- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
23-QoS-QoS Profile操作
本章节下载 (516.76 KB)
QoS(Quality of Service,服务质量)是各种存在服务供需关系的场合中普遍存在的概念,它评估服务方满足客户服务需求的能力。评估通常不是精确的评分,而是注重分析在什么条件下服务是好的,在什么情况下还存在着不足,以便服务方有针对性地做出改进。
在Internet中,QoS所评估的就是网络转发分组的服务能力。由于网络提供的服务是多样的,因此对QoS的评估可以基于不同方面。通常所说的QoS,是对分组转发过程中为延迟、抖动、丢包率等核心需求提供支持的服务能力的评估。
传统的IP网络无区别地对待所有的报文,设备处理报文采用的策略是FIFO(First In First Out,先入先出),它依照报文到达时间的先后顺序分配转发所需要的资源。所有报文共享网络和设备的资源,至于得到资源的多少完全取决于报文到达的时机。这种服务策略称作Best-Effort,它尽最大的努力将报文送到目的地,但对分组转发的延迟、抖动、丢包率和可靠性等需求不提供任何承诺和保证。
传统的Best-Effort服务策略只适用于对带宽、延迟性能不敏感的WWW、文件传输、E-mail等业务。
随着计算机网络的高速发展,越来越多的网络接入Internet。Internet无论从规模、覆盖范围和用户数量上都拓展得非常快。越来越多的用户使用Internet作为数据传输的平台,开展各种应用。
除了传统的WWW、E-mail、FTP应用外,用户还尝试在Internet上拓展新业务,比如远程教学、远程医疗、可视电话、电视会议、视频点播等。企业用户也希望通过VPN技术,将分布在各地的分支机构连接起来,开展一些事务性应用:比如访问公司的数据库或通过Telnet管理远程设备。
这些新业务有一个共同特点,即对带宽、延迟、抖动等传输性能有着特殊的需求。比如电视会议、视频点播需要高带宽、低延迟和低抖动的保证。事务处理、Telnet等关键任务虽然不一定要求高带宽,但非常注重低延迟,在拥塞发生时要求优先获得处理。
新业务的不断涌现对IP网络的服务能力提出了更高的要求,用户已不再满足于能够简单地将报文送达目的地,而是还希望在转发过程中得到更好的服务,诸如支持为用户提供专用带宽、减少报文的丢失率、管理和避免网络拥塞、调控网络的流量、设置报文的优先级。所有这些,都要求网络应当具备更为完善的服务能力。
图1-1 端到端QoS模型图
如图1-1所示,流分类、流量监管、流量整形、拥塞管理和拥塞避免是构造Diff-Serv(有区别地实施服务)的基石,它们主要完成如下功能:
l 流分类:依据一定的匹配规则识别出对象。流分类是有区别地实施服务的前提,通常作用在端口入方向。
l 流量监管:对进入设备的特定流量进行监管,通常作用在端口入方向。当流量超出约定值时,可以采取限制或惩罚措施,以保护运营商的商业利益和网络资源不受损害。
l 流量整形:一种主动调整流的输出速率的流控措施,通常是为了使流量适配下游设备可供给的网络资源,避免不必要的报文丢弃和拥塞,作用在端口出方向。
l 拥塞管理:拥塞管理是必须采取的解决资源竞争的措施。通常是将报文放入队列中缓存,并采取某种调度算法安排报文的转发次序,作用在端口出方向。
l 拥塞避免:过度的拥塞会对网络资源造成损害。拥塞避免监督网络资源的使用情况,当发现拥塞有加剧的趋势时采取主动丢弃报文的策略,通过调整流量来解除网络的过载,作用在端口出方向。
在这些流量管理技术中,流分类是基础,它依据一定的匹配规则识别出报文,是有区别地实施服务的前提;而流量监管、流量整形、拥塞管理和拥塞避免从不同方面对网络流量及其分配的资源实施控制,是有区别地提供服务思想的具体体现。
S2000-EA系列以太网交换机支持的QoS功能如表1-1所示。
表1-1 S2000-EA系列以太网交换机支持的QoS功能
|
QoS功能 |
功能简介 |
参考部分 |
|
流分类 |
以ACL为基础对进入设备的报文进行分类,S2000-EA交换机支持的ACL如下: l 基本ACL l 高级ACL l 二层ACL |
关于各种ACL的详细介绍请参见ACL操作、命令手册; 本模块对流分类进行了简单介绍,请参见1.3.1 |
|
QoS动作 |
S2000-EA交换机支持对匹配指定ACL规则的报文进行以下QoS动作: l 优先级重标记 l 流量监管 l 重定向 l 流量统计 l 流镜像 |
优先级重标记,请参见1.3.3 流量监管,请参见1.3.4 重定向,请参见1.3.6 流量统计,请参见1.3.8 流镜像,请参见1.3.10 |
|
在S2000-EA交换机上还可根据需要指定如下QoS动作: l 优先级信任模式 l 流量整形 l 端口限速功能 l burst功能 |
优先级信任模式,请参见1.3.2 流量整形,请参见1.3.4 端口限速功能,请参见1.3.5 burst功能,请参见1.3.9 |
|
|
拥塞管理 |
S2000-EA交换机支持SP、WRR和HQ-WRR三种队列调度算法 |
关于SP、WRR和HQ-WRR三种队列调度算法的介绍请参见1.3.7 |
流即业务流(traffic),指所有通过交换机的报文。
流分类(traffic classification)是指采用一定的规则识别符合某类特征的报文,它是有区别地进行服务的前提和基础。
分类规则可以使用IP报文头的ToS(Type of Service,服务类型)字段的优先级位,识别出有不同优先级特征的流量;也可以由网络管理者设置流分类的策略,例如综合源地址、目的地址、MAC地址、IP协议或应用程序的端口号等信息对流进行分类。一般的分类依据都局限在封装报文的头部信息,使用报文的内容作为分类的标准是比较少见的。分类的结果是没有范围限制的,它可以是一个由五元组(源地址、源端口号、协议号、目的地址、目的端口号)确定的狭小范围,也可以是到某网段的所有报文。
(1) IP优先级、ToS优先级和DSCP优先级
图1-2 DS域和ToS字节
IP header的ToS字段有8个bit,其中:
l 前3个bit表示的是IP优先级,取值范围为0~7;
l 第3~6这4个bit表示的是ToS优先级,取值范围为0~15;
l RFC2474重新定义了IP报文头部的ToS域,称之为DS域,其中DSCP(Differentiated Services CodePoint,差分服务编码点)优先级用该域的前6个bit(0~5bit)表示,取值范围为0~63,后2个bit(6、7bit)是保留位。
表1-2 IP优先级说明
|
IP优先级(十进制) |
IP优先级(二进制) |
关键字 |
|
0 |
000 |
routine |
|
1 |
001 |
priority |
|
2 |
010 |
immediate |
|
3 |
011 |
flash |
|
4 |
100 |
flash-override |
|
5 |
101 |
critical |
|
6 |
110 |
internet |
|
7 |
111 |
network |
Diff-Serv网络定义了四类流量,设备会根据报文中的DSCP优先级对报文执行相应的动作:
l 加速转发(Expedited Forwarding,EF)类,这种方式不用考虑其他流量是否分享其链路,适用于低时延、低丢失、低抖动、确保带宽的优先业务(如虚租用线路);
l 确保转发(Assured Forwarding,AF)类,又分为四个小类(AF1/2/3/4),每个AF小类又分为三个丢弃优先级,可以细分AF业务的等级,AF类的QoS等级低于EF类;
l 兼容IP优先级(Class Selector,CS)类,是从IP ToS字段演变而来的,共8类;
l 尽力转发(Best Effort,BE)类,是CS中特殊一类,没有任何保证,AF类超限后可以降级为BE类,现有IP网络流量也都默认为此类。
表1-3 DSCP优先级说明
|
DSCP优先级(十进制) |
DSCP优先级(二进制) |
