 3000。
[SwitchC] traffic classifier rd
[SwitchC-classifier-rd] if-match acl 3000
[SwitchC-classifier-rd] quit
# 创建流行为rd,动作为流量监管,承诺速率为128Kbps,承诺突发尺寸为820bytes。
[SwitchC] traffic behavior rd
[SwitchC-behavior-rd] car cir 128 cbs 820
[SwitchC-behavior-rd] quit
# 创建QoS策略rd,将上面的流分类和流行为进行配对。
[SwitchC] qos policy rd
[SwitchC-qospolicy-rd] classifier rd behavior rd
# 由于在每个接入主机的端口上都要进行相同的限速配置,这里使用在端口组应用QoS策略的方式来简化配置。
[SwitchC] port-group manual 1
[SwitchC-port-group-manual-1] group-member GigabitEthernet 1/0/1 to GigabitEthernet 1/0/40
[SwitchC-port-group-manual-1] qos apply policy rd inbound
l SwitchA的完整配置
#
acl number 2000
rule 0 permit source 192.168.3.0 0.0.0.255
acl number 2001
rule 0 permit source 192.168.10.2 0
#
acl number 3000
rule 0 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www
acl number 3001
rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
acl number 3002
rule 0 permit tcp source 192.168.10.1 0 destination-port eq smtp
#
traffic classifier email operator and
if-match acl 3002
traffic classifier ip_voice operator and
if-match acl 2000
traffic classifier ftp operator and
if-match acl 2001
traffic classifier rd_http operator and
if-match acl 3000
traffic classifier mkt_http operator and
if-match acl 3001
#
traffic behavior email
car cir 512 cbs 3277 ebs 512 green pass red discard yellow pass
traffic behavior ip_voice
car cir 640 cbs 4096 ebs 1024 pir 160 green pass red discard yellow pass
traffic behavior ftp
car cir 1024 cbs 6554 ebs 512 green pass red discard yellow pass
traffic behavior rd_http
car cir 1024 cbs 6554 ebs 512 green pass red discard yellow pass
traffic behavior mkt_http
car cir 2048 cbs 13108 ebs 512 green pass red discard yellow pass
#
qos policy email&ftp
classifier email behavior email
classifier ftp behavior ftp
qos policy http&voice
classifier rd_http behavior rd_http
classifier mkt_http behavior mkt_http
classifier ip_voice behavior ip_voice
#
interface GigabitEthernet1/0/2
qos apply policy http&voice inbound
#
interface GigabitEthernet1/0/3
qos apply policy email&ftp inbound
l SwitchB的完整配置
#
acl number 3000
rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
#
traffic classifier mkt operator and
if-match acl 3000
#
traffic behavior mkt
car cir 256 cbs 1638 ebs 512 green pass red discard yellow pass
#
qos policy mkt
classifier mkt behavior mkt
#
interface GigabitEthernet1/0/1
qos apply policy mkt inbound
#
interface GigabitEthernet1/0/2
qos apply policy mkt inbound
#
interface GigabitEthernet1/0/3
qos apply policy mkt inbound
……(略)
l SwitchC的完整配置
#
acl number 3000
rule 0 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www
#
traffic classifier rd operator and
if-match acl 3000
#
traffic behavior rd
car cir 128 cbs 820 ebs 512 green pass red discard yellow pass
#
qos policy rd
classifier rd behavior rd
#
interface GigabitEthernet1/0/1
qos apply policy rd inbound
#
interface GigabitEthernet1/0/2
qos apply policy rd inbound
#
interface GigabitEthernet1/0/3
qos apply policy rd inbound
……(略)
各产品的流量监管参数取值范围和限制不同,如果不能按本例中的取值配置,请根据产品取值要求取相近值进行配置。
对于通过VLAN来区分数据类型的网络,可以通过QoS策略中对VLAN的匹配来实现对不同业务数据的流量监管策略,即实现基于VLAN的带宽分配功能。
图1-3 基于VLAN的带宽分配组网示意图
如图1-3所示,某公司各分支机构通过交换机将数据上行至SwitchA,再由SwitchA通过专线将数据传输至公司骨干网。
各分支机构内通过VLAN来标识不同的业务数据,在Switch A的GigabitEthernet1/0/1和GigabitEthernet1/0/2端口上配置了1:1 VLAN Mapping功能,按图中所示对业务VLAN进行了重新映射,以满足骨干网中的传输策略要求。
根据线路带宽状况,现要求对不同业务类型的数据进行如下的带宽分配:
l 在Switch A连接分支机构A和分支机构B的链路上,要求对上行至Switch A的各业务数据速率分别限制为:VLAN1001为400Mbps,VLAN1002为200Mbps,VLAN1003为200Mbps。对Switch A下行方向的业务数据同样根据以上数值进行限速。
l 在Switch A连接分支机构C的链路上,要求对上行至Switch A的各业务数据速率分别限制为:VLAN201为400Mbps,VLAN202为200Mbps,VLAN203为200Mbps。对Switch A下行方向的业务数据同样根据以上数值进行限速。
l 在Switch A连接公司骨干网的联路上,要求对上行至骨干网的各业务数据限速为:VLAN201为100Mbps,VLAN202为60Mbps,VLAN203为40Mbps。对下行方向数据同样根据以上数值进行限速。
基于VLAN的带宽分配需要通过QoS策略的配置来进行,即将流分类匹配规则定义为匹配指定的VLAN,同时创建动作为流量监管的流行为,并将二者在一个QoS策略中进行配对关联。通过创建多个这样的配对关系并将对应的QoS策略进行应用,便可以对不同VLAN的数据进行不同的速率限制,达到带宽分配的效果。
