- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-带宽管理配置
本章节下载: 01-带宽管理配置 (494.30 KB)
目 录
1.12 开启使用NAT源/目的地址转换后的报文信息匹配带宽策略功能
1.16.4 对NAT源地址转换后的报文流进行带宽管理配置举例
1.16.5 对NAT目的地址转换后的报文流进行带宽管理配置举例
带宽管理基于源/目的安全域、源/目的IP地址、服务、用户/用户组、应用、DSCP优先级和时间段等过滤条件,对通过设备的流量进行精细化的管理和控制。
带宽管理的应用场景如下:
· 企业内网用户所需的带宽远大于从运营商租用的出口带宽,这时网络出口就会存在带宽瓶颈的问题。
· 网络出口中P2P业务类型的数据流量消耗了绝大部分的带宽资源,致使企业的关键业务得不到带宽保证。
为了解决以上问题,可以在网络出口设备上部署带宽管理,针对不同的内网业务流量应用不同的带宽策略规则,实现合理分配出口带宽和保证关键业务正常运行的目的。
带宽策略可以对符合匹配条件的流量应用带宽通道,在带宽通道中可以配置带宽保证和带宽限制功能,进而提高带宽利用率以及在线路拥堵时保证关键业务的正常运行。
图1-1 带宽管理实现流程图
带宽管理实现流程如下:
(1) 将报文的属性信息与带宽策略规则中的过滤条件进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此条过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此条过滤条件匹配失败。
(2) 若报文与某条带宽策略规则中的所有过滤条件都匹配成功(用户与用户组、应用与应用组各匹配一项即可),则报文与此条带宽策略规则匹配成功。若有一个过滤条件不匹配,则报文与此条带宽策略规则匹配失败,报文继续匹配下一条带宽策略规则。以此类推,直到最后一条带宽策略规则,若报文还未与规则匹配成功,则不对报文进行带宽管理。
(3) 报文与某条带宽策略规则匹配成功后便结束此匹配过程,如果此规则的动作中引用了带宽通道,则流量继续进入相应的带宽通道进行后续的处理,否则设备不对该流量进行带宽管理。
(4) 流量进入带宽通道后,设备会根据此带宽通道中配置的带宽限制策略对流量进行相应的处理。
(5) 如果出接口出方向上应用了QoS业务,则对流量先进行带宽策略处理,再进行QoS业务处理。
(6) 流量从出接口发送时受该接口带宽的限制。
带宽策略中可以配置多个带宽策略规则,这些规则用于定义匹配流量的过滤条件以及流量控制的动作。带宽策略规则支持四级嵌套关系,即一个规则中可以指定一个父规则,最多支持嵌套四级。
每条带宽策略规则中可以配置多种过滤条件,具体包括:源/目的安全域、源/目的IP地址、源/目的IP地址对象组、服务、用户/用户组、应用和DSCP优先级。每种过滤条件中均可以配置多个匹配项,比如应用过滤条件中可以指定多个应用等。
在带宽策略规则动作中引用带宽通道后,设备将根据此带宽通道对此流量进行限流。
流量与存在父规则的带宽策略规则进行匹配时,遵守如下原则:
· 首先匹配父规则,如果父规则匹配上了再匹配子规则。如果父规则没有匹配上,也不会进行后续的子规则匹配,该匹配过程失败。
· 如果子规则匹配上了,先执行子规则中指定的动作,再执行父规则中指定的动作,如果父子规则对同一个带宽资源限制参数或流量优先级参数进行限制,则执行最严格的动作。如果子规则没有匹配上但父规则匹配上了,则执行父规则中指定的动作。
为了提高报文对带宽策略规则的匹配速度,设备支持带宽策略规则加速功能。当带宽策略内包含大量规则时,此功能可以实现报文对带宽策略规则的快速匹配。若带宽策略规则加速功能失败,变化后的带宽策略规则不生效,系统继续使用原来的带宽策略规则进行快速匹配。
带宽通道定义了具体的带宽资源,是进行带宽管理的基础。通过带宽通道,可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽通道,每个带宽通道中都可自定义相应的带宽资源限制参数和流量优先级参数。目前,带宽通道中支持的带宽资源限制参数和流量优先级参数包括以下如下几种:
带宽通道中对流量的限制方式,包括如下两种:
· 分别设置上下行带宽:对带宽通道中的上下行流量分别限制。
· 设置总带宽:对带宽通道中的上下行流量整体限制。
每规则的保证带宽:保证业务的最小带宽,在线路拥堵时,可以保证公司关键业务所需的带宽,确保此类业务不受影响。
每规则的最大带宽:限制业务的最大带宽,比如限制网络中非关键业务占用的带宽资源,避免该类业务消耗大量的带宽,影响其他关键业务的正常运行。
每IP或每用户的保证带宽:设备除了支持配置每规则的保证带宽之外,还支持基于IP地址和用户的保证带宽,实现更加精细化的带宽管理。
每IP或每用户的最大带宽:设备除了支持配置每规则的最大带宽之外,还支持基于IP地址和用户的最大带宽,实现更加精细化的带宽管理。
每规则、每IP或每用户的最大连接数和最大新建连接速率限制:通常在出现以下两类网络问题的组网环境中需要在设备上配置最大连接数和最大新建连接速率限制:某内网用户在短时间内经过设备向外部网络发起大量连接,导致设备系统资源迅速消耗,其它内网用户无法正常使用网络资源;某内部服务器在短时间内接收到大量的连接请求,导致该服务器忙于处理这些连接请求,以至于不能再接受其它客户端的正常连接请求。
流量优先级:当多个带宽通道中的流量同时从某个接口发送时,如果此接口发生阻塞,则优先级高的流量优先被发送。优先级相同的流量将会自由竞争出接口的带宽资源。
重标记报文的DSCP优先级:修改报文中DSCP(Differentiated Services Code Point)字段的值,DSCP优先级是网络设备进行流量分类的依据。位于报文传输路径上的各个网络设备,能够通过DSCP优先级来区分流量,因此可以便于上下行设备依据修改后的DSCP优先级对流量采取差异化处理。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
设备型号 |
业务板类型 |
说明 |
|
M9006 M9010 M9014 |
Blade IV防火墙业务板 |
支持 |
|
Blade V防火墙业务板 |
支持 |
|
|
NAT业务板 |
不支持 |
|
|
M9010-GM |
加密业务板 |
支持 |
|
M9016-V |
Blade V防火墙业务板 |
支持 |
|
M9008-S M9012-S |
Blade IV防火墙业务板 |
支持 |
|
入侵防御业务板 |
支持 |
|
|
视频网关业务板 |
支持 |
|
|
M9008-S-V |
Blade IV防火墙业务板 |
支持 |
|
M9000-AI-E4 M9000-AI-E8 M9000-AI-E16 |
Blade V防火墙业务板 |
支持 |
|
M9000-AK001 |
Blade V防火墙业务板 |
支持 |
|
M9000-X06 M9000-X06-B M9000-X06-B-G M9000-X06-G M9000-X10 |
Blade VI防火墙业务板 |
支持 |
|
M9000-AI-X06 M9000-AI-X10 |
Blade VI防火墙业务板 |
支持 |
非缺省vSystem不支持本特性的部分功能,具体包括:
· 配置带宽检测参数
· 配置带宽通道引用方式
· 配置带宽策略规则生效时间
非缺省vSystem对具体命令的支持情况,请见本特性的命令参考。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
· 配置带宽管理策略时,请按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
· 接口期望带宽的缺省值较小时,在流量较大的情况下,很容易出现丢包现象,这时可以将此接口的期望带宽值调大。比如Tunnel口的默认带宽是64kbps,流量比较大的情况下,易出现丢包现象,这时可将Tunnel接口的期望带宽值调大。