关键字 |
|
46 |
101110 |
ef |
|
10 |
001010 |
af11 |
|
12 |
001100 |
af12 |
|
14 |
001110 |
af13 |
|
18 |
010010 |
af21 |
|
20 |
010100 |
af22 |
|
22 |
010110 |
af23 |
|
26 |
011010 |
af31 |
|
28 |
011100 |
af32 |
|
30 |
011110 |
af33 |
|
34 |
100010 |
af41 |
|
36 |
100100 |
af42 |
|
38 |
100110 |
af43 |
|
8 |
001000 |
cs1 |
|
16 |
010000 |
cs2 |
|
24 |
011000 |
cs3 |
|
32 |
100000 |
cs4 |
|
40 |
101000 |
cs5 |
|
48 |
110000 |
cs6 |
|
56 |
111000 |
cs7 |
|
0 |
000000 |
be(default) |
(2) 802.1p优先级
802.1p优先级位于二层报文头部,适用于不需要分析三层报头,而需要在二层环境下保证QoS的场合。
图1-3 带有802.1Q标签头的以太网帧
如图1-3所示,4个字节的802.1Q标签头包含了2个字节的TPID(Tag Protocol Identifier,标签协议标识,取值为0x8100)和2个字节的TCI(Tag Control Information,标签控制信息),图1-4显示了802.1Q标签头的详细内容。
图1-4 802.1Q标签头
在上图中,TCI中Priority字段就是802.1p优先级,也称为CoS优先级。它由3个bit组成,取值范围为0~7。
表1-4 802.1p优先级说明
|
802.1p优先级(十进制) |
802.1p优先级(二进制) |
关键字 |
|
0 |
000 |
best-effort |
|
1 |
001 |
background |
|
2 |
010 |
spare |
|
3 |
011 |
excellent-effort |
|
4 |
100 |
controlled-load |
|
5 |
101 |
video |
|
6 |
110 |
voice |
|
7 |
111 |
network-management |
之所以称此优先级为802.1p优先级,是因为有关这些优先级的应用是在802.1p规范中被详细定义。
(3) 本地优先级
本地优先级是交换机为报文分配的一种具有本地意义的优先级,对应queue0~queue3四个出端口硬件队列,本地优先级值大的报文被优先处理。本地优先级只在本地队列调度时有效,为临时优先级。
报文在进入交换机以后,交换机会根据自身支持的情况和相应的规则为报文标记802.1p优先级、本地优先级等参数。
(1) 对于不带有802.1Q标签头的报文
对端口接收到的不带有802.1Q标签头的报文,交换机使用接收端口的优先级作为报文的802.1p优先级,然后根据802.1p优先级和本地优先级映射关系,为报文分配本地优先级进行队列调度。
(2) 对于带有802.1Q标签头的报文
对于带有802.1Q标签头的报文,用户还可以配置信任报文的优先级模式,优先级信任模式分为信任端口优先级模式和信任报文优先级模式,具体采用何种优先级模式,可通过命令priority trust设置。缺省情况下,S2000-EA系列以太网交换机采用信任端口优先级模式。
l 信任端口优先级模式:配置优先级信任模式为“信任端口优先级模式”后,当交换机端口接收到带有802.1Q标签头的报文时,会使用接收端口的优先级值替换接收到的报文的802.1p优先级值,然后根据802.1p优先级和本地优先级映射关系,为报文分配本地优先级进行队列调度。
l 信任报文优先级模式:配置优先级信任模式为“信任报文优先级模式”后,用户还可以根据需求进一步配置采用何种信任报文优先级。信任报文优先级模式具体可分为两种信任类型(信任802.1p优先级或DSCP优先级)。当配置信任报文优先级后,如不指定具体信任何种类型的报文优先级,则交换机信任报文的802.1p优先级。两种信任报文优先级模式的说明请参见表1-5。
|
信任报文优先级模式 |
说明 |
|
信任802.1p优先级 |
交换机根据报文自身的802.1p优先级,查找802.1p优先级到本地优先级映射表,然后为报文分配本地优先级。 |
|
信任DSCP优先级 |
交换机根据报文自身的802.1p优先级,查找802.1p优先级到本地优先级映射表,然后为报文分配本地优先级。 |
交换机提供缺省的802.1p优先级到本地优先级映射表、DSCP优先级到本地优先级映射表,如表1-6和表1-7所示。用户可通过命令行配置修改缺省的映射关系,具体配置请参见1.4.1 。
表1-6 802.1p优先级到本地优先级映射表
|
802.1p优先级(CoS) |
本地优先级(Local Precedence) |
|
0 |
1 |
|
1 |
0 |
|
2 |
0 |
|
3 |
1 |
|
4 |
2 |
|
5 |
2 |
|
6 |
3 |
|
7 |
3 |
表1-7 DSCP优先级到本地优先级映射表
|
DSCP优先级 |
本地优先级(Local Precedence) |
|
0~15 |
0 |
|
16~31 |
1 |
|
32~47 |
2 |
|
48~63 |
3 |
优先级重标记功能通过引用ACL进行流识别,为匹配的报文重新指定优先级。
l 如果重标记了802.1p优先级,则这类报文根据新标记的802.1p优先级映射到本地优先级,然后进入相应的出端口队列;
l 如果重标记了本地优先级,则这类报文根据新标记的本地优先级进入相应的出端口队列;
l 如果重标记了DSCP优先级,则这类报文的DSCP优先级将被修改为指定的数值。
如果不限制用户发送的流量,那么大量用户不断突发的数据只会使网络更拥挤。为了使有限的网络资源能够更好地发挥效用,更好地为更多的用户服务,必须对用户的流量加以限制。比如限制每个时间间隔某个流只能得到承诺分配给它的那部分资源,防止由于过分突发所引发的网络拥塞。
流量监管和流量整形就是一种通过对流量进行监督,来限制流量及其资源使用的流控策略。进行流量监管和流量整形有一个前提条件,就是要知道流量是否超出了限制,然后才能根据评估结果实施调控策略。一般采用令牌桶(Token Bucket)对流量进行评估。
令牌桶可以看作是一个存放令牌的容器,它有一定的容量。系统按设定的速度向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令牌不再增加。
图1-5 用令牌桶评测流量
在使用令牌桶对流量进行评估时,是以令牌桶中的令牌数量是否足够满足报文的转发为依据的。如果桶中存在足够的令牌可以用来转发报文,称流量遵守或符合(conforming)约定值,否则称为不符合或超标(excess)。
评估流量时令牌桶的参数设置包括:
l 平均速率:向桶中放置令牌的速率,即允许的流的平均速度。通常设置为CIR(Committed Information Rate,承诺信息速率)。
l 突发尺寸:令牌桶的容量,即每次突发所允许的最大的流量尺寸。通常设置为CBS(Committed Burst Size,承诺突发尺寸),设置的突发尺寸必须大于最大报文长度。
每到达一个报文就进行一次评估。每次评估,如果桶中有足够的令牌可供使用,则说明流量控制在允许的范围内,此时要从桶中取走与报文转发权限相当的令牌数量;否则说明已经耗费太多令牌,流量超标了。
流量监管的典型应用是监督进入网络的某一流量,把它限制在一个合理的范围之内,或对超出的部分流量进行“惩罚”,以保护网络资源和运营商的利益。例如可以限制HTTP报文不能占用超过50%的网络带宽。如果发现某个连接的流量超标,流量监管可以选择丢弃报文,或重新设置报文的优先级。