本例中的特殊之处在于存在VLAN Mapping的配置,VLAN Mapping本身也是通过流分类和流行为的配对来实现。在QoS策略中,配对的生效顺序是按照配置顺序来进行的,报文一旦匹配到一个配对,则直接执行该配对中的流行为,而不再继续匹配。因此,需要注意VLAN Mapping的配对与流量监管配对的先后顺序。
例如:如果先配置对VLAN1001进行流量监管的配对,则对于将VLAN1001重标记为VLAN201的VLAN Mapping配对就无法生效;此时可以先配置将VLAN 1001重标记为VLAN201的配对,然后配置对于service-vlan-id为201的报文进行流量监管的配对,即可以解决问题。
表1-3 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
|
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
|
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
|
CE3000-32F以太网交换机 |
Release 1211 |
|
S5810系列以太网交换机 |
Release 1102 |
|
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5500-EI-D系列以太网交换机 |
Release 2208 |
|
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
|
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5120-EI-D系列以太网交换机 |
Release 1505 |
|
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
|
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
|
S3100V2-EI系列以太网交换机 |
Release 5103 |
l 以上产品中的部分产品不支持VLAN Mapping功能,因此不适用本例中在VLAN Mapping环境下进行的流量监管配置。
l VLAN Mapping功能的配置方式以S5800系列交换机为例,其它产品的配置方式可能有所不同,请参见各产品的配置手册。
l 以上产品中的部分产品不支持对出方向应用QoS策略,因此仅适用于对接收方向进行流量监管的部分配置。
# 创建流分类vlan201,匹配规则为匹配service-vlan-id为201。
<SwitchA> system-view
[SwitchA] traffic classifier vlan201
[SwitchA-classifier-vlan201] if-match service-vlan-id 201
[SwitchA-classifier-vlan201] quit
# 使用同样步骤创建流分类vlan202和vlan203,分别匹配service-vlan-id为202和203。
[SwitchA] traffic classifier vlan202
[SwitchA-classifier-vlan202] if-match service-vlan-id 202
[SwitchA-classifier-vlan202] quit
[SwitchA] traffic classifier vlan203
[SwitchA-classifier-vlan203] if-match service-vlan-id 203
[SwitchA-classifier-vlan203] quit
# 创建流行为car_vlan201_downlink,并配置流量监管的动作,承诺速率为400000Kbps,承诺突发尺寸配置为50ms内通过的流量(经计算为2500000bytes)。该动作用于在Switch A上限制由分支机构C上行的VLAN201的数据速率。
[SwitchA] traffic behavior car_vlan201_downlink
[SwitchA-behavior-car_vlan201_downlink] car cir 400000 cbs 2500000
[SwitchA-behavior-car_vlan201_downlink] quit
# 使用同样步骤创建流行为car_vlan202_downlink和car_vlan203_downlink,并配置相应的流量监管动作,分别为:承诺速率200000Kbps,承诺突发尺寸为1250000bytes。
[SwitchA] traffic behavior car_vlan202_downlink
[SwitchA-behavior-car_vlan202_downlink] car cir 200000 cbs 1250000
[SwitchA-behavior-car_vlan202_downlink] quit
[SwitchA] traffic behavior car_vlan203_downlink
[SwitchA-behavior-car_vlan203_downlink] car cir 200000 cbs 1250000
[SwitchA-behavior-car_vlan203_downlink] quit
# 创建QoS策略downlink_in_c,将以上三组流分类和流行为分别进行配对。
[SwitchA] qos policy downlink_in_c
[SwitchA-qospolicy-downlink_in_c] classifier vlan201 behavior car_vlan201_downlink
[SwitchA-qospolicy-downlink_in_c] classifier vlan202 behavior car_vlan202_downlink
[SwitchA-qospolicy-downlink_in_c] classifier vlan203 behavior car_vlan203_downlink
[SwitchA-qospolicy-downlink_in_c] quit
# 将QoS策略downlink_in_c应用到GigabitEthernet1/0/3端口的入方向,即实现了对分支机构C中VLAN201、VLAN202、VLAN203的上行数据进行限速。
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] qos apply policy downlink_in_c inbound
# 将该策略应用到GigabitEthernet1/0/3端口的出方向,即可实现在下行方向对各VLAN数据的限速。
[SwitchA-GigabitEthernet1/0/3] qos apply policy downlink_in_c outbound
# 配置端口GigabitEthernet1/0/3和GigabitEthernet1/0/10为Trunk端口,并允许VLAN201、VLAN202和VLAN203通过。
[SwitchA-GigabitEthernet1/0/3] port link-type trunk
[SwitchA-GigabitEthernet1/0/3] port trunk permit vlan 201 to 203
[SwitchA-GigabitEthernet1/0/3] quit
[SwitchA] interface GigabitEthernet 1/0/10
[SwitchA-GigabitEthernet1/0/10] port link-type trunk
[SwitchA-GigabitEthernet1/0/10] port trunk permit vlan 201 to 203
l 端口与VLAN的关系配置
# 配置端口GigabitEthernet1/0/1和GigabitEthernet1/0/2为Trunk端口,允许VLAN1001、VLAN1002、VLAN1003,以及VLAN201、VLAN202和VLAN203通过,同时在这两个端口上开启基本QinQ,用于实现VLAN映射功能。
[SwitchA] interface GigabitEthernet1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk permit vlan 1001 to 1003 201 to 203
[SwitchA-GigabitEthernet1/0/1] qinq enable
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface GigabitEthernet1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 1001 to 1003 201 to 203