· 在支持部署多块安全业务板的设备上,带宽通道中配置的相关阈值参数对报文的限制都是在每块安全业务板上独立计算的。在这种情况下,设备实际对报文的带宽限制结果会大于管理员配置的阈值。请管理员根据设备上部署的安全业务板数量和整机的目标带宽限制需求,合理配置带宽通道中的相关阈值参数以达到预期效果。例如,设备上部署了三块安全业务板,同时希望设备整体上行最大带宽为30000kbps,这时需要在带宽通道中设置上行最大带宽为10000kbps。
在配置带宽管理策略之前,需完成以下任务:
· 配置时间段(请参见“ACL和QoS配置指导”中的“时间段”)。
· 配置IP地址对象组和服务对象组(请参见“安全配置指导”中的“对象组”)。
· 配置应用(请参见“安全配置指导”中的“APR”)。
· 配置用户和用户组(请参见“安全配置指导”中的“用户身份识别与管理”)。
· 配置安全域(请参见“安全配置指导”中的“安全域”)。
带宽管理配置任务如下:
(1) 配置带宽通道
¡ 创建带宽通道
¡ 配置带宽限流参数
¡ (可选)配置带宽检测参数
¡ (可选)重命名带宽通道
(2) 配置带宽策略规则
¡ 创建带宽策略规则
¡ (可选)配置带宽策略规则生效时间
(3) (可选)管理和维护带宽策略规则
¡ 复制带宽策略规则
¡ 移动带宽策略规则
¡ 禁用带宽策略规则
(4) (可选)激活带宽策略规则加速功能
(5) (可选)开启IPv6全数据流带宽管理功能
(6) (可选)开启使用NAT源/目的地址转换后的报文信息匹配带宽策略功能
(7) (可选)开启硬件限速带宽管理功能
(8) (可选)开启带宽管理统计功能
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 创建带宽通道,并进入带宽通道视图。
profile name profile-name
带宽通道定义了实施带宽管理的对象所能够使用的带宽资源,带宽通道将被带宽策略规则引用后生效。
每IP最大带宽、每用户最大带宽和最大带宽动态均分功能三种控制方式不能同时存在,会相互替换,最后一次配置的控制方式生效。
每IP保证带宽与每用户保证带宽两种控制方式不能同时存在,会相互替换,最后一次配置的控制方式生效。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 进入带宽通道视图。
profile name profile-name
(4) 配置每规则的保证带宽和最大带宽。
bandwidth { downstream | total | upstream } { guaranteed | maximum } bandwidth-value
缺省情况下,未配置带宽通道的保证带宽和最大带宽。
请保证最大带宽不小于保证带宽。
如需开启最大带宽的动态均分功能,则必须配置每规则的最大带宽。
(5) 配置每IP或每用户的保证带宽和最大带宽。
bandwidth { downstream | total | upstream | } { guaranteed | maximum } { per-ip | per-user } bandwidth-value
缺省情况下,未配置每IP或每用户的保证带宽和最大带宽。
(6) 配置每IP每月的流量使用上限值。
bandwidth total traffic-quota per-ip monthly quota-value
缺省情况下,未配置每IP每月的流量使用上限值,即不对流量进行限制。
(7) 开启最大带宽动态均分功能。
bandwidth average enable
缺省情况下,最大带宽动态均分功能处于关闭状态。
(8) 配置带宽通道的TCP最大报文段长度。
tcp mss mss-value
缺省情况下,未配置带宽通道的TCP最大报文段长度。
(9) 配置连接数限制参数。
¡ 配置最大连接数。
connection-limit count { per-rule | per-ip | per-user } connection-number
缺省情况下,未配置最大连接数。
¡ 配置最大新建连接速率。
connection-limit rate { per-rule | per-ip | per-user } connection-rate
缺省情况下,未配置最大新建连接速率。
(10) 配置优先级参数。
¡ 配置流量优先级。
traffic-priority priority-value
缺省情况下,流量优先级为1。
¡ 重标记报文的DSCP优先级。
remark dscp dscp-value
缺省情况下,不修改报文的DSCP优先级。
开启带宽检测功能后,设备可基于源IP地址对进入带宽通道的流量进行实时的带宽阈值(包括最大值和最小值)检测。当带宽超过配置的阈值时,设备将以快速日志输出的方式向用户发送日志进行告警。
设备支持配置如下类型的带宽阈值:
· 静态带宽阈值:用户手工配置的固定带宽阈值,包括静态带宽阈值上限和静态带宽阈值下限。
· 动态带宽阈值:设备自动学习到的带宽阈值。在尚未了解网络正常流量大小的情况下,用户很难正确配置固定的带宽阈值上下限。可通过使用动态带宽阈值学习功能,让设备对正常网络环境下的流量进行统计,得出平均带宽值,并将此平均带宽值分别乘以最小和最大容忍度,分别得到动态带宽阈值的上下限。用户可到Web界面中的“策略 > 带宽管理 > 带宽通道 > 带宽阈值学习”查看学习结果。
当设备上配置了静态带宽阈值并开启动态带宽阈值学习功能时,设备将做出如下判断:
· 如果已经通过动态阈值学习功能学习到了带宽平均值,则将动态带宽阈值上下限作为带宽检测阈值。
· 如果尚未通过动态阈值学习功能学习到带宽平均值,则将配置的静态带宽阈值上下限作为带宽检测阈值。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 进入带宽通道视图。
profile name profile-name
(4) 开启每IP带宽检测功能。
per-ip bandwidth-threshold-detect enable
缺省情况下,每IP带宽阈值检测功能处于关闭状态。
(5) 配置静态每IP带宽阈值。
¡ 配置静态每IP带宽阈值上限值。
per-ip bandwidth-threshold max-value max-value
缺省情况下,未配置静态每IP带宽阈值上限值。
¡ 配置静态每IP带宽阈值下限值。
per-ip bandwidth-threshold min-value min-value
缺省情况下,未配置静态每IP带宽阈值下限值。
(6) 配置动态每IP带宽阈值。
a. 开启每IP动态带宽阈值学习功能。
per-ip bandwidth-threshold-learn enable
缺省情况下,每IP动态带宽阈值学习功能处于关闭状态。
b. 配置每IP动态带宽阈值学习时长。
per-ip bandwidth-threshold-learn duration duration-value
缺省情况下,每IP动态带宽阈值学习时长为1440分钟。
建议学习时长设置大于1440分钟(24小时),以确保设备学习到一整天的流量。如果在学习过程中修改了该值,系统将会以新的时长为准重新进行学习。
c. 配置每IP动态带宽阈值学习最大容忍度。
per-ip bandwidth-threshold-learn tolearnce max-value max-value
缺省情况下,未配置每IP动态带宽阈值学习最大容忍度。
d. 配置每IP动态带宽阈值学习最小容忍度。
per-ip bandwidth-threshold-learn tolearnce min-value min-value
缺省情况下,未配置每IP动态带宽阈值学习最小容忍度。
多个带宽策略规则引用同一个带宽通道的方式,包括如下两种:
· 策略独占:表示与带宽策略规则匹配成功的流量,独享带宽通道中的带宽限制和连接数限制。
