• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-带宽管理配置指导

目录

01-带宽管理配置

本章节下载 01-带宽管理配置  (219.07 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/IPS/SecPath_T10X0/Configure/Operation_Manual/H3C_CG(V7)(E9104_E8504_E8502)-5W103/05/201810/1114735_30005_0.htm

01-带宽管理配置


1 带宽管理

说明

对于本节命令中的CPU参数,仅T9006/T9010/T9014产品支持。

 

1.1  带宽管理简介

带宽管理是指对通过设备的流量实现基于源/目的安全域、源/目的IP地址、用户/用户组、应用/应用组和DSCP优先级和时间段等,进行精细化的管理和控制。目前,带宽管理功能仅支持对基于TCP(Transmission Control Protocol,传输控制协议)、UDP(User Data Protocol,用户数据报文协议)和ICMP(Internet Control Message Protocol,互联网控制消息协议)协议的信息进行带宽管理。

带宽管理的典型应用场景如下:

·     企业内网用户所需的带宽远大于从运营商租用的出口带宽,这时网络出口就会存在带宽瓶颈的问题。

·     网络出口中P2P业务类型的数据流量消耗了绝大部分的带宽资源,致使企业的关键业务得不到带宽保证。

为了解决以上问题,可以在网络出口设备上部署带宽管理,针对不同的内网业务流量应用不同的带宽策略规则,实现合理分配出口带宽和保证关键业务正常运行的目的。

1.1.1  带宽管理工作原理

1. 带宽管理实现流程

带宽策略可以对符合匹配条件的流量应用带宽通道,在带宽通道中可以配置带宽保证和带宽限制功能,进而提高带宽利用率以及在线路拥堵时保证关键业务的正常运行。

图1-1 带宽管理实现流程图

 

带宽管理实现流程如下:

(1)     流量匹配上带宽策略中的某条规则后,如果此规则的动作中引用了带宽通道,则流量继续进入相应的带宽通道进行后续的处理,否则设备不对该流量进行带宽管理。

(2)     流量进入带宽通道后,设备会根据此带宽通道中配置的带宽限制策略对流量进行相应的处理。

(3)     如果出接口出方向上应用了QoS业务,则对流量先进行带宽策略处理,再进行QoS业务处理。

(4)     流量从出接口发送时受该接口带宽的限制。

2. 带宽策略规则

带宽策略中可以配置多个带宽策略规则,这些规则用于定义匹配流量的匹配项以及流量控制的动作。不同规则之间的匹配顺序为:设备根据这些规则在设备上显示的顺序从上到下对流量进行匹配,一旦流量匹配上某条规则便结束此匹配过程,并根据该规则中指定的动作对此流量进行处理;如果流量没有匹配上任何规则,则允许该流量通过。

一个带宽策略规则中可以配置多种类型的匹配项,具体包括:源/目的安全域、源/目的IP地址、用户/用户组、应用/应用组、DSCP优先级和时间段。每类匹配项中可以配置多个条件,比如一个带宽策略规则中可以指定多个目的安全域、多个用户或多个应用组等。

判断一个带宽策略规则是否被匹配上的原则如下:

·     只有带宽策略规则中已配置的所有匹配项都被匹配上,该带宽策略规则才算匹配成功。

·     只要匹配项中的任何一个条件被匹配上则该匹配项被匹配成功。

带宽策略规则支持嵌套关系,即一个规则中可以指定一个父规则。流量与存在父规则的带宽策略规则进行匹配时,遵守如下原则:

·     首先匹配父规则,如果父规则匹配上了再匹配子规则。如果父规则没有匹配上,也不会进行后续的子规则匹配,该匹配过程失败。

·     如果子规则匹配上了,就执行子规则中指定的动作;如果子规则没有匹配上但父规则匹配上了就执行父规则中指定的动作。

3. 带宽通道

带宽通道定义了具体的带宽资源,是进行带宽管理的基础。通过带宽通道,可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽通道,每个带宽通道中都可自定义相应的带宽资源限制参数和流量优先级参数。目前,带宽通道中支持的带宽资源限制参数和流量优先级参数包括以下如下几种:

·     整体的保证带宽:是指保证业务的最小带宽,在线路拥堵时,可以保证公司关键业务所需的带宽,确保此类业务不受影响。

·     整体的最大带宽:是指限制业务的最大带宽,比如限制网络中非关键业务占用的带宽资源,避免该类业务消耗大量的带宽,影响其他关键业务的正常运行。

·     每IP或每用户的最大带宽:设备除了支持配置整体的最大带宽之外,还支持基于IP地址和用户的最大带宽,实现更加精细化的带宽管理。

·     每规则、每IP或每用户的最大连接数和最大新建连接速率限制:通常在出现以下两类网络问题的组网环境中需要在设备上配置最大连接数和最大新建连接速率限制:某内网用户在短时间内经过设备向外部网络发起大量连接,导致设备系统资源迅速消耗,其它内网用户无法正常使用网络资源;某内部服务器在短时间内接收到大量的连接请求,导致该服务器忙于处理这些连接请求,以至于不能再接受其它客户端的正常连接请求。

·     流量优先级:当多个带宽通道中的流量同时从某个接口发送时,如果此接口发生阻塞,则优先级高的流量优先被发送。优先级相同的流量将会自由竞争出接口的带宽资源。

·     重标记报文的DSCP优先级:是指修改报文中DSCP(Differentiated Services Code Point)字段的值,是网络设备进行流量分类的依据。位于报文传输路径上的各个网络设备,可以通过DSCP优先级来区分流量,进而对不同DSCP优先级的流量采取差异化的处理。

1.2  带宽管理配置任务简介

表1-1 带宽管理配置任务简介

配置任务

说明

详细配置

配置带宽通道

必选

1.3.1 

创建带宽策略规则

必选

1.3.2 

配置带宽策略规则中的匹配项

可选

1.3.3 

配置带宽策略规则中的动作

可选

1.3.4 

管理和维护带宽策略规则

可选

1.3.5 

 

1.3  配置带宽管理

1.3.1  配置带宽通道

带宽通道定义了实施带宽管理的对象所能够使用的带宽资源,带宽通道将被带宽策略规则引用后生效。

表1-2 创建带宽通道

配置步骤

命令

说明

进入系统视图

system-view

-

进入带宽策略视图

traffic-policy

-

创建带宽通道,并进入带宽通道视图

profile name profile-name

缺省情况下,不存在带宽通道

配置带宽通道的保证带宽和最大带宽

bandwidth { downstream | upstream } { guaranteed | maximum } bandwidth-value

缺省情况下,未配置带宽通道的保证带宽和最大带宽

请保证最大带宽不小于保证带宽

配置每IP或每用户的最大带宽

bandwidth { upstream | downstream } maximum { per-ip | per-user } bandwidth-value

缺省情况下,未配置每IP或每用户的最大带宽

配置最大连接数

connection-limit count { per-rule | per-ip | per-user } connection-number

缺省情况下,未配置最大连接数

配置最大新建连接速率

connection-limit rate { per-rule | per-ip | per-user } connection-rate

缺省情况下,未配置最大新建连接速率限制

配置流量优先级

traffic-priority priority-value

缺省情况下,流量优先级为1

重标记报文的DSCP优先级

remark dscp dscp-value

缺省情况下,不修改报文的DSCP优先级

退回带宽策略视图

quit

-

重命名带宽通道

profile rename old-name new-name

-

 

1.3.2  创建带宽策略规则

当创建带宽策略规则时,如果需要继承其他带宽策略规则中的匹配项属性,则可以在创建带宽策略规则时为其指定父带宽策略规则。在父带宽策略规则和子带宽策略规则中均可以引用带宽通道。

创建带宽策略规则时,需要注意的是:

·     如果指定的父带宽策略规则已是其他带宽策略规则的子带宽策略规则,则创建该带宽策略规则失败。

·     只能在创建带宽策略规则时指定带宽策略规则的父带宽策略规则,不能为已存在的带宽策略规则添加或修改父带宽策略规则。

表1-3 创建带宽策略规则

配置步骤

命令

说明

进入系统视图

system-view

-

进入带宽策略视图

traffic-policy

-

创建带宽策略规则,并进入该带宽策略规则视图

rule name rule-name [ parent parent-rule-name ]

缺省情况下,不存在带宽策略规则

 

1.3.3  配置带宽策略规则中的匹配项

通过在带宽策略规则中引用一个或多个匹配项来作为匹配报文的参数或依据。带宽策略规则支持的匹配项包括:

·     源/目的安全域

·     源/目的IP地址

·     应用/应用组

·     用户/用户组

·     时间段

·     DSCP优先级

表1-4 配置带宽策略规则中的匹配项

配置步骤

命令

说明

进入系统视图

system-view

-

进入带宽策略视图

traffic-policy

-

进入带宽策略规则

rule name rule-name [ parent parent-rule-name ]

-

指定匹配报文的目的安全域

destination-zone destination-zone-name

缺省情况下,带宽策略规则下不存在目的安全域作为匹配条件

指定匹配报文的源安全域

source-zone source-zone-name

缺省情况下,带宽策略规则下不存在源安全域作为匹配条件

指定匹配报文的目的IP地址

destination-address address-set object-group-name

缺省情况下,带宽策略规则下不存在目的IP地址作为匹配条件

指定匹配报文的源IP地址

source-address address-set object-group-name

缺省情况下,带宽策略规则下不存在源IP地址作为匹配条件

指定匹配报文的应用或应用组

application { app application-name | app-group application-group-name }

缺省情况下,带宽策略规则下不存在应用或应用组作为匹配条件

指定匹配报文的用户名

user user-name

缺省情况下,带宽策略规则下不存在用户名作为匹配条件

指定匹配报文的用户组

user-group user-group-name

缺省情况下,带宽策略规则下不存在用户组作为匹配条件

指定带宽策略规则的生效时间

time-range time-range-name

缺省情况下,带宽策略规则在时间下都生效

指定匹配报文的DSCP优先级

dscp

缺省情况下,带宽策略规则下不存在DSCP优先级作为匹配条件

关闭带宽策略规则

disable

缺省情况下,带宽策略规则处于开启状态

 

1.3.4  配置带宽策略规则中的动作

如果流量成功匹配了某个带宽策略规则,则设备将会根据该带宽策略规则中指定的动作对此流量进行控制和管理,即按照引用的带宽通道对此流量进行限流。

配置带宽策略规则的动作时,需要注意的是:

·     子规则引用的带宽通道中的的最大带宽不能大于父规则引用的带宽通道中的的最大带宽。

·     父规则引用的带宽通道中的保证带宽不能小于子规则引用的带宽通道中的保证带宽之和。

·     子规则与父规则不能引用同一个带宽通道。

表1-5 配置带宽策略规则中的动作

配置步骤

命令

说明

进入系统视图

system-view

-

进入带宽策略视图

traffic-policy

-

进入带宽策略规则视图

rule name rule-name [ parent parent-rule-name ]

-

配置带宽策略规则中的动作

action qos profile profile-name

缺省情况下,带宽策略规则中没有配置动作,即对匹配上该规则的流量不进行带宽管理,直接允许通过

 

1.3.5  管理和维护带宽策略规则

为了方便用户的管理和维护,带宽策略规则创建后,可以对其进行如下操作:

·     复制

·     重命名

·     移动

·     关闭

表1-6 管理和维护带宽策略规则

配置步骤

命令

说明

进入系统视图

system-view

-

进入带宽策略视图

traffic-policy

-

复制带宽策略规则

rule copy rule-name new-rule-name

-

重命名带宽策略规则

rule rename old-rule-name new-rule-name

-

移动带宽策略规则的排列顺序

rule move rule-name1 { after | before } rule-name2

-

 

1.4  带宽管理显示维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后带宽管理的运行情况,以及带宽管理处理业务的统计信息。