流量监管广泛的用于监管进入因特网服务提供商ISP的网络流量。流量监管还包括对所监管流量的流分类服务,并依据不同的评估结果,实施预先设定好的监管动作。这些动作可以是:
l 丢弃:比如对评估结果为“不符合”的报文进行丢弃;
l 转发:比如对评估结果为“符合”或者“不符合”的报文进行转发;
l 改变802.1p优先级并转发:比如对评估结果为“符合”的报文,将之标记为其它的802.1p优先级后再进行转发;
l 改变DSCP优先级并转发:比如对评估结果为“符合”或者“不符合”的报文,将之标记为其它的DSCP优先级后再进行转发。
TS(Traffic Shaping,流量整形)是一种主动调整流量输出速率的措施。一个典型应用是基于下游网络结点的TP指标来控制本地流量的输出。
流量整形与流量监管的主要区别在于,流量整形对流量监管中需要丢弃的报文进行缓存——通常是将它们放入缓冲区或队列内,如图1-6所示。当令牌桶有足够的令牌时,再均匀的向外发送这些被缓存的报文。流量整形与流量监管的另一区别是,整形可能会增加延迟,而监管几乎不引入额外的延迟。
图1-6 TS示意图
例如,设备A向设备B发送报文。设备B要对设备A发送来的报文进行流量监管,对超出限制的流量直接丢弃。
为了减少报文的无谓丢失,可以在设备A的出口对报文进行流量整形处理。将超出流量整形特性的报文缓存在设备A中。当可以继续发送下一批报文时,流量整形再从缓冲队列中取出报文进行发送。这样,发向设备B的报文将都符合设备B的流量规定。
端口限速(Line Rate)是指基于端口的速率限制,它对端口接收或发送报文的总速率进行限制。
端口限速也是采用令牌桶进行流量控制。如果在设备的某个端口上配置了端口限速,所有经由该端口接收或发送的报文首先要经过令牌桶进行处理。如果令牌桶中有足够的令牌,则报文可以被接收或发送;否则,报文将被丢弃。
与流量监管相比,端口限速能够限制在端口上通过的所有报文。当用户只要求对所有报文限速时,使用端口限速比较简单。
重定向功能是指通过引用ACL进行流识别,将匹配的报文重定向到指定的端口。用户可以使用重定向功能改变报文的转发流程,满足特定的需要。
当网络拥塞时,必须解决多个报文同时竞争使用资源的问题,通常采用队列调度加以解决。
下面介绍SP(Strict-Priority,严格优先级队列)、WRR(Weighted Round Robin,加权轮询优先级队列)和HQ-WRR(High Queue-WRR,高优先级加权轮询队列)调度算法。
(1) SP队列
图1-7 SP队列示意图
SP队列调度算法是针对关键业务型应用设计的。关键业务有一个重要的特点,即在拥塞发生时要求优先获得服务以减小响应的延迟。以端口有4个输出队列为例,优先队列将端口的4个输出队列分成4类,依次为3、2、1、0队列,它们的优先级依次降低。
在队列调度时,SP严格按照优先级从高到低的次序优先发送较高优先级队列中的分组,当较高优先级队列为空时,再发送较低优先级队列中的分组。这样,将关键业务的分组放入较高优先级的队列,将非关键业务(如E-Mail)的分组放入较低优先级的队列,可以保证关键业务的分组被优先传送,非关键业务的分组在处理关键业务数据的空闲间隙被传送。
SP的缺点是:拥塞发生时,如果较高优先级队列中长时间有分组存在,那么低优先级队列中的报文就会由于得不到服务而“饿死”。
(2) WRR队列
图1-8 WRR队列示意图
WRR队列调度算法在队列之间进行轮流调度,保证每个队列都得到一定的服务时间。以端口有4个输出队列为例,WRR可为每个队列配置一个加权值(queue3~queue0对应的加权值依次为w3、w2、w1、w0),加权值表示获取资源的比重。如一个100M的端口,配置它的WRR队列调度算法的加权值为5、3、1、1(依次对应w3、w2、w1、w0),这样可以保证最低优先级队列至少获得10Mbit/s(100Mbps*1/(5+3+1+1))带宽,避免了采用SP调度时低优先级队列中的报文可能长时间得不到服务的缺点。WRR队列还有一个优点是,虽然多个队列的调度是轮询进行的,但对每个队列不是固定地分配服务时间片——如果某个队列为空,那么马上换到下一个队列调度,这样带宽资源可以得到充分的利用。
(3) HQ-WRR队列
HQ-WRR队列调度算法在WRR的基础上,在4个输出队列中选择队列3为高优先级队列。如果4个队列的占用的带宽超过了端口的能力,交换机首先保证队列3的报文优先发送出去,然后对其余3个队列实行WRR调度。
基于流的流量统计功能通过引用ACL进行流识别,对匹配的报文进行流量统计。它可以帮助用户针对感兴趣的报文作统计分析。
在下列情况下,Burst功能可以提供更好的报文缓存功能和流量转发性能:
l 广播或者组播报文流量密集,瞬间突发流量大的网络环境中。
l 报文从高速链路进入设备,由低速链路转发出去;或者报文从相同速率的多个接口同时进入设备,由一个相同速率的接口转发出去。
用户可以通过开启Burst功能,降低设备在上述特定环境中的报文丢包率,提高对报文的处理能力。需要注意的是,开启Burst功能后,设备的QoS性能可能会受到影响,建议用户根据自己的具体网络环境进行配置。
流镜像功能是指通过引用ACL进行流识别,将通过指定端口的匹配ACL规则的报文镜像到目的端口。关于镜像的详细介绍请参见“镜像”部分。
表1-8 QoS配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置优先级信任模式 |
可选 |
|
|
配置优先级之间的映射关系 |
可选 |
|
|
配置优先级重标记 |
可选 |
|
|
配置流量监管 |
可选 |
|
|
配置端口限速 |
可选 |
|
|
配置重定向 |
可选 |
|
|
配置队列调度 |
可选 |
|
|
配置流量统计 |
可选 |
|
|
配置Burst功能 |
可选 |
|
|
配置流镜像 |
可选 |
优先级信任模式分为两种。
l 信任端口优先级模式:缺省情况下,S2000-EA系列以太网交换机采用“信任端口优先级”模式。
l 信任报文优先级模式:“信任报文优先级”模式具体可分为两种,信任报文的802.1p优先级或信任报文的DSCP优先级。当配置信任报文优先级后,如不指定具体信任何种类型的报文优先级,则交换机信任报文的802.1p优先级
优先级信任模式的详细介绍,请参见1.3.2 2. 优先级信任模式。
已确定要配置的优先级信任模式。
用户可根据需求选择优先级信任模式为“信任端口优先级”或“信任报文优先级”,具体配置请参见表1-9。
表1-9 配置优先级信任模式
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
配置优先级信任模式为“信任端口优先级” |
配置信任端口优先级 |
undo priority trust |
可选 缺省情况下,S2000-EA系列交换机的优先级模式为“信任端口优先级” |
二者选其一 |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
||
|
配置端口优先级值 |
priority priority-level |
可选 缺省情况下,端口优先级为0 |
||
|
退回系统视图 |
quit |
- |
||
|
配置优先级信任模式为“信任报文优先级” |
配置信任报文优先级 |
priority trust |
必选 缺省情况下,S2000-EA系列交换机的优先级模式为“信任端口优先级” l 当配置信任报文优先级后,如不指定具体信任何种类型的报文优先级,则交换机信任报文的802.1p优先级 l 如果用户需要在S2000-EA系列以太网交换机上配置信任DSCP报文优先级,则必须配置priority trust命令 |
|
|
配置具体信任何种类型的报文优先级 |
priority-trust { cos | dscp } |
必选 当配置信任报文优先级后,如不指定具体信任何种类型的报文优先级,则交换机信任802.1p(CoS)优先级 |
||
举例一:配置信任端口优先级模式,并设置端口Ethernet 1/0/1的优先级为7。
配置步骤:
<Sysname> system-view