· 策略共享:表示与多条带宽策略规则匹配成功的多条流量,共享带宽通道中的带宽限制和连接数限制。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 并进入带宽通道视图。
profile name profile-name
(4) 配置带宽通道的引用方式。
profile reference-mode { per-rule | rule-shared }
缺省情况下,带宽通道的引用方式为策略独占。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 重命名带宽通道。
profile rename old-name new-name
一个带宽策略中可以创建多个带宽策略规则,这些规则可以独立定义,也可以继承其它规则。继承其他带宽策略规则是通过在创建带宽策略规则时为其指定父带宽策略规则实现的。在父带宽策略规则和子带宽策略规则中均可以引用带宽通道。
第四级带宽策略规则不能再作为父带宽策略规则。
只能在创建带宽策略规则时指定带宽策略规则的父带宽策略规则,不能为已存在的带宽策略规则添加或修改父带宽策略规则。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 创建带宽策略规则,并进入该带宽策略规则视图。
rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 进入带宽策略规则视图。请选择其中一项进行配置。
¡ rule rule-id
¡ rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(4) 配置作为带宽策略规则过滤条件的安全域。
¡ 配置作为带宽策略规则过滤条件的目的安全域。
destination-zone destination-zone-name
¡ 配置作为带宽策略规则过滤条件的源安全域。
source-zone source-zone-name
缺省情况下,未配置作为带宽策略规则过滤条件的安全域。
(5) 配置作为带宽策略规则过滤条件的IP地址。
¡ 配置作为带宽策略规则过滤条件目的IP地址。
destination-ip { ipv4 { host ip-address | range ip-address1 ip-address2 | subnet ip-address { mask-length | mask } } | ipv6 { host ipv6-address | range ipv6-address1 ipv6-address2 | subnet { ipv6-address prefix-length | ipv6-address/prefix-length } } }
¡ 配置作为带宽策略规则过滤条件的源IP地址。
source-ip { ipv4 { host ip-address | range ip-address1 ip-address2 | subnet ip-address { mask-length | mask } } | ipv6 { host ipv6-address | range ipv6-address1 ipv6-address2 | subnet { ipv6-address prefix-length | ipv6-address/prefix-length } } }
缺省情况下,未配置作为带宽策略规则过滤条件的IP地址。
(6) 配置作为带宽策略规则过滤条件的地址对象组。
¡ 配置作为带宽策略规则过滤条件目的IP地址对象组。
destination-address address-set object-group-name
¡ 配置作为带宽策略规则过滤条件的源IP地址对象组。
source-address address-set object-group-name
缺省情况下,未配置作为带宽策略规则过滤条件的地址对象组。
(7) 配置作为带宽策略规则过滤条件的服务。
service object-group-name
缺省情况下,未配置作为带宽策略规则过滤条件的服务。
(8) 配置作为带宽策略规则过滤条件的应用。
application { app application-name | app-group application-group-name }
缺省情况下,未配置作为带宽策略规则过滤条件的应用。
(9) 配置作为带宽策略规则过滤条件的用户和用户组。
¡ 配置作为带宽策略规则过滤条件的用户。
user user-name [ domain domain-name ]
¡ 配置作为带宽策略规则过滤条件的用户组。
user-group user-group-name [ domain domain-name ]
缺省情况下,未配置作为带宽策略规则过滤条件的用户和用户组。
(10) 配置作为带宽策略规则过滤条件的DSCP优先级。
dscp dscp-value
缺省情况下,未配置作为带宽策略规则过滤条件的DSCP优先级。
(11) 配置作为带宽策略规则过滤条件的IPv6报文信息。
¡ 配置作为带宽策略规则过滤条件的IPv6报文头流标签。
ipv6 flow-label { nonzero | zero }
缺省情况下,未配置作为带宽策略规则过滤条件的IPv6报文头流标签。
¡ 配置作为带宽策略规则过滤条件的IPv6扩展报文头。
ipv6 extension-header { authentication | destination | encapsulating | fragment | hop-by-hop | routing }
缺省情况下,未配置作为带宽策略规则过滤条件的IPv6扩展报文头。
(12) 配置作为带宽策略规则过滤条件的终端和终端组。
¡ 配置作为带宽策略规则过滤条件的终端。
terminal terminal-name
¡ 配置作为带宽策略规则过滤条件的终端组。
terminal-group group-name
缺省情况下,未配置作为带宽策略规则过滤条件的终端和终端组。
(13) 配置入接口指定VPN实例作为带宽策略规则的过滤条件。
vrf vrf-name
缺省情况下,带宽策略规则对公网和所有VPN实例的报文有效。
如果流量成功匹配了某个带宽策略规则,则设备将会根据该带宽策略规则中指定的动作对此流量进行控制和管理,即按照引用的带宽通道对此流量进行限流。
子规则引用的带宽通道中的最大带宽不能大于父规则引用的带宽通道中的最大带宽。
父规则引用的带宽通道中的保证带宽不能小于子规则引用的带宽通道中的保证带宽。
子规则与父规则不能引用同一个带宽通道。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 进入带宽策略规则视图。请选择其中一项进行配置。
¡ rule rule-id
¡ rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(4) 配置带宽策略规则中的动作。
action { deny | none | qos profile profile-name }
缺省情况下带宽策略规则为限流,但未引用带宽通道。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 进入带宽策略规则视图。请选择其中一项进行配置。
¡ rule rule-id
¡ rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(4) 配置带宽策略规则的生效时间。
time-range time-range-name
缺省情况下,带宽策略规则在任何时间下都生效。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 复制带宽策略规则。
rule copy rule-name new-rule-name
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 重命名带宽策略规则。
rule rename old-rule-name new-rule-name