表1-7 应用层检测引擎显示和维护

操作

命令

显示最大连接数限制的统计信息(分布式设备-独立运行模式/集中式IRF设备)

display traffic-policy statistics connection-limit maximum { { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } | per-user [ user user-name] } rule rule-name } | per-rule { rule-name | all } } [ slot slot-number [ cpu cpu-number ] ]

显示最大连接数限制的统计信息(分布式设备-IRF设备)

display traffic-policy statistics connection-limit maximum { { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } | per-user [ user user-name] } rule rule-name } | per-rule { rule-name | all } } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

显示带宽策略规则下流量速率的统计信息(分布式设备-独立运行模式/集中式IRF设备)

display traffic-policy statistics bandwidth rule { rule-name | all } [ slot slot-number [ cpu cpu-number ] ]

显示带宽策略规则下流量速率的统计信息(分布式设备-IRF设备)

display traffic-policy statistics bandwidth rule { rule-name | all } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

 

1.5  带宽管理典型配置举例

1.5.1  单通道模式带宽管理典型配置举例

1. 组网需求

主机A和主机B通过Device与外网相连,通过在Device上配置带宽管理功能,实现当内网流量的出口发生拥塞时优先保证FTP业务的需求。具体要求如下:

·     限制内网用户,访问外网爱奇艺(iQiYiPPS)应用流量的上行最大带宽和下行最大带宽均为30720kbps。

·     保证内网用户,访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30720kbps。

·     限制外网出接口的最大带宽为30720kbps。

2. 组网图

图1-2 单通道模式带宽管理典型配置组网图

 

3. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     创建安全域并将接口加入安全域(略)

(3)     配置相关的路由和安全策略,保证Trust安全域中的主机可以正常访Internet(略)

(4)     配置带宽通道

# 创建名为aiqiyi的带宽通道,并进入该带宽通道视图。

<Device> system-view

[Device] traffic-policy

[Device-traffic-policy] profile name aiqiyi

# 配置上/下行最大带宽均为30720kbps。

[Device-traffic-policy-profile-aiqiyi] bandwidth upstream maximum 30720

[Device-traffic-policy-profile-aiqiyi] bandwidth downstream maximum 30720

[Device-traffic-policy-profile-aiqiyi] quit

# 创建名为profileFTP的带宽通道,并进入该带宽通道视图。

[Device-traffic-policy] profile name profileFTP

# 配置上/下行保证带宽均为30720kbps。

[Device-traffic-policy-profile-profileFTP] bandwidth upstream guaranteed 30720

[Device-traffic-policy-profile-profileFTP] bandwidth downstream guaranteed 30720

[Device-traffic-policy-profile-profileFTP] quit

[Device-traffic-policy] quit

(5)     配置出接口的最大带宽

# 配置接口GigabitEthernet1/0/1的期望带宽为30720kbps。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] bandwidth 30720

[Device-GigabitEthernet1/0/1] quit

(6)     配置带宽策略规则

# 进入带宽策略视图。

[Device] traffic-policy

# 创建名为aiqiyi的带宽策略规则,并进入该带宽策略规则视图。

[Device-traffic-policy] rule name aiqiyi

# 在带宽策略规则aiqiyi中引用自定义的应用iQiYiPPS。

[Device-traffic-policy-rule-aiqiyi] application app iQiYiPPS

# 配置带宽策略规则aiqiyi中的动作为限流并应用带宽通道aiqiyi。

[Device-traffic-policy-rule-aiqiyi] action qos profile aiqiyi

[Device-traffic-policy-rule-aiqiyi] quit

# 创建名为ruleFTP的带宽策略规则,并进入该带宽策略规则视图。

[Device-traffic-policy] rule name ruleFTP

# 配置带宽策略规则ruleFTP中引用预定义的应用ftp。

[Device-traffic-policy-rule-ruleFTP] application app ftp

# 配置带宽策略规则ruleFTP中的动作为限流并应用带宽通道profileFTP。

[Device-traffic-policy-rule-ruleFTP] action qos profile profileFTP

[Device-traffic-policy-rule-ruleFTP] quit

[Device-traffic-policy] quit

4. 验证配置

以上配置完成后,当主机A的爱奇艺的流量达到30720kbps,主机B的FTP流量也达到30720kbps时,出接口GigabitEthernet1/0/1仅允许FTP应用的流量通过。