[Sysname] undo priority trust
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] priority 7
举例二:配置信任模式为信任报文的DSCP优先级。
配置步骤:
<Sysname> system-view
[Sysname] priority trust
[Sysname] priority-trust dscp
举例四:配置信任模式为信任报文的802.1p(CoS)优先级。
配置步骤(方法一):
<Sysname> system-view
[Sysname] priority trust
配置步骤(方法二):
<Sysname> system-view
[Sysname] priority-trust cos
用户可以通过改变802.1p优先级到本地优先级和DSCP优先级到本地优先级的映射关系,从而改变802.1p优先级、DSCP优先级与出端口队列之间的映射关系,将不同优先级的报文放入相应的出端口队列进行调度。
用户已确定新的优先级映射关系。
表1-10 配置802.1p优先级和本地优先级之间的映射关系
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置802.1p优先级和本地优先级之间的映射关系 |
qos cos-local-precedence-map cos0-map-local-prec cos1-map-local-prec cos2-map-local-prec cos3-map-local-prec cos4-map-local-prec cos5-map-local-prec cos6-map-local-prec cos7-map-local-prec |
必选 |
表1-11 配置DSCP优先级和本地优先级之间的映射关系
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置DSCP优先级和本地优先级之间的映射关系 |
qos dscp-local-precedence-map dscp-list : local-precedence |
必选 |
l 配置802.1p优先级到本地优先级的映射关系为0->0、1->0、2->1、3->1、4->2、5->2、6->3、7->3
l 查看配置结果
配置步骤:
<Sysname> system-view
[sysname] qos cos-local-precedence-map 0 0 1 1 2 2 3 3
[sysname] display qos cos-local-precedence-map
cos-local-precedence-map:
cos(802.1p) : 0 1 2 3 4 5 6 7
local precedence(queue) : 0 0 1 1 2 2 3 3
优先级重标记功能有以下两种实现方式:
l 通过流量监管实现:在配置流量监管时,对符合流量或者超出流量的报文重新标记802.1p优先级、DSCP优先级,具体配置请参见1.4.4 配置流量监管
l 通过traffic-priority命令实现:用户可以使用traffic-priority命令重新标记报文的802.1p优先级、本地优先级和DSCP优先级
l 已确定进行流识别的ACL,具体配置请参见“ACL”部分的介绍
l 已确定对匹配规则的报文重新标记的优先级类型和取值
用户可以在全局、VLAN、端口组和端口配置优先级重标记。
表1-12 全局配置优先级重标记
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置优先级重标记 |
traffic-priority inbound acl-rule { dscp dscp-value | cos cos-value | local-precedence pre-value }* |
必选 缺省情况下,没有配置优先级重标记 |
表1-13 VLAN配置优先级重标记
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置优先级重标记 |
traffic-priority vlan vlan-id inbound acl-rule { dscp dscp-value | cos cos-value | local-precedence pre-value }* |
必选 缺省情况下,没有配置优先级重标记 |
表1-14 端口组配置优先级重标记
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入端口组视图 |
port-group group-id |
- |
|
配置优先级重标记 |
traffic-priority inbound acl-rule { dscp dscp-value | cos cos-value | local-precedence pre-value }* |
必选 缺省情况下,没有配置优先级重标记 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置优先级重标记 |
traffic-priority inbound acl-rule { dscp dscp-value | cos cos-value | local-precedence pre-value }* |
必选 缺省情况下,没有配置优先级重标记 |
& 说明:
在VLAN上配置的优先级重标记只能对带有802.1Q标签头的报文生效。
l 端口Ethernet 1/0/1属于VLAN 2,接入了10.1.1.0/24网段
l 将来自10.1.1.0/24网段的报文的DSCP优先级重新标记为56
配置一:
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Sysname-acl-basic-2000] quit
[Sysname] interface Ethernet1/0/1
[Sysname-Ethernet1/0/1] traffic-priority inbound ip-group 2000 dscp 56
配置二:
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Sysname-acl-basic-2000] quit
[Sysname] traffic-priority vlan 2 inbound ip-group 2000 dscp 56
在下面的配置中,target-rate参数即为CIR(Committed Information Rate,承诺信息速率),burst-bucket-size参数即为CBS(Committed Burst Size,承诺突发尺寸)。
l 已确定进行流识别的ACL,具体配置请参见“ACL”部分的介绍
l 已确定流量监管限制的速率、对于符合流量或者超出流量的报文采取的动作
用户可以在全局、VLAN、端口组和端口配置流量监管或者清除流量监管的统计信息。
表1-16 全局配置流量监管
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置流量监管 |
traffic-limit inbound acl-rule target-rate [ burst-bucket burst-bucket-size ] [ conform con-action ] [ exceed exceed-action ] [ meter-statistic ] |
必选 缺省情况下,没有配置流量监管 |
|
清除流量监管的统计信息 |
reset traffic-limit inbound acl-rule |
可选 |
表1-17 VLAN配置流量监管
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置流量监管 |