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 移动带宽策略规则的排列顺序。
rule move rule-name1 { after | before } rule-name2
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 进入带宽策略规则视图。请选择其中一项进行配置。
¡ rule rule-id
¡ rule [ rule-id ] name rule-name [ parent parent-rule-name ]
(4) 禁用带宽策略规则。
disable
缺省情况下,带宽策略规则处于开启状态。
激活带宽策略规则的加速功能可以使因新增、删除、修改或移动而发生变化的带宽策略规则生效。激活带宽策略规则的加速功能包括如下方式:
· 手动激活:是指带宽策略规则发生变化后,手动执行acceleration activate命令使这些规则立即加速。
· 自动激活:是指系统按照固定时间间隔进行周期性判断是否需要带宽策略规则加速,在一个时间间隔内若带宽策略规则发生变化,则间隔时间到达后会进行带宽策略规则加速,否则,不会进行加速。当带宽策略规则小于等于100条时,此时间间隔为2秒;当带宽策略规则大于100条时,此时间间隔为20秒。这种方式能够避免因忘记手动激活规则而导致新增或修改规则不生效的问题。
为使发生变化后的带宽策略规则对报文进行匹配,必须激活带宽策略规则的加速功能。
激活带宽策略规则加速功能时,内存资源不足会导致带宽策略规则加速失败。加速失败后,变化后的带宽策略规则不生效,设备继续使用原来的带宽策略规则进行快速匹配。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 激活带宽策略规则加速功能。
acceleration activate
缺省情况下,带宽管理仅对四层协议为TCP、UDP、ICMP和ICMPv6协议的数据流生效。开启本功能后,对于IPv4流量无影响。对于IPv6流量,带宽管理功能对所有四层协议的数据流均生效。本功能可以用来配置带宽管理功能管控数据流的范围,实现按需配置。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 开启IPv6全数据流带宽管理功能。
all-traffic-control enable
缺省情况下,IPv6全数据流带宽管理功能处于关闭状态。
当需要实施带宽管理的目标报文流在设备上进行了NAT源/目的地址转换,开启本功能后,带宽策略使用报文经过NAT源/目的地址转换后的IP地址、服务端口号及VRF匹配带宽策略过滤条件。如需控制NAT源/目的转换前的目标报文流的带宽,请关闭本功能。
当需要实施带宽管理的目标报文流在设备上未进行NAT源/目的地址转换时,不需要开启本功能。有关NAT的详细介绍,请参见“三层技术-IP业务配置指导”中的“NAT”。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 开启使用NAT源地址转换后的报文信息匹配带宽策略功能。
source-matching after-nat
缺省情况下,系统使用NAT源地址转换前的报文信息匹配带宽策略。
(4) 开启使用NAT目的地址转换后的报文信息匹配带宽策略功能。
destination-matching after-nat
缺省情况下,系统使用NAT目的地址转换前的报文信息匹配带宽策略。
本功能适用于对设备转发性能要求比较高,且仅需要使用带宽策略进行带宽限速的应用场景。
缺省情况下,设备基于软件快速转发流程进行带宽管理,但是软件快速转发流程需要通过CPU进行处理。当CPU负担较重时,软件快速转发流程会受到影响,带宽管理功能对报文的处理速度会降低。
开启本功能后,设备直接通过硬件快速转发流程进行带宽限速处理。相较于缺省情况而言,基于硬件限速的带宽管理功能处理报文的速度更快。
硬件限速带宽管理功能开启后,设备仅能对报文进行带宽限速,而且仅支持对每规则的总体/上下行最大带宽进行限制(即通过bandwidth命令进行限制),其他带宽管理功能将失效。
本功能只能在开启硬件快速转发功能后才会生效。有关硬件快速转发的详细介绍,请参见“三层技术-IP业务配置指导”中的“快速转发”。
硬件限速带宽管理功能与其他四层以上业务无法一同使用。
当设备上安装的安全业务板不能正常工作时,开启本功能会提示当前设备暂不支持。此时请等待设备上安装的所有安全业务板均处于正常工作状态后再开启硬件限速带宽管理功能。
对于多层嵌套的父子策略,开启本功能后仅前两层生效。只有父子策略都配置带宽通道后硬件限速才能生效。
带宽管理规则命中统计功能(display traffic-policy statistics rule-hit)只能对软件限速的流量进行统计,对于硬件限速的流量无法进行统计。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 开启硬件限速带宽管理功能。
hardware rate-limit enable
缺省情况下,硬件限速带宽管理功能处于关闭状态。
本命令的支持情况与设备的型号有关,具体请参见命令参考。
开启带宽管理相关统计功能后,设备才能对其相关的数据进行统计。设备支持如下带宽管理统计功能:
· 流量统计功能:带宽管理业务将对匹配带宽策略规则的流量进行统计,统计信息可通过display traffic-policy statistics bandwidth命令查看。
· 连接数限制统计功能:带宽管理业务将对匹配带宽策略规则的连接数限制信息进行统计,统计信息可通过display traffic-policy statistics connection-limit命令查看。
· 规则命中统计功能:带宽管理业务将对带宽策略规则的命中情况进行统计,统计信息可通过display traffic-policy statistics rule-hit命令查看。
开启统计功能将对设备处理性能产生影响,建议仅在需要查看统计信息时开启。
(1) 进入系统视图。
system-view
(2) 进入带宽策略视图。
traffic-policy
(3) 开启带宽管理统计功能。
¡ 开启带宽管理流量统计功能。
statistics bandwidth enable
缺省情况下,带宽管理流量统计功能处于关闭状态。
¡ 开启带宽管理连接数限制统计功能。
statistics connection-limit enable
缺省情况下,带宽管理连接数限制统计功能处于关闭状态。
¡ 开启带宽管理规则命中统计功能。
statistics rule-hit enable
缺省情况下,带宽管理规则命中统计功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后带宽管理的运行情况,以及带宽管理处理业务的统计信息。
非缺省vSystem不支持部分显示和维护命令,具体情况请参见本特性的命令参考。
表1-1 带宽管理显示和维护
|
操作 |
命令 |
|
显示带宽管理的流量统计信息 |
(独立运行模式) display traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示带宽管理的连接数限制统计信息 |
(独立运行模式) display traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示带宽策略规则的命中统计信息 |
(独立运行模式) display traffic-policy statistics rule-hit [ [ beyond beyond-number ] | [ rule rule-name ] ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display traffic-policy statistics rule-hit [ [ beyond beyond-number ] | [ rule rule-name ] ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示设备当前对于硬件限速带宽管理功能的支持情况 |