[SwitchA-GigabitEthernet1/0/2] qinq enable
[SwitchA-GigabitEthernet1/0/2] quit
l 对上行流量进行VLAN Mapping的流分类和流行为配置
# 创建流分类1001_to_201,用于将VLAN1001映射为VLAN201的QoS策略,匹配条件为customer-vlan-id为VLAN1001。
[SwitchA] traffic classifier 1001_to_201
[SwitchA-classifier-1001_to_201] if-match customer-vlan-id 1001
[SwitchA-classifier-1001_to_201] quit
# 创建流行为1001_to_201,动作为重标记service-vlan-id为201。
[SwitchA] traffic behavior 1001_to_201
[SwitchA-behavior-1001_to_201] remark service-vlan-id 201
[SwitchA-behavior-1001_to_201] quit
# 用同样方法创建流分类1002_to_202和1003_to_203,以及流行为1002_to_202和1003_to_203,用于将VLAN1002映射为VLAN202,以及将VLAN1003映射为VLAN203。
[SwitchA] traffic classifier 1002_to_202
[SwitchA-classifier-1002_to_202] if-match customer-vlan-id 1002
[SwitchA-classifier-1002_to_202] quit
[SwitchA] traffic behavior 1002_to_202
[SwitchA-behavior-1002_to_202] remark service-vlan-id 202
[SwitchA-behavior-1002_to_202] quit
[SwitchA] traffic classifier 1003_to_203
[SwitchA-classifier-1003_to_203] if-match customer-vlan-id 1003
[SwitchA-classifier-1003_to_203] quit
[SwitchA] traffic behavior 1003_to_203
[SwitchA-behavior-1003_to_203] remark service-vlan-id 203
[SwitchA-behavior-1003_to_203] quit
l 对下行流量进行VLAN Mapping的流分类和流行为配置
# 创建流分类201_to_1001,用于将VLAN201映射为VLAN1001的QoS策略,匹配条件为service-vlan-id为VLAN201。
[SwitchA] traffic classifier 201_to_1001
[SwitchA-classifier-201_to_1001] if-match service-vlan-id 201
[SwitchA-classifier-201_to_1001] quit
# 创建流行为201_to_1001,动作为重标记customer-vlan-id为1001。
[SwitchA] traffic behavior 201_to_1001
[SwitchA-behavior-201_to_1001] remark customer-vlan-id 1001
[SwitchA-behavior-201_to_1001] quit
# 用同样方法创建流分类202_to_1002和203_to_1003,以及流行为202_to_1002和203_to_1003,用于将VLAN202映射为VLAN1002,以及将VLAN203映射为VLAN1003。
[SwitchA] traffic classifier 202_to_1002
[SwitchA-classifier-202_to_1002] if-match service-vlan-id 202
[SwitchA-classifier-202_to_1002] quit
[SwitchA] traffic behavior 202_to_1002
[SwitchA-behavior-202_to_1002] remark customer-vlan-id 1002
[SwitchA-behavior-202_to_1002] quit
[SwitchA] traffic classifier 203_to_1003
[SwitchA-classifier-203_to_1003] if-match service-vlan-id 203
[SwitchA-classifier-203_to_1003] quit
[SwitchA] traffic behavior 203_to_1003
[SwitchA-behavior-203_to_1003] remark customer-vlan-id 1003
[SwitchA-behavior-203_to_1003] quit
l 对分支机构上行流量进行限速的流分类和流行为配置
根据配置思路中的分析,对分支机构上行流量进行限速的流分类规则为匹配重标记后的VLAN,因此可以直接使用流分类201_to_1001、202_to_1002以及203_to_1003。
对于上行流量进行限速的流行为,可以直接采用上文非VLAN Mapping配置中已经配置好的流行为car_vlan201_downlink、car_vlan202_downlink和car_vlan203_downlink。
l 对发往分支机构的下行流量进行限速的流分类和流行为配置
# 创建流分类vlan201_downlink,匹配service-vlan-id为1001,用于对分支机构下行流量进行限速。
[SwitchA] traffic classifier vlan201_downlink
[SwitchA-classifier-vlan201_downlink] if-match service-vlan-id 1001
[SwitchA-classifier-vlan201_downlink] quit
这里需要注意的是,配置对下行流量进行限速的流分类时,需要匹配报文的service-vlan-id,但VLAN值要配置为下行重标记之后的VLAN,即VLAN1001。
# 按同样步骤创建流分类vlan202_downlink和vlan203_downlink。
[SwitchA] traffic classifier vlan202_downlink
[SwitchA-classifier-vlan202_downlink] if-match service-vlan-id 1002
[SwitchA-classifier-vlan202_downlink] quit
[SwitchA] traffic classifier vlan203_downlink
[SwitchA-classifier-vlan203_downlink] if-match service-vlan-id 1003
[SwitchA-classifier-vlan203_downlink] quit
对分支机构的下行流量进行限速的流行为,由于其限制速率与上行方向相同,因此也可以直接采用car_vlan201_downlink、car_vlan202_downlink和car_vlan203_downlink的流行为。
l 对向骨干网上行流量进行限速的流分类和流行为配置
对上行流量进行限速的流分类规则应为匹配重标记后的VLAN,即匹配service-vlan-id为VLAN201/202/203,因此可以直接采用流分类201_to_1001、202_to_1002以及203_to_1003。
# 创建流行为car_vlan201_uplink,并配置流量监管的动作,承诺速率为100000Kbps,承诺突发尺寸配置为50ms内通过的流量(经计算为625000bytes)。该动作用于在Switch A上限制VLAN201的上行速率。
[SwitchA] traffic behavior car_vlan201_uplink
[SwitchA-behavior-car_vlan201_uplink] car cir 100000 cbs 625000
[SwitchA-behavior-car_vlan201_uplink] quit