traffic-limit vlan vlan-id inbound acl-rule target-rate [ burst-bucket burst-bucket-size ] [ conform con-action ] [ exceed exceed-action ] [ meter-statistic ] |
必选 缺省情况下,没有配置流量监管 |
|
清除流量监管的统计信息 |
reset traffic-limit vlan vlan-id inbound acl-rule |
可选 |
表1-18 端口组配置流量监管
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入端口组视图 |
port-group group-id |
- |
|
配置流量监管 |
traffic-limit inbound acl-rule target-rate [ burst-bucket burst-bucket-size ] [ conform con-action ] [ exceed exceed-action ] [ meter-statistic ] |
必选 缺省情况下,没有配置流量监管 |
|
清除流量监管的统计信息 |
reset traffic-limit inbound acl-rule |
可选 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置流量监管 |
traffic-limit inbound acl-rule target-rate [ burst-bucket burst-bucket-size ] [ conform con-action ] [ exceed exceed-action ] [ meter-statistic ] |
必选 缺省情况下,没有配置流量监管 |
|
清除流量监管的统计信息 |
reset traffic-limit inbound acl-rule |
可选 |
& 说明:
在VLAN上配置的流量监管只能对带有802.1Q标签头的报文生效。
l 端口Ethernet1/0/1属于VLAN 2,接入了10.1.1.0/24网段
l 对来自10.1.1.0/24网段的流量进行流量监管,流量监管的速率设置为128kbps
l 对于超出流量的报文,重新标记报文的DSCP优先级为56后转发
配置一:
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Sysname-acl-basic-2000] quit
[Sysname] interface Ethernet1/0/1
[Sysname-Ethernet1/0/1] traffic-limit inbound ip-group 2000 128 exceed remark-dscp 56
配置二:
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Sysname-acl-basic-2000] quit
[Sysname] traffic-limit vlan 2 inbound ip-group 2000 128 exceed remark-dscp 56
l 已确定流量的最大速率和突发尺寸
l 已确定需要进行本配置的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置流量整形 |
traffic-shape queue queue-id max-rate burst-size |
必选 缺省情况下,没有配置流量整形 |
# 对S2000-EA交换机的端口Ethernet1/0/1的队列2配置流量整形,配置队列2发送的流量的最大速率为640Kbps,突发尺寸为16Kbytes。
<Sysname> system-view
[Sysname] interface Ethernet1/0/1
[Sysname-Ethernet1/0/1] traffic-shape queue 2 640 16
在下面的配置中,target-rate参数即为CIR(Committed Information Rate,承诺信息速率)。
l 已确定需要进行限速的端口
l 已确定限速的方向和速率
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置端口限速 |
line-rate { inbound | outbound } target-rate |
必选 缺省情况下,没有配置端口限速 |
在端口Ethernet 1/0/1的入方向配置端口限速,限定速率为1024Kbps。
配置步骤:
<Sysname> system-view
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] line-rate inbound 1024
l 已确定进行流识别的ACL,具体配置请参见“ACL”部分的介绍
l 已确定报文被重定向后的目的地
用户可以在全局、VLAN、端口组和端口配置重定向。
表1-22 全局配置重定向
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置重定向 |
traffic-redirect inbound acl-rule { cpu | interface interface-type interface-number } |
必选 |
表1-23 VLAN配置重定向
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置重定向 |
traffic-redirect vlan vlan-id inbound acl-rule { cpu | interface interface-type interface-number } |
必选 |
表1-24 端口组配置重定向
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入端口组视图 |
port-group group-id |
- |
|
配置重定向 |
traffic-redirect inbound acl-rule { cpu | interface interface-type interface-number } |
必选 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置重定向 |
traffic-redirect inbound acl-rule { cpu | interface interface-type interface-number } |
必选 |
& 说明:
l 在VLAN上配置的重定向只能对带有802.1Q标签头的报文生效。
l 当报文被重定向到CPU后,将不再正常转发。
l 如果重定向目的端口为处于Down状态的Combo端口,系统会把匹配的报文重定向到与此Combo端口相对应处于Up状态的普通端口。关于Combo端口的详细介绍请参见“端口基本配置”部分。
l 端口Ethernet 1/0/1属于VLAN 2,接入了10.1.1.0/24网段
l 将所有来自10.1.1.0/24网段的流量都重定向到端口Ethernet 1/0/7
配置一:
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Sysname-acl-basic-2000] quit
[Sysname] interface Ethernet1/0/1
[Sysname-Ethernet1/0/1] traffic-redirect inbound ip-group 2000 interface Ethernet1/0/7
配置二:
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Sysname-acl-basic-2000] quit