display traffic-policy hardware-rate-limit support |
|
清除带宽管理的流量统计信息 |
(独立运行模式) reset traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
清除带宽管理的连接数限制统计信息 |
(独立运行模式) reset traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
清除带宽策略规则被命中次数的统计信息 |
(独立运行模式) reset traffic-policy statistics rule-hit [ rule rule-name ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset traffic-policy statistics rule-hit [ rule rule-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
内网主机通过Device与外网相连,通过在Device上配置带宽管理功能,实现当内网流量的出口发生拥塞时优先保证FTP业务的需求。具体要求如下:
· 限制内网用户,访问外网爱奇艺(iQiYiPPS)应用流量的上行最大带宽和下行最大带宽均为30720kbps。
· 保证内网用户,访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30720kbps。
· 限制外网出接口的最大带宽为102400kbps。
图1-2 单通道模式带宽管理配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设设备Device到达外网服务器3.1.1.2/24的下一跳为20.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 3.1.1.2 24 20.1.1.2
(3) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名称为trust-untrust的安全策略规则,使内网Host访问外网Internet的报文可通,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.2
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置带宽通道
# 创建名为aiqiyi的带宽通道,配置该带宽通道的上/下行最大带宽均为30720kbps。
[Device] traffic-policy
[Device-traffic-policy] profile name aiqiyi
[Device-traffic-policy-profile-aiqiyi] bandwidth upstream maximum 30720
[Device-traffic-policy-profile-aiqiyi] bandwidth downstream maximum 30720
[Device-traffic-policy-profile-aiqiyi] quit
# 创建名为profileftp的带宽通道,配置该带宽通道的上/下行保证带宽均为30720kbps。
[Device-traffic-policy] profile name profileftp
[Device-traffic-policy-profile-profileftp] bandwidth upstream guaranteed 30720
[Device-traffic-policy-profile-profileftp] bandwidth downstream guaranteed 30720
[Device-traffic-policy-profile-profileftp] quit
[Device-traffic-policy] quit
(6) 配置出接口的最大带宽
# 配置接口GigabitEthernet1/0/2的期望带宽为102400kbps。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] bandwidth 102400
[Device-GigabitEthernet1/0/2] quit
(7) 升级APR特征库到最新版本。
(8) 配置带宽策略规则
# 创建名为aiqiyi的带宽策略规则,在带宽策略中引用预定义应用iQiYiPPS,配置带宽策略的动作为限流并引用带宽通道aiqiyi。
[Device] traffic-policy
[Device-traffic-policy] rule name aiqiyi
[Device-traffic-policy-rule-1-aiqiyi] application app iQiYiPPS
[Device-traffic-policy-rule-1-aiqiyi] action qos profile aiqiyi
[Device-traffic-policy-rule-1-aiqiyi] quit
# 创建名为ruleftp的带宽策略规则,在带宽策略中引用预定义应用ftp,配置带宽策略规则动作为限流并引用带宽通道profileftp。
[Device-traffic-policy] rule name ruleftp
[Device-traffic-policy-rule-2-ruleftp] application app ftp
[Device-traffic-policy-rule-2-ruleftp] action qos profile profileftp
[Device-traffic-policy-rule-2-ruleftp] quit
[Device-traffic-policy] quit
配置完成后,当出接口GigabitEthernet1/0/2的流量达到102400kbps后,爱奇艺应用的流量最大只能达到30720kbps,FTP应用的流量能够保证最少达到30720kbps。
内网主机通过Device与外网相连,通过在Device上配置带宽管理功能,实现当内网流量发生拥塞时优先保证FTP业务的需求。具体要求如下:
· 限制内网用户,访问外网爱奇艺(iQiYiPPS)应用流量的上行最大带宽和下行最大带宽均为30720kbps。
· 保证内网用户,访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30720kbps。
· 限制内网用户的最大带宽为40960kbps。
图1-3 父子通道模式带宽管理配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设设备Device到达外网服务器3.1.1.2/24的下一跳为20.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 3.1.1.2 24 20.1.1.2
(3) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略。
# 配置名称为trust-untrust的安全策略规则,使内网Host访问外网Internet的报文可通,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.2
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置带宽通道