# 使用同样步骤创建流行为car_vlan202_uplink和car_vlan203_uplink,并配置相应的流量监管动作,分别为:car_vlan202_uplink承诺速率为60000Kbps,承诺突发尺寸为375000bytes;car_vlan203_uplink承诺速率为40000Kbps,承诺突发尺寸为250000bytes。
[SwitchA] traffic behavior car_vlan202_uplink
[SwitchA-behavior-car_vlan202_uplink] car cir 60000 cbs 375000
[SwitchA-behavior-car_vlan202_uplink] quit
[SwitchA] traffic behavior car_vlan203_uplink
[SwitchA-behavior-car_vlan203_uplink] car cir 40000 cbs 250000
[SwitchA-behavior-car_vlan203_uplink] quit
l 对骨干网下行流量进行限速的流分类和流行为配置
对骨干网下行流量进行限速的流分类规则应为匹配重标记后的VLAN,即匹配service-vlan-id为VLAN201/202/203,因此可以直接采用流分类201_to_1001、202_to_1002以及203_to_1003。
对骨干网下行流量进行限速的流行为,由于其限制速率与上行方向相同,因此也可以直接采用car_vlan201_uplink、car_vlan202_uplink和car_vlan203_uplink的流行为。
l 配置上行方向的QoS策略并进行应用。
在处理在由分支机构上行至骨干网的报文时,交换机将按下图顺序执行动作。
图1-4 上行方向报文处理流程示意图(以VLAN1001为例)
# 创建QoS策略downlink_in,策略中顺序包含VLAN映射的流分类/流行为配对和对重标记后的VLAN进行流量监管的流分类/流行为配对。
[SwitchA] qos policy downlink_in
[SwitchA-qospolicy-downlink_in] classifier 1001_to_201 behavior 1001_to_201
[SwitchA-qospolicy-downlink_in] classifier 1002_to_202 behavior 1002_to_202
[SwitchA-qospolicy-downlink_in] classifier 1003_to_203 behavior 1003_to_203
[SwitchA-qospolicy-downlink_in] classifier 201_to_1001 behavior car_vlan201_downlink
[SwitchA-qospolicy-downlink_in] classifier 202_to_1002 behavior car_vlan202_downlink
[SwitchA-qospolicy-downlink_in] classifier 203_to_1003 behavior car_vlan203_downlink
[SwitchA-qospolicy-downlink_in] quit
# 将该策略应用到GigabitEthernet1/0/1和GigabitEthernet1/0/2端口的入方向。
[SwitchA] interface GigabitEthernet1/0/1
[SwitchA-GigabitEthernet1/0/1] qos apply policy downlink_in inbound
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface GigabitEthernet1/0/2
[SwitchA-GigabitEthernet1/0/2] qos apply policy downlink_in inbound
[SwitchA-GigabitEthernet1/0/2] quit
# 创建QoS策略uplink_out,策略中包含对骨干网上行流量进行限速的流分类和流行为配对。
[SwitchA] qos policy uplink_out
[SwitchA-qospolicy-uplink_out] classifier 201_to_1001 behavior car_vlan201_uplink
[SwitchA-qospolicy-uplink_out] classifier 202_to_1002 behavior car_vlan202_uplink
[SwitchA-qospolicy-uplink_out] classifier 203_to_1003 behavior car_vlan203_uplink
[SwitchA-qospolicy-downlink_in] quit
# 将该策略应用到GigabitEthernet1/0/10端口的出方向。
[SwitchA] interface GigabitEthernet1/0/10
[SwitchA-GigabitEthernet1/0/10] qos apply policy uplink_out outbound
l 配置下行方向的QoS策略并应用
在处理在由骨干网下行至分支机构的报文时,交换机将按下图顺序执行动作。
图1-5 下行方向报文处理流程示意图(以VLAN1001为例)
# 创建QoS策略uplink_in,策略中包含对骨干网下行流量进行限速的流分类/流行为配对。
[SwitchA] qos policy uplink_in
[SwitchA-qospolicy-uplink_in] classifier 201_to_1001 behavior car_vlan201_uplink
[SwitchA-qospolicy-uplink_in] classifier 202_to_1002 behavior car_vlan202_uplink
[SwitchA-qospolicy-uplink_in] classifier 203_to_1003 behavior car_vlan203_uplink
[SwitchA-qospolicy-uplink_in] quit
# 将该策略应用到GigabitEthernet1/0/10端口的入方向。
[SwitchA] interface GigabitEthernet1/0/10
[SwitchA-GigabitEthernet1/0/10] qos apply policy uplink_in inbound
# 创建QoS策略downlink_out,策略中顺序包含下行方向VLAN映射的流分类/流行为配对和对分支机构下行流量进行限速的流分类/流行为配对。
[SwitchA] qos policy downlink_out
[SwitchA-qospolicy-downlink_out] classifier 201_to_1001 behavior 201_to_1001
[SwitchA-qospolicy-downlink_out] classifier 202_to_1002 behavior 202_to_1002
[SwitchA-qospolicy-downlink_out] classifier 203_to_1003 behavior 203_to_1003
[SwitchA-qospolicy-downlink_out] classifier vlan201_downlink behavior car_vlan201_downlink
[SwitchA-qospolicy-downlink_out] classifier vlan202_downlink behavior car_vlan202_downlink
[SwitchA-qospolicy-downlink_out] classifier vlan203_downlink behavior car_vlan203_downlink
[SwitchA-qospolicy-downlink_in] quit
# 将该策略应用到GigabitEthernet1/0/1和GigabitEthernet1/0/2端口的出方向。
[SwitchA] interface GigabitEthernet1/0/1
[SwitchA-GigabitEthernet1/0/1] qos apply policy downlink_out outbound
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface GigabitEthernet1/0/2
[SwitchA-GigabitEthernet1/0/2] qos apply policy downlink_out outbound
[SwitchA-GigabitEthernet1/0/2] quit
#
traffic classifier vlan203_downlink operator and
if-match service-vlan-id 1003