[Sysname] traffic-redirect vlan 2 inbound ip-group 2000 interface Ethernet1/0/7
已确定使用的队列调度算法及参数。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置队列调度 |
queue-scheduler { strict-priority | hq-wrr queue0-weight queue1-weight queue2-weight | wrr queue0-weight queue1-weight queue2-weight queue3-weight } |
必选 缺省情况下,所有端口的队列调度算法为WRR,队列0~3的缺省权重为1,2,3,4 |
l 配置队列调度算法为WRR,队列0~3的权重分别为12、8、4、1
l 查看配置结果
配置步骤:
<Sysname> system-view
[Sysname] queue-scheduler wrr 12 8 4 1
[Sysname] display queue-scheduler
Queue scheduling mode: weighted round robin
weight of queue 0: 12
weight of queue 1: 8
weight of queue 2: 4
weight of queue 3: 1
已确定进行流识别的ACL,具体配置请参见“ACL”部分的介绍。
用户可以在全局、VLAN、端口组和端口配置流量统计或者清除流量统计信息。
表1-27 全局配置流量统计
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置流量统计 |
traffic-statistic inbound acl-rule |
必选 |
|
清除流量统计信息 |
reset traffic-statistic inbound acl-rule |
可选 |
表1-28 VLAN配置流量统计
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置流量统计 |
traffic-statistic vlan vlan-id inbound acl-rule |
必选 |
|
清除流量统计信息 |
reset traffic-statistic vlan vlan-id inbound acl-rule |
可选 |
表1-29 端口组配置流量统计
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入端口组视图 |
port-group group-id |
- |
|
配置流量统计 |
traffic-statistic inbound acl-rule |
必选 |
|
清除流量统计信息 |
reset traffic-statistic inbound acl-rule |
可选 |
表1-30 端口配置流量统计
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置流量统计 |
traffic-statistic inbound acl-rule |
必选 |
|
清除流量统计信息 |
reset traffic-statistic inbound acl-rule |
可选 |
& 说明:
在VLAN上配置的流量统计只能对带有802.1Q标签头的报文生效。
l 端口Ethernet 1/0/1属于VLAN 2,接入了10.1.1.0/24网段
l 对来自10.1.1.0/24网段的流量进行流量统计
l 清除流量统计信息
配置一:
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Sysname-acl-basic-2000] quit
[Sysname] interface Ethernet1/0/1
[Sysname-Ethernet1/0/1] traffic-statistic inbound ip-group 2000
[Sysname-Ethernet1/0/1] reset traffic-statistic inbound ip-group 2000
配置二:
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Sysname-acl-basic-2000] quit
[Sysname] traffic-statistic vlan 2 inbound ip-group 2000
[Sysname] reset traffic-statistic vlan 2 inbound ip-group 2000
已确定实际网络环境需要启动Burst功能。
表1-31 配置Burst功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置交换机支持Burst功能 |
burst-mode enable |
必选 缺省情况下,Burst功能处于关闭状态 |
配置交换机支持Burst功能。
配置步骤:
<Sysname> system-view
[Sysname] burst-mode enable
l 已确定进行流识别的ACL,具体配置请参见“ACL”部分的介绍
l 已确定镜像目的端口
用户可以在全局、VLAN、端口组和端口配置流镜像。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置当前端口为流镜像目的端口 |
monitor-port |
必选 |
|
退出至系统视图 |
quit |
- |
|
配置流镜像 |
mirrored-to inbound acl-rule { cpu | monitor-interface } |
必选 |
表1-33 VLAN配置流镜像
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置当前端口为流镜像目的端口 |
monitor-port |
必选 |
|
退出至系统视图 |
quit |
- |
|
配置流镜像 |
mirrored-to vlan vlan-id inbound acl-rule { cpu | monitor-interface } |
必选 |
表1-34 端口组配置流镜像
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置当前端口为流镜像目的端口 |
monitor-port |
必选 |
|
退出至系统视图 |
quit |
- |
|
进入端口组视图 |
port-group group-id |
- |
|
配置流镜像 |
mirrored-to inbound acl-rule { cpu | monitor-interface } |
必选 |
表1-35 端口配置流镜像
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置当前端口为镜像目的端口 |
monitor-port |
必选 |
|
退出至系统视图 |
quit |
- |
|
进入进行流镜像配置的以太网端口视图 |
interface interface-type interface-number |
- |
|
配置流镜像 |
mirrored-to inbound acl-rule { cpu | monitor-interface } |
必选 |
& 说明:
在VLAN上配置的流镜像只能对带有802.1Q标签头的报文生效。
组网需求:
l 端口Ethernet 1/0/1属于VLAN 2,接入了10.1.1.0/24网段
l 将来自10.1.1.0/24网段的报文镜像到目的端口Ethernet 1/0/4
配置一:
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Sysname-acl-basic-2000] quit
[Sysname] interface Ethernet 1/0/4
[Sysname-Ethernet1/0/4] monitor-port
[Sysname-Ethernet1/0/4] quit
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] mirrored-to inbound ip-group 2000 monitor-interface
配置二:
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Sysname-acl-basic-2000] quit
[Sysname] interface Ethernet 1/0/4
[Sysname-Ethernet1/0/4] monitor-port
[Sysname-Ethernet1/0/4] quit
[Sysname] mirrored-to vlan 2 inbound ip-group 2000 monitor-interface
完成上述配置后,在任意视图下执行display命令,可以显示配置QoS后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表1-36 QoS的显示
|
操作 |
命令 |
说明 |
|
显示802.1p优先级和本地优先级之间的映射关系 |
display qos cos-local-precedence-map |
display命令可以在任意视图下执行 |
|
显示DSCP优先级和本地优先级之间的映射关系 |
display qos dscp-local-precedence-map |
|
|
显示队列调度的配置信息 |
display queue-scheduler |
|
|
显示端口的所有QoS配置信息 |
display qos-interface { interface-type interface-number | unit-id } all |
|
|
显示端口的流量限速配置信息 |
display qos-interface { interface-type interface-number | unit-id } line-rate |
|
|
显示交换机的优先级信任模式 |
display priority-trust |
|
|
显示端口的流量监管配置信息 |
display qos-interface { interface-type interface-number | unit-id } traffic-limit |
|
|
显示端口的优先级重标记配置信息 |
display qos-interface { interface-type interface-number | unit-id } traffic-priority |
|
|
显示端口的重定向配置信息 |
display qos-interface { interface-type interface-number | unit-id } traffic-redirect |
|
|
显示端口的流量整形配置信息 |
display qos-interface { interface-type interface-number | unit-id } traffic-shape |
|
|
显示端口的流量统计配置信息 |
display qos-interface { interface-type interface-number | unit-id } traffic-statistic |
|
|
显示端口的流镜像配置信息 |
display qos-interface { interface-type interface-number | unit-id } mirrored-to |
|
|
显示全局的QoS配置信息 |
display qos-global { all | mirrored-to | traffic-limit | traffic-priority | traffic-redirect | traffic-statistic } |
|
|
显示VLAN的QoS配置信息 |
display qos-vlan [ vlan-id ] { all | mirrored-to | traffic-limit | traffic-priority | traffic-redirect | traffic-statistic } |
|
|
显示端口组的QoS配置信息 |
display qos-port-group [ group-id ] { all | mirrored-to | traffic-limit | traffic-priority | traffic-redirect | traffic-statistic } |
某公司内部通过S2000-EA以太网交换机实现各部门之间的互连,其中研发部门属于192.168.1.0/24网段,通过端口Ethernet 1/0/1接入交换机;市场部门属于192.168.2.0/24网段,通过端口Ethernet 1/0/2接入交换机。
要求配置流量监管,实现如下目的:
l 限制市场部门向外发送的IP报文的速率为64Kbps,丢弃超出限制的报文;
l 限制研发部门向外发送的IP报文的速率为128Kbps,丢弃超出限制的报文。
(1) 定义流分类规则
# 创建并进入基本ACL 2000视图,对192.168.1.0/24网段的报文进行分类。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Sysname-acl-basic-2000] quit
# 创建并进入基本ACL 2001视图,对192.168.2.0/24网段的报文进行分类。
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 192.168.2.0 0.0.0.255
[Sysname-acl-basic-2001] quit
(2) 配置流量监管
# 限制研发部门向外发送的IP报文的速率为128Kbps,丢弃超出限制的报文。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] traffic-limit inbound ip-group 2000 128 exceed drop
# 限制市场部门向外发送的IP报文的速率为64Kbps,丢弃超出限制的报文。
[Sysname] interface Ethernet 1/0/2
[Sysname-Ethernet1/0/2] traffic-limit inbound ip-group 2001 64 exceed drop
QoS Profile是一组QoS配置的集合,一个QoS Profile中可以包含一个或多个QoS动作。在用户移动的网络环境中,可以针对特定用户制定相应的QoS策略,然后放入QoS Profile中。当该用户接入到交换机后,交换机可以将相应的QoS Profile应用到用户接入的端口(静态或者动态),从而简化了配置,大大方便了对接入用户的管理。
目前,QoS Profile功能可以为用户提供包过滤、流量监管和优先级重标记功能。
QoS Profile功能可以和802.1x认证功能结合使用,为通过认证的一个用户或者一组用户提供预先配置的QoS功能。用户在经过802.1x认证后,交换机根据AAA服务器上配置的用户名和QoS Profile的对应关系,将相应的QoS Profile动态的应用到用户登录的端口上。
根据802.1x认证方式的不同,动态应用方式分为以下两种模式:
l User-based模式:交换机以QoS Profile中定义的流分类规则为模板,加入用户的源MAC信息,生成新的流分类规则,然后将QoS Profile应用到用户接入的端口。