# 创建名为profile的带宽通道,配置该带宽通道的上/下行最大带宽为40960kbps。
[Device] traffic-policy
[Device-traffic-policy] profile name profile
[Device-traffic-policy-profile-profile] bandwidth upstream maximum 40960
[Device-traffic-policy-profile-profile] bandwidth downstream maximum 40960
[Device-traffic-policy-profile-profile] quit
# 创建名为aiqiyi的带宽通道,配置该带宽通道的上/下行最大带宽为30720kbps。
[Device-traffic-policy] profile name aiqiyi
[Device-traffic-policy-profile-aiqiyi] bandwidth upstream maximum 30720
[Device-traffic-policy-profile-aiqiyi] bandwidth downstream maximum 30720
[Device-traffic-policy-profile-aiqiyi] quit
# 创建名为profileftp的带宽通道,配置该带宽通道的上/下行保证带宽为30720kbps。
[Device-traffic-policy] profile name profileftp
[Device-traffic-policy-profile-profileftp] bandwidth upstream guaranteed 30720
[Device-traffic-policy-profile-profileftp] bandwidth downstream guaranteed 30720
[Device-traffic-policy-profile-profileftp] quit
(6) 升级APR特征库到最新版本。
(7) 配置带宽策略
# 创建名为rule的带宽策略规则,引用带宽通道profile,配置带宽策略规则的动作为限流。
[Device-traffic-policy] rule name rule
[Device-traffic-policy-rule-1-rule] action qos profile profile
[Device-traffic-policy-rule-1-rule] quit
# 创建名为aiqiyi的带宽策略规则,指定该带宽策略的父规则为rule,引用预定义应用iQiYiPPS,带宽通道aiqiy,配置该带宽策略的动作为限流。
[Device-traffic-policy] rule name aiqiyi parent rule
[Device-traffic-policy-rule-2-aiqiyi] application app iQiYiPPS
[Device-traffic-policy-rule-2-aiqiyi] action qos profile aiqiyi
[Device-traffic-policy-rule-2-aiqiyi] quit
# 创建名为ruleftp的带宽策略规则,指定该带宽策略的父规则为rule,引用预定义应用ftp,带宽通道profileftp,配置该带宽策略的动作为限流。
[Device-traffic-policy] rule name ruleftp parent rule
[Device-traffic-policy-rule-3-ruleftp] application app ftp
[Device-traffic-policy-rule-3-ruleftp] action qos profile profileftp
[Device-traffic-policy-rule-3-ruleftp] quit
[Device-traffic-policy] quit
以上配置完成后,内网用户的实际流量会限制在40960kbps,并且爱奇艺流量被限制在30720kbps;当网络发生拥塞时,FTP业务基本不受影响。
内网有两个用户组,分别为教师组teacher和学生组student。teacher组有教师2名,student组有学生5名。通过在Device上配置带宽管理功能,实现基于用户进行限速带宽管理的功能。具体需求如下:
· 学生组student1~student5的IP地址依次为10.1.1.2/24~10.1.1.6/24;教师组teacher1~teacher2的IP地址依次为10.1.1.21/24~10.1.1.22/24。
· 每个教师绑定一个IP地址,上行和下行均限速10000kbps,每用户的最大连接数不超过10000。教师使用的带宽通道转发优先级为较低。
· 每个学生绑定一个IP地址,上行和下行均限速2000kbps,每用户的最大连接数不超过10000。学生使用的带宽通道转发优先级为最低。
图1-4 基于用户限速带宽管理配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设设备Device到达外网服务器3.1.1.2/24的下一跳为20.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 3.1.1.2 24 20.1.1.2
(3) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略。
# 配置名称为trust-untrust的安全策略规则,使内网Host访问外网Internet的报文可通,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.2
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.3
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.4
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.5
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.6
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.21
[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.22
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 创建网络类本地接入用户
# 创建名为student1的本地接入用户并设置密码。
[Device] local-user student1 class network
[Device-luser-network-student1] password simple student
# 指定用户student1可以使用的服务类型为IKE、Portal以及SSL VPN。
[Device-luser-network-student1] service-type ike
[Device-luser-network-student1] service-type portal
[Device-luser-network-student1] service-type sslvpn
[Device-luser-network-student1] quit
# 创建学生用户student2~student5,密码均为student;教师用户teacher1、teacher2,密码均为teacher。教师用户和学生用户可用服务均为IKE、Portal、SSL VPN。(具体配置步骤请参考上述学生用户student1的配置步骤)
# 创建名为student的用户组,并添加身份识别成员学生用户student1~student5。
[Device] user-group student