1.5.2  父子通道模式带宽管理典型配置举例

1. 组网需求

主机A和主机B通过Device与外网相连,通过在Device上配置带宽管理功能,实现当内网流量发生拥塞时优先保证FTP业务的需求。具体要求如下:

·     限制内网用户,访问外网爱奇艺(iQiYiPPS)应用流量的上行最大带宽和下行最大带宽均为30720kbps。

·     保证内网用户,访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30720kbps。

·     限制内网用户的最大带宽为40000kbps。

2. 组网图

图1-3 父子通道模式带宽管理典型配置组网图

 

3. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     创建安全域并将接口加入安全域(略)

(3)     配置相关的路由和安全策略,保证Trust安全域中的主机可以正常访Internet(略)

(4)     配置带宽通道

# 创建名为profile的带宽通道,并进入该带宽通道视图。

<Device> system-view

[Device] traffic-policy

[Device-traffic-policy] profile name profile

# 配置上/下行最大带宽均为40000kbps。

[Device-traffic-policy-profile-profile] bandwidth upstream maximum 40000

[Device-traffic-policy-profile-profile] bandwidth downstream maximum 40000

[Device-traffic-policy-profile-profile] quit

# 创建名为aiqiyi的带宽通道,并进入该带宽通道视图。

[Device-traffic-policy] profile name aiqiyi

# 配置上/下行保证带宽均为30720kbps。

[Device-traffic-policy-profile-aiqiyi] bandwidth upstream maximum 30720

[Device-traffic-policy-profile-aiqiyi] bandwidth downstream maximum 30720

[Device-traffic-policy-profile-aiqiyi] quit

# 创建名为profileFTP的带宽通道,并进入该带宽通道视图。

[Device-traffic-policy] profile name profileFTP

# 配置上/下行保证带宽均为30720kbps。

[Device-traffic-policy-profile-profileFTP] bandwidth upstream guaranteed 30720

[Device-traffic-policy-profile-profileFTP] bandwidth downstream guaranteed 30720

[Device-traffic-policy-profile-profileFTP] quit

(5)     配置带宽策略

# 创建名为rule的带宽策略规则,并进入该带宽策略规则视图。

[Device-traffic-policy] rule name rule

# 配置带宽策略规则rule中的动作为限流并应用带宽通道profile。

[Device-traffic-policy-rule-rule] action qos profile profile

[Device-traffic-policy-rule-rule] quit

# 创建名为aiqiyi的带宽策略规则,并进入该带宽策略规则视图,指定带宽策略规则的父规则为rule。

[Device-traffic-policy] rule name aiqiyi parent rule

# 在带宽策略规则aiqiyi中引用自定义的应用iQiYiPPS。

[Device-traffic-policy-rule-aiqiyi] application app iQiYiPPS

# 配置带宽策略规则aiqiyi中的动作为限流并应用带宽通道aiqiyi。

[Device-traffic-policy-rule-aiqiyi] action qos profile aiqiyi

[Device-traffic-policy-rule-aiqiyi] quit

# 创建名为ruleFTP的带宽策略规则,并进入该带宽策略规则视图,指定带宽策略规则的父规则为rule。

[Device-traffic-policy] rule name ruleFTP parent rule

# 配置带宽策略规则ruleFTP中引用预定义的应用ftp。

[Device-traffic-policy-rule-ruleFTP] application app ftp

# 配置带宽策略规则ruleFTP中的动作为限流并应用带宽通道profileFTP。

[Device-traffic-policy-rule-ruleFTP] action qos profile profileFTP

[Device-traffic-policy-rule-ruleFTP] quit

[Device-traffic-policy] quit

4. 验证配置

以上配置完成后,内网用户的实际流量会限制在40000kbps,并且爱奇艺流量被限制在30720kbps;当网络发生拥塞时,FTP业务基本不受影响。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们