l Port-based模式:交换机直接将QoS Profile应用到用户接入的端口。
注意:
使用User-based模式时,如果QoS Profile中的流分类规则定义了源信息(包括源MAC信息、源IP信息和VLAN信息),则QoS Profile不能应用成功。
用户可以通过apply命令手工将QoS Profile应用到端口上。
表2-1 QoS Profile配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置QoS Profile |
必选 |
|
|
动态应用QoS Profile |
可选 |
|
|
手工应用QoS Profile |
可选 |
l 已确定进行流识别的ACL,具体配置请参见“ACL”部分的介绍
l 已确定QoS Profile提供的功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入QoS Profile视图 |
qos-profile profile-name |
必选 l 如果该profile-name名称对应的QoS Profile未创建,则先创建再进入相应视图 l 如果该profile-name名称对应的QoS Profile已创建,则直接进入相应视图 |
|
配置流量监管 |
traffic-limit inbound acl-rule target-rate [ burst-bucket burst-bucket-size ] [ conform con-action ] [ exceed exceed-action ] [ meter-statistic ] |
可选 |
|
配置包过滤 |
packet-filter inbound acl-rule |
可选 关于包过滤的配置请参见“ACL”部分的介绍 |
|
配置优先级重标记 |
traffic-priority inbound acl-rule { dscp dscp-value | cos cos-value | local-precedence pre-value }* |
可选 |
用户可以配置QoS Profile的应用方式为动态应用或者手工应用。
l 如果采用动态应用方式,并已确定全局和用户接入的端口上已经启动了802.1x认证功能以及QoS Profile的应用模式,关于802.1x 的具体配置请参见“802.1x及System-Guard”部分的介绍
l 如果采用手工应用方式,并已确定应用QoS Profile的端口
l 已确定需要应用的QoS Profile
表2-3 动态应用QoS Profile
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
|
配置QoS Profile的动态应用模式 |
配置QoS Profile的应用模式为基于端口的应用模式 |
qos-profile port-based |
可选 缺省情况下,QoS Profile的应用模式为基于用户的模式 l 如果802.1x配置为基于MAC地址认证,必须配置QoS Profile的应用模式为基于用户的模式 l 如果802.1x配置为基于端口认证,必须配置QoS Profile的应用模式为基于端口的模式 |
|
配置QoS Profile的应用模式为基于用户的应用模式 |
undo qos-profile port-based |
||
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
手工应用QoS Profile到端口上 |
系统视图下 |
apply qos-profile profile-name interface interface-list |
二者必选其一 缺省情况下,没有应用QoS Profile到端口上 |
|
|
以太网端口视图下 |
进入以太网端口视图 |
interface interface-type interface-number |
||
|
应用QoS Profile到当前端口上 |
apply qos-profile profile-name |
|||
完成上述配置后,在任意视图下执行display命令,可以显示配置QoS Profile后的运行情况。通过查看显示信息,用户可以验证配置的效果。
|
操作 |
命令 |
说明 |
|
显示QoS Profile的配置信息 |
display qos-profile { all | name profile-name | interface interface-type interface-number | user user-name } |
display命令可以在任意视图下执行 |
某公司内部通过交换机实现各部门之间的互连,并且通过802.1x协议对用户进行身份验证,控制用户访问网络资源。某个接入用户的用户名为someone,认证密码为hello,从交换机的Ethernet 1/0/1端口接入,用户属于test.net域。
要求配置QoS Profile,将用户someone向外发送的报文的速率限制为128Kbps,丢弃超出限制的报文。
图2-1 QoS Profile配置组网图
(1) AAA服务器上的配置
在AAA服务器上配置用户的认证信息、用户名和QoS Profile的对应关系,具体配置请参见AAA服务器的指导书。
(2) Switch上的配置
# 配置RADIUS服务器的IP地址信息。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.11.1.1
[Sysname-radius-radius1] primary accounting 10.11.1.2
[Sysname-radius-radius1] secondary authentication 10.11.1.2
[Sysname-radius-radius1] secondary accounting 10.11.1.1
# 设置交换机与认证和计费RADIUS服务器交互报文时的加密密码。
[Sysname-radius-radius1] key authentication money
[Sysname-radius-radius1] key accounting money
# 指示交换机从用户名中去除用户域名后再将之传给RADIUS服务器。
[Sysname-radius-radius1] user-name-format without-domain
[Sysname-radius-radius1] quit
# 创建用户域test.net,指定radius1为该域用户的RADIUS服务器组。
[Sysname] domain test.net
[Sysname-isp-test.net] radius-scheme radius1
[Sysname-isp-test.net] quit
# 定义高级ACL 3000,分类规则为匹配目的为任意IP地址的IP报文。
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 1 permit ip destination any
[Sysname-acl-adv-3000] quit
# 定义QoS Profile,将匹配流分类规则的报文的速率限制为128Kbps,丢弃超出限制的报文。
[Sysname] qos-profile example
[Sysname-qos-profile-example] traffic-limit inbound ip-group 3000 128 exceed drop
# 启动802.1x
[Sysname] dot1x
[Sysname] dot1x interface Ethernet 1/0/1
完成以上配置后,用户someone通过认证后将会自动应用example。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