traffic classifier 1002_to_202 operator and
if-match customer-vlan-id 1002
traffic classifier 201_to_1001 operator and
if-match service-vlan-id 201
traffic classifier 1003_to_203 operator and
if-match customer-vlan-id 1003
traffic classifier 203_to_1003 operator and
if-match service-vlan-id 203
traffic classifier vlan201 operator and
if-match service-vlan-id 201
traffic classifier vlan201_downlink operator and
if-match service-vlan-id 1001
traffic classifier vlan202 operator and
if-match service-vlan-id 202
traffic classifier vlan202_downlink operator and
if-match service-vlan-id 1002
traffic classifier 202_to_1002 operator and
if-match service-vlan-id 202
traffic classifier 1001_to_201 operator and
if-match customer-vlan-id 1001
traffic classifier vlan203 operator and
if-match service-vlan-id 203
#
traffic behavior car_vlan201_downlink
car cir 400000 cbs 2500000 ebs 512 green pass red discard yellow pass
traffic behavior car_vlan202_downlink
car cir 200000 cbs 1250000 ebs 512 green pass red discard yellow pass
traffic behavior car_vlan203_downlink
car cir 200000 cbs 1250000 ebs 512 green pass red discard yellow pass
traffic behavior car_vlan201_uplink
car cir 100000 cbs 625000 ebs 512 green pass red discard yellow pass
traffic behavior car_vlan202_uplink
car cir 60000 cbs 375000 ebs 512 green pass red discard yellow pass
traffic behavior car_vlan203_uplink
car cir 40000 cbs 250000 ebs 512 green pass red discard yellow pass
traffic behavior 1002_to_202
remark service-vlan-id 202
traffic behavior 201_to_1001
remark customer-vlan-id 1001
traffic behavior 1003_to_203
remark service-vlan-id 203
traffic behavior 203_to_1003
remark customer-vlan-id 1003
traffic behavior 202_to_1002
remark customer-vlan-id 1002
traffic behavior 1001_to_201
remark service-vlan-id 201
#
qos policy uplink_in
classifier 201_to_1001 behavior car_vlan201_uplink
classifier 202_to_1002 behavior car_vlan202_uplink
classifier 203_to_1003 behavior car_vlan203_uplink
qos policy uplink_out
classifier 201_to_1001 behavior car_vlan201_uplink
classifier 202_to_1002 behavior car_vlan202_uplink
classifier 203_to_1003 behavior car_vlan203_uplink
qos policy downlink_in
classifier 1001_to_201 behavior 1001_to_201
classifier 1002_to_202 behavior 1002_to_202
classifier 1003_to_203 behavior 1003_to_203
classifier 201_to_1001 behavior car_vlan201_downlink
classifier 202_to_1002 behavior car_vlan202_downlink
classifier 203_to_1003 behavior car_vlan203_downlink
qos policy downlink_in_c
classifier vlan201 behavior car_vlan201_downlink
classifier vlan202 behavior car_vlan202_downlink
classifier vlan203 behavior car_vlan203_downlink
qos policy downlink_out
classifier 201_to_1001 behavior 201_to_1001
classifier 202_to_1002 behavior 202_to_1002
classifier 203_to_1003 behavior 203_to_1003
classifier vlan201_downlink behavior car_vlan201_downlink
classifier vlan202_downlink behavior car_vlan202_downlink
classifier vlan203_downlink behavior car_vlan203_downlink
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 201 to 203 1001 to 1003
qinq enable
qos apply policy downlink_in inbound
qos apply policy downlink_out outbound
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan 1 201 to 203 1001 to 1003
qinq enable
qos apply policy downlink_in inbound
qos apply policy downlink_out outbound
#
interface GigabitEthernet1/0/10
port link-type trunk
port trunk permit vlan 1 201 to 203
qos apply policy uplink_in inbound
qos apply policy uplink_out outbound
l 在端口上应用QoS策略之后,不能再改变端口QinQ功能的使能状况。因此,本例中需要在端口上先开启QinQ功能,再应用QoS策略。
l 各产品的流量监管参数取值范围和限制不同,如果不能按本例中的取值配置,请根据产品取值要求取相近值进行配置。
全局流量监管简称为全局CAR。全局CAR是指在全局创建的一种限速策略,所有应用该策略的数据流将共同接受全局CAR的监管。全局CAR包括聚合CAR和分层CAR两种:
l 聚合CAR能够对多个业务流使用同一个限速策略进行流量监管,即如果在多个流行为中应用同一聚合CAR,则所有应用这些流行为的数据流将共享聚合CAR限速范围内的资源。
l 分层CAR是一种更灵活的流量监管策略,用户可以在为每个流单独配置CAR动作(或聚合CAR)的基础上,再通过分层CAR对多个流的流量总和进行限制。
分层CAR与CAR动作(或聚合CAR)的结合应用有两种模式:
l and:在该模式下,应用同一分层CAR的多个数据流必须既满足每个流各自的CAR限速配置,各流量之和又满足分层CAR的限速配置,流量才能正常通过。and模式适用于严格限制流量带宽的环境。
l or:在该模式下,流量只要满足自身CAR限速配置和分层CAR限速配置其中之一,即可正常通过。or模式适用于保证高优先级业务带宽的环境,通常与and模式配合使用。
某企业组网如图1-6所示,现要求对各部门的上网流量进行监控:
l 在接入管理部和研发部的Switch A上,配置管理部的HTTP流量不能超过512Kbps,研发部的HTTP流量不能超过384Kbps,且二者的总和不能超过768Kbps。
l 在接入市场一部和市场二部的Switch B上,配置两个部门的总体上行流量速率不能超过4096Kbps。考虑到视频流量实际应用较多且优先级较高,需要为视频流量提供2048Kbps的最小保证带宽;同时,由于可能存在多台视频设备同时上线出现的突发流量,当视频设备流量速率超出2048Kbps时,如果总体流量资源仍有剩余,可以临时借用原属市场二部的流量资源。
l 在连接Internet的设备Switch C上,配置整个公司访问Internet的流量总速率不得超过8192Kbps。
在Switch A和Switch B上,对于同一种流量既有独立的流量监管要求,也包括与其他流量同时需要满足的流量监管要求,此时可以通过分层CAR功能来实现。对于要求较为严格的HTTP流量,可以通过分层CAR中的and模式来实现;而对于要求传输保障的视频流量,可以使用分层CAR中的or模式,当分层CAR的总体限速资源还有剩余时,能够以超出自身限速限制的速率进行发送,充分利用带宽资源。
对于市场一部视频流量的最小保证带宽,可以通过对市场二部HTTP流量配置最大流量带宽的方式来实现,即配置市场二部独立的流量监管要求为2048Kbps,同时用分层CAR配置其与市场一部最多共同使用4096Kbps带宽。
在Switch C上,要求对全网的总体流量进行限制。基于端口下发QoS策略的方式只能将当前端口的流量限制在一定速率,当其他端口上并没有流量时,当前端口无法使用空闲的流量资源,带宽利用率较低。在本组网中,可以使用聚合CAR的方式配置对两个端口接收流量总速率的限制,在总速率不超过限速值的情况下,每个端口都可以充分利用上行带宽资源。
表1-4 分层CAR配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
|
S5800系列以太网交换机 |
Release 1108软件版本 |
表1-5 聚合CAR配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
|
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
|
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
|
CE3000-32F以太网交换机 |
Release 1211 |
|
S5810系列以太网交换机 |
Release 1102 |
|
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
|
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
l Switch A的配置
# 创建高级IPv4 ACL 3000,匹配管理部的HTTP流量。
<SwitchA> system-view
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit tcp destination-port eq 80 source 192.168.1.0 0.0.0.255
[SwitchA-acl-adv 3000] quit
# 创建流分类admin_http,匹配规则为ACL 3000。
[SwitchA] traffic classifier admin_http
[SwitchA-classifier-admin_http] if-match acl 3000
[SwitchA-classifier-admin_http] quit
# 创建分层CAR,命名为admin&rd,配置管理部与研发部总体上网流量承诺速率为768Kbps,承诺突发尺寸为5120bytes。
[SwitchA] qos car admin&rd hierarchy cir 768 cbs 5120
# 创建流行为admin_http,动作为流量监管,承诺速率为512Kbps,承诺突发尺寸为3840bytes,并以and模式引用分层CAR“admin&rd”。
[SwitchA] traffic behavior admin_http
[SwitchA-behavior-admin_http] car cir 512 cbs 3840 hierarchy-car admin&rd mode and
[SwitchA-behavior-admin_http] quit
# 创建QoS策略admin_http,将上面配置的流分类与流分类进行关联。
[SwitchA] qos policy admin_http
[SwitchA-qospolicy-admin_http] classifier admin_http behavior admin_http
[SwitchA-qospolicy-admin_http]
# 在GigabitEthernet1/0/1端口入方向应用QoS策略admin_http。
[SwitchA] interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] qos apply policy admin_http inbound
[SwitchA-GigabitEthernet1/0/1] quit
# 创建高级IPv4 ACL 3001,匹配研发部的HTTP流量。
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule permit tcp destination-port eq 80 source 192.168.2.0 0.0.0.255
[SwitchA-acl-adv-3001] quit
# 创建流分类rd_http,匹配规则为ACL 3001。
[SwitchA] traffic classifier rd_http
[SwitchA-classifier-rd_http] if-match acl 3001
[SwitchA-classifier-rd_http] quit
# 创建流行为rd_http,动作为流量监管,承诺速率为384Kbps,承诺突发尺寸为2560bytes,并以and模式引用分层CAR“admin&rd”。
[SwitchA] traffic behavior rd_http
[SwitchA-behavior-rd_http] car cir 384 cbs 2560 hierarchy-car admin&rd mo and
[SwitchA-behavior-rd_http] quit
# 创建QoS策略rd_http,将上面配置的流分类与流分类进行关联。
[SwitchA] qos policy rd_http
[SwitchA-qospolicy-rd_http] classifier rd_http behavior rd_http
[SwitchA-qospolicy-rd_http]
# 在GigabitEthernet1/0/2端口入方向应用QoS策略rd_http。
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] qos apply policy rd_http inbound
l Switch B的配置
# 创建二层ACL 4000,匹配源MAC地址为视频设备MAC地址的流量。
<SwitchB> system-view
[SwitchB] acl number 4000
[SwitchB-acl-ethernetframe-4000] rule permit source-mac 000f-e200-0000 ffff-ff00-0000
[SwitchB-acl-ethernetframe-4000] quit
# 创建高级IPv4 ACL 3000,匹配市场二部发送的HTTP流量。
[SwitchB] acl number 3000
[SwitchB-acl-adv-3000] rule permit tcp destination-port eq 80 source 192.168.4.0 0.0.0.255
[SwitchB-acl-adv-3000] quit
# 创建流分类mkt1_video,匹配规则为ACL 4000。
[SwitchB] traffic classifier mkt1_video