[Device-ugroup-student] identity-member user student1
[Device-ugroup-student] identity-member user student2
[Device-ugroup-student] identity-member user student3
[Device-ugroup-student] identity-member user student4
[Device-ugroup-student] identity-member user student5
[Device-ugroup-student] quit
# 创建名为teacher的用户组,并添加身份识别成员教师用户teacher1和teacher2。
[Device] user-group teacher
[Device-ugroup-teacher] identity-member user teacher1
[Device-ugroup-teacher] identity-member user teacher2
[Device-ugroup-teacher] quit
# 创建静态类型的身份识别用户并开启身份识别功能
[Device] user-identity static-user student1 bind ipv4 10.1.1.2
[Device] user-identity static-user student2 bind ipv4 10.1.1.3
[Device] user-identity static-user student3 bind ipv4 10.1.1.4
[Device] user-identity static-user student4 bind ipv4 10.1.1.5
[Device] user-identity static-user student5 bind ipv4 10.1.1.6
[Device] user-identity static-user teacher1 bind ipv4 10.1.1.21
[Device] user-identity static-user teacher2 bind ipv4 10.1.1.22
[Device] user-identity enable
(6) 配置带宽通道
# 创建名为profile-teacher的带宽通道,配置该带宽通道上/下行最大带宽均为10000kbps、每用户的最大连接数为10000,转发流量优先级为较低(2)。
[Device] traffic-policy
[Device-traffic-policy] profile name profile-teacher
[Device-traffic-policy-profile-profile-teacher] bandwidth upstream maximum per-user 10000
[Device-traffic-policy-profile-profile-teacher] bandwidth downstream maximum per-user 10000
[Device-traffic-policy-profile-profile-teacher] connection-limit count per-user 10000
[Device-traffic-policy-profile-profile-teacher] traffic-priority 2
[Device-traffic-policy-profile-profile-teacher] quit
# 创建名为profile-student的带宽通道,配置该带宽通道的上/下行最大带宽均为2000kbps、每用户的最大连接数为10000、转发流量优先级为最低(1)。
[Device-traffic-policy] profile name profile-student
[Device-traffic-policy-profile-profile-student] bandwidth upstream maximum per-user 2000
[Device-traffic-policy-profile-profile-student] bandwidth downstream maximum per-user 2000
[Device-traffic-policy-profile-profile-student] connection-limit count per-user 10000
[Device-traffic-policy-profile-profile-student] traffic-priority 1
[Device-traffic-policy-profile-profile-student] quit
(7) 配置带宽策略
# 创建名为rule-teacher的带宽策略规则,指定该带宽策略匹配报文的用户组为teacher,引用带宽通道profile-teacher,配置动作为限流。
[Device-traffic-policy] rule name rule-teacher
[Device-traffic-policy-rule-1-rule-teacher] user-group teacher
[Device-traffic-policy-rule-1-rule-teacher] action qos profile profile-teacher
[Device-traffic-policy-rule-1-rule-teacher] quit
# 创建名为rule-student的带宽策略规则,指定该带宽策略匹配报文的用户组为student,引用带宽通道profile-student,配置动作为限流。
[Device-traffic-policy] rule name rule-student
[Device-traffic-policy-rule-2-rule-student] user-group student
[Device-traffic-policy-rule-2-rule-student] action qos profile profile-student
[Device-traffic-policy-rule-2-rule-student] quit
[Device-traffic-policy] quit
以上配置完成后,可以实现基于用户进行限速的功能。两位教师限速均为10000kbps,每位学生限速为2000kbps,且会话新建连接数都会受到限制。
某公司内网主机通过Device与外网相连,该公司拥有公网IP地址202.38.1.2/24。内网主机经过NAT源地址转换后,使用公网IP地址202.38.1.2/24访问Internet。公司希望通过NAT源转换后的公网IP地址限制内网所有主机访问外网爱奇艺(iQiYiPPS)应用流量的总带宽不超过10240kbps。
图1-5 对NAT源地址转换后的报文流进行带宽管理配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 24
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设设备Device到达外网服务器3.1.1.2/24的下一跳为202.38.1.3,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 3.1.1.2 24 202.38.1.3
(4) 配置安全策略
配置安全策略放行内网访问外网的流量,用于内网主机访问外网Internet。
# 配置名称为trust-untrust的安全策略规则,使内网Host访问外网Internet的报文可通,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置NAT功能
# 配置NAT地址组0,包含外网地址202.38.1.2。
[Device] nat address-group 0