[SwitchB-classifier-mkt1_video] if-match acl 4000
[SwitchB-classifier-mkt1_video] quit
# 创建分层CAR,命名为mkt_total,配置市场一部与市场二部的上行总流量承诺速率为4096Kbps,承诺突发尺寸为25600bytes。
[SwitchB] qos car mkt_total hierarchy cir 4096 cbs 25600
# 创建流行为mkt1_video,动作为流量监管,承诺速率为2048Kbps,承诺突发尺寸为12800bytes,并以or模式引用分层CAR“mkt_total”。
[SwitchB] traffic behavior mkt1_video
[SwitchB-behavior-mkt1_video] car cir 2048 cbs 12800 hierarchy-car mkt_total mode or
[SwitchB-behavior-mkt1_video] quit
在本例中,对市场一部视频流量的承诺速率可以任意指定,因为该流量应用的是分层CAR的or模式,所以实际生效的限速值是分层CAR中指定的4096kbps。
# 创建QoS策略mkt1_video,将流分类mkt1_video与流行为mkt1_video进行关联。
[SwitchB] qos policy mkt1_video
[SwitchB-qospolicy-mkt1_video] classfier mkt1_video behavior mkt1_video
[SwitchB-qospolicy-mkt1_video] quit
# 在GigabitEthernet1/0/1端口的入方向应用QoS策略mkt1_video。
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] qos apply policy mkt1_video inbound
[SwitchB-GigabitEthernet1/0/1] quit
# 创建流分类mkt2_http,匹配规则为ACL 3000。
[SwitchB] traffic classifier mkt2_http
[SwitchB-classifier-mkt2_http] if-match acl 3000
[SwitchB-classifier-mkt2_http] quit
# 创建流行为mkt2_http,动作为流量监管,承诺速率为2048Kbps,承诺突发尺寸为12800bytes,并以and模式引用分层CAR“mkt_total”。
[SwitchB] traffic behavior mkt2_http
[SwitchB-behavior-mkt2_http] car cir 2048 cbs 12800 hierarchy-car mkt_total mode and
[SwitchB-behavior-mkt2_http] quit
# 创建QoS策略mkt2_http,将流分类mkt2_http与流行为mkt2_http进行关联。
[SwitchB] qos policy mkt2_http
[SwitchB-qospolicy-mkt2_http] classfier mkt2_http behavior mkt2_http
[SwitchB-qospolicy-mkt2_http] quit
# 在GigabitEthernet1/0/2端口的入方向应用QoS策略mkt2_http。
[SwitchB] interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] qos apply policy mkt2_http inbound
l Switch C的配置
# 创建基本IPv4 ACL 2000,匹配所有部门的流量。
<SwitchC> system-view
[SwitchC] acl number 2000
[SwitchC-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[SwitchC-acl-basic-2000] rule permit source 192.168.2.0 0.0.0.255
[SwitchC-acl-basic-2000] rule permit source 192.168.3.0 0.0.0.255
[SwitchC-acl-basic-2000] rule permit source 192.168.4.0 0.0.0.255
[SwitchC-acl-basic-2000] quit
# 创建流分类global,匹配规则为ACL 2000。
[SwitchC] traffic classifier global
[SwitchC-classifier-global] if-match acl 2000
[SwitchC-classifier-global]
# 创建聚合CAR,名为global,配置承诺速率为8192Kbps,承诺突发尺寸为51200bytes。
[SwitchC] qos car global aggregative cir 8192 cbs 51200
# 创建流行为global,引用聚合CAR“global”。
[SwitchC] traffic behavior global
[SwitchC-behavior-global] car name global
[SwitchC-bahavior-global] quit
# 创建QoS策略global,将流分类global与流行为global进行关联。
[SwitchC] qos policy global
[SwitchC-qospolicy-global] classifier global behavior global
[SwitchC-qospolicy-global] quit
# 在GigabitEthernet1/0/1端口的入方向应用QoS策略global。
[SwitchC] interface GigabitEthernet 1/0/1
[SwitchC-GigabitEthernet1/0/1] qos apply policy global inbound
[SwitchC-GigabitEthernet1/0/1] quit
# 在GigabitEthernet1/0/2端口的入方向应用QoS策略global。
[SwitchC] interface GigabitEthernet 1/0/2
[SwitchC-GigabitEthernet1/0/2] qos apply policy global inbound
[SwitchC-GigabitEthernet1/0/2] quit
l Switch A的完整配置
#
qos car admin&rd hierarchy cir 768 cbs 5120
#
acl number 3000
rule 0 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq www
acl number 3001
rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
#
traffic classifier admin_http operator and
if-match acl 3000
traffic classifier rd_http operator and
if-match acl 3001
#
traffic behavior admin_http
car cir 512 cbs 3840 ebs 512 green pass red discard yellow pass hierarchy-car a
dmin&rd mode and
traffic behavior rd_http
car cir 384 cbs 2560 ebs 512 green pass red discard yellow pass hierarchy-car a
dmin&rd mode and
#
qos policy admin_http
classifier admin_http behavior admin_http
qos policy rd_http
classifier rd_http behavior rd_http
#
interface GigabitEthernet1/0/1
qos apply policy admin_http inbound
#
interface GigabitEthernet1/0/2
qos apply policy rd_http inbound
l Switch B的完整配置
#
qos car mkt_total hierarchy cir 4096 cbs 25600
#
acl number 3000
rule 0 permit tcp source 192.168.3.0 0.0.0.255 destination-port eq www
#
acl number 4000
rule 0 permit source-mac 000f-e200-0000 ffff-ff00-0000
#
traffic classifier mkt1_video operator and
if-match acl 4000
traffic classifier mkt2_http operator and
if-match acl 3000
#
traffic behavior mkt1_video
car cir 2048 cbs 12800 ebs 512 green pass red discard yellow pass hierarchy-car mkt_total mode or
traffic behavior mkt2_http
car cir 2048 cbs 12800 ebs 512 green pass red discard yellow pass hierarchy-car mkt_total mode and
#
qos policy mkt1_video
classifier mkt1_video behavior mkt1_video
qos policy mkt2_http
classifier mkt2_http behavior mkt2_http
#
interface GigabitEthernet1/0/1
qos apply policy mkt1_video inbound
#
interface GigabitEthernet1/0/2
qos apply policy mkt2_http inbound
l Switch C的完整配置
#
qos car global aggregative cir 8192 cbs 51200 ebs 512 green pass yellow pass red discard
#
acl number 2000
rule 0 permit source 192.168.1.0 0.0.0.255
rule 5 permit source 192.168.2.0 0.0.0.255
rule 10 permit source 192.168.3.0 0.0.0.255
rule 15 permit source 192.168.4.0 0.0.0.255
#
traffic classifier global operator and
if-match acl 4000
#
traffic behavior global
car name global
#
qos policy global
classifier global behavior global
#
interface GigabitEthernet1/0/1
qos apply policy global inbound
#
interface GigabitEthernet1/0/2
qos apply policy global inbound
如果流分类的匹配规则为ACL,且ACL中具有多条rule,则无论流分类的逻辑关系是与还是或,对于ACL中各条rule规则都以“或”的形式进行匹配,即只要满足ACL其中一条rule规则,就表示匹配该流分类。
表1-6 各产品支持的流量监管参数配置限制和范围
|
产品 |
cir的配置限制和取值范围(kbps) |
cbs的配置限制和取值范围(bytes) |
ebs的配置限制和取值范围(bytes) |
pir的配置限制和取值范围(kbps) |
|
S7500E系列以太网交换机(Release6100系列,Release 6300系列) |
取值范围为64~10000000,且必须为64的倍数 |
取值范围为4000~16000000,缺省值为4000byte |
取值范围为0~16000000,缺省值为4000byte |
取值范围为64~10000000,且必须为64的倍数 |
|
S7500E系列以太网交换机(Release6600系列,Release6610系列) S7600系列以太网交换机(Release6600系列,Release6610系列) |
取值范围为8~10000000。在不同单板上,实际生效的数值可能与用户输入的数值存在差异: l 在SA、SC、EA单板上,如果用户输入的数值小于64,则实际生效的数值为64;如果用户输入的数值大于64且不是64的整数倍,则实际生效的数值为小于且最接近于用户输入值的64的整数倍。 l 在SD、EB单板上,用户配置的数值必须是8的倍数。 |
取值范围为512~16000000,缺省值为512byte |
取值范围为0~16000000,缺省值为512byte。 |
取值范围为8~10000000。在不同单板上,实际生效的数值可能与用户输入的数值存在差异: l 在SA、SC、EA单板上,如果用户输入的数值小于64,则实际生效的数值为64;如果用户输入的数值大于64且不是64的整数倍,则实际生效的数值为小于且最接近于用户输入值的64的整数倍。 l 在SD、EB单板上,用户配置的数值必须是8的倍数。 |
|
S5800&S5820X系列以太网交换机 CE3000-32F以太网交换机 |
取值范围为8~32000000,且必须是8的整数倍 |
取值范围为512~16000000,缺省取值为512 |
取值范围为0~16000000,缺省值为512 |
取值范围为8~32000000,且必须是8的整数倍 |
|
S5810系列以太网交换机 |
l 千兆端口下:1~1000000 l 万兆端口及流行为视图下:1~10000000 |
取值范围为0~10000000,缺省取值为100000 |
取值范围为0~10000000,缺省取值为100000 |
l 千兆端口下:1~1000000 l 万兆端口及流行为视图下:1~10000000 |
|
S5500-EI系列以太网交换机(Release2202) |
取值范围为64~32000000,且必须为64的倍数 |
取值范围为4000~16000000,缺省值为4000byte |
取值范围为0~16000000,缺省值为4000byte |
取值范围为64~32000000,且必须为64的倍数 |
|
S5500-EI系列以太网交换机(Release2208) |
取值范围为64~10000000且必须为64的整数倍 |
取值范围4000~16000000,缺省取值为62.5 × committed-information-rate |
取值范围为0~16000000,缺省值为4000byte |
取值范围为64~10000000,且必须为64的倍数 |
|
S5500-SI系列以太网交换机(Release2202) S5120-EI系列以太网交换机(Release2202) |
64~32000000,且必须为64的倍数 |
取值范围为4000~16000000,缺省值为4000byte |
取值范围为0~16000000,缺省值为4000byte |
取值范围为64~32000000,且必须为64的倍数 |
|
S5500-SI系列以太网交换机(Release2202) S5120-EI系列以太网交换机(Release2202) |
取值范围为64~10000000且必须为64的整数倍 |
取值范围4000~16000000,缺省取值为62.5 × committed-information-rate |
取值范围为0~16000000,缺省值为4000byte |
取值范围为64~10000000,且必须为64的倍数 |
|
S3610系列以太网交换机 |
l 百兆端口下:4~100000 l 千兆端口及流行为视图下:4~1000000 |
取值范围为0~10000000,缺省值为100000 |
取值范围为0~10000000,缺省值为100000 |
l 百兆端口下:4~100000 l 千兆端口及流行为视图下:4~1000000 |
|
S5510系列以太网交换机 |
取值范围为4~1000000 |
取值范围为0~10000000,缺省值为100000 |
取值范围为0~10000000,缺省值为100000 |
取值范围为4~1000000 |
|
S3500-EA系列以太网交换机 |
l 百兆端口下:4~100000 l 千兆端口及流行为视图下:4~1000000 |
取值范围为0~10000000,缺省值为100000 |
取值范围为0~10000000,缺省值为100000 |
l 百兆端口下:4~100000 l 千兆端口及流行为视图下:4~1000000 |
|
S3100V2-EI系列以太网交换机 |
取值范围为64~1000000且必须为64的整数倍 |
取值范围为8192~1040384,缺省取值为8192 |
不支持 |
不支持 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