[Device-address-group-0] address 202.38.1.2 202.38.1.2
[Device-address-group-0] quit
# 配置ACL 2000,允许对内部网络中的用户报文进行地址转换。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组0中的地址对出接口的报文进行源地址转换,并在转换过程中使用端口信息。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 0
[Device-GigabitEthernet1/0/2] quit
(6) 配置地址对象组
# 配置地址对象组obj1,包含外网地址202.38.1.2。
[Device] object-group ip address obj1
[Device-obj-grp-ip-obj1] network host address 202.38.1.2
[Device-obj-grp-ip-obj1] quit
(7) 配置带宽通道
# 配置名为aiqiyi的带宽通道,配置该带宽通道总带宽的最大带宽为10240kbps。
[Device] traffic-policy
[Device-traffic-policy] profile name aiqiyi
[Device-traffic-policy-profile-aiqiyi] bandwidth total maximum 10240
[Device-traffic-policy-profile-aiqiyi] quit
(8) 升级APR特征库到最新版本。
(9) 配置带宽策略
# 配置名为aiqiyi的带宽策略,指定地址对象组obj1匹配报文源地址,配置带宽策略的动作为限流并引用带宽通道aiqiyi。
[Device-traffic-policy] rule name aiqiyi
[Device-traffic-policy-rule-1-aiqiyi] source-address address-set obj1
[Device-traffic-policy-rule-1-aiqiyi] application app aiqiyi
[Device-traffic-policy-rule-1-aiqiyi] action qos profile aiqiyi
[Device-traffic-policy-rule-1-aiqiyi] quit
# 开启使用NAT源地址转换后的报文信息匹配带宽策略功能,实现内网所有主机访问外网爱奇艺(iQiYiPPS)应用流量的总带宽不超过10240kbps。
[Device-traffic-policy] source-matching after-nat
[Device-traffic-policy] quit
配置完成后,内网所有用户访问外网爱奇艺(iQiYiPPS)应用流量的总带宽不超过10240kbps。
某公司内部对外提供FTP服务,公司内网地址为192.168.1.0/24。其中内网FTP服务器的地址为192.168.1.2/24,该公司拥有公网IP地址202.38.1.1/24,并以此地址作为公司对外服务的IP地址。公司希望通过对NAT目的地址转换后的流量进行控制,实现外网所有用户访问内网FTP服务器的总下行保证带宽为30720kbps。
图1-6 对NAT目的地址转换后的报文流进行带宽管理配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 24
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设设备Device到达外网主机3.1.1.2/24的下一跳为202.38.1.3,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 3.1.1.2 24 202.38.1.3
(4) 配置安全策略
# 配置名称为untrust-trust的安全策略,保证Untrust安全域中的Host可以访问Trust安全域中的Server,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-1-untrust-trust] source-zone untrust
[Device-security-policy-ip-1-untrust-trust] destination-zone trust
[Device-security-policy-ip-1-untrust-trust] destination-ip-host 192.168.1.2
[Device-security-policy-ip-1-untrust-trust] action pass
[Device-security-policy-ip-1-untrust-trust] quit
[Device-security-policy-ip] quit
(5) 配置NAT功能
# 配置内部FTP服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 21 inside 192.168.1.2 ftp
(6) 配置地址对象组
# 配置地址对象组obj1,包含内网FTP服务器的地址192.168.1.2。
[Device] object-group ip address obj1
[Device-obj-grp-ip-obj1] network host address 192.168.1.2
[Device-obj-grp-ip-obj1] quit
(7) 配置带宽通道
# 创建名为ftp的带宽通道,配置该带宽通道的下行保证带宽为30720kbps。
[Device] traffic-policy
[Device-traffic-policy] profile name ftp
[Device-traffic-policy-profile-ftp] bandwidth downstream guaranteed 30720
[Device-traffic-policy-profile-ftp] quit
(8) 配置带宽策略
# 创建名为ftp的带宽策略规则,指定地址对象组obj1匹配报文目的地址,配置带宽策略的动作为限流并引用带宽通道ftp。
[Device-traffic-policy] rule name ftp
[Device-traffic-policy-rule-1-ftp] destination-address address-set obj1
[Device-traffic-policy-rule-1-ftp] application app ftp
[Device-traffic-policy-rule-1-ftp] application app ftp-data
[Device-traffic-policy-rule-1-ftp] action qos profile ftp
[Device-traffic-policy-rule-1-ftp] quit
[Device-traffic-policy] quit
# 开启使用NAT目的地址转换后的报文信息匹配带宽策略功能,实现外网所有用户访问内网FTP服务器的总下行保证带宽为30720kbps。
[Device] traffic-policy
[Device-traffic-policy] destination-matching after-nat
[Device-traffic-policy] quit
以上配置完成后,外网用户访问公司内网FTP服务器的下行保证带宽为30720kbps。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
