- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
24-QoS-QoS Profile典型配置指导
本章节下载 (265.81 KB)
目 录
图1-1 流量监管和端口限速配置组网图
某公司内部通过交换机(以S3600系列以太网交换机为例)实现各部门之间的互连,其中PC 1属于研发部门,IP地址为192.168.0.1,通过端口Ethernet 1/0/1接入交换机;市场部门通过端口Ethernet 1/0/2接入交换机。
要求配置流量监管和端口限速,实现如下目的:
l 限制市场部门和研发部门向外发送的所有报文的速率为16000Kbps,丢弃超出限制的报文;
l 限制端口Ethernet 1/0/1接收研发部门中PC 1向外发送IP报文的速率为8000Kbps,丢弃超出限制的报文。
表1-1 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011、Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2102、Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126 |
Release 0011、Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107 |
E126A |
& 说明:
l S3100-SI系列、S2126-EI、E126以太网交换机不支持流量监管功能。
l S5100-EI系列以太网交换机不支持端口限速功能。
(1) 定义流分类规则
# 创建并进入基本ACL 2000视图。
<Sysname> system-view
[Sysname] acl number 2000
# 定义分类规则,对源IP地址为192.168.0.1的报文进行分类。
[Sysname-acl-basic-2000] rule permit source 192.168.0.1 0
[Sysname-acl-basic-2000] quit
(2) 配置流量监管和端口限速
# 限制市场部门和研发部门向外发送的所有报文的速率为16000Kbps,丢弃超出限制的报文。
[Sysname] interface Ethernet 1/0/3
[Sysname-Ethernet1/0/3] line-rate outbound 16000
# 限制研发部门中PC 1向外发送报文的速率为8000Kbps,丢弃超出限制的报文。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] traffic-limit inbound ip-group 2000 8000 exceed drop
#
acl number 2000
rule 0 permit source 192.168.0.1 0
#
interface Ethernet1/0/1
traffic-limit inbound ip-group 2000 rule 0 8000 exceed drop
#
interface Ethernet1/0/3
line-rate outbound 16000
#
需要注意的是:
l 配置流分类规则时,ACL规则中定义的动作必须为permit。
l 如果报文同时匹配了多个流量监管中配置的ACL规则,则后下发的流量监管生效。
l 流量监管和端口限速的速率限制的粒度为64Kbps,如果用户输入的值在N*64~(N+1)*64之间(N为自然数),交换机将自动修改此值为(N+1)*64 Kbps。
l 配置流量监管和端口限速时,限速值指的是净载荷,不包括前导码和帧间隙。
l 流量监管功能对符合流量限制的报文执行的动作为permit,如果此类报文同时匹配了包含deny动作的其他ACL规则,就会发生动作冲突,此时设备会根据后下发的规则中定义的动作对报文进行处理。
图1-2 优先级重标记和队列调度配置组网图
某公司内部通过以交换机(以S3600系列以太网交换机为例)实现各部门之间的互连,其中PC 1、PC 2和PC 3为客户端,PC 1和PC 2通过端口Ethernet 1/0/1接入交换机;PC 3通过端口Ethernet 1/0/3接入交换机。Server 1、Server 2和Server 3分别为公司内部的数据库服务器、邮件服务器和文件服务器,通过端口Ethernet 1/0/2接入交换机。
要求配置优先级重标记和队列调度,实现如下目的:
l 在端口Ethernet 1/0/1上配置优先级重标记,实现交换机优先处理PC 1和PC 2发出的访问数据库服务器的报文,其次处理访问邮件服务器的报文,最后处理访问文件服务器的报文;
l 在端口Ethernet 1/0/3上配置优先级信任模式为信任端口的优先级,并且将端口Ethernet 1/0/3的优先级设置为5,实现PC 1、PC 2和PC 3同时访问服务器时,交换机优先处理PC 3发出的报文。
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104软件版本、Release 2107 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011、Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2102、Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126 |
Release 0011、Release 2102软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
& 说明:
S3100-SI系列、S5100-SI系列、S2126-EI、E126以太网交换机不支持优先级重标记功能。
(1) 定义流分类规则
# 创建并进入高级ACL 3000视图。
<Sysname> system-view
[Sysname] acl number 3000
# 定义分类规则,根据不同的目的IP地址对报文进行分类。
[Sysname-acl-adv-3000] rule 0 permit ip destination 192.168.0.1 0
[Sysname-acl-adv-3000] rule 1 permit ip destination 192.168.0.2 0
[Sysname-acl-adv-3000] rule 2 permit ip destination 192.168.0.3 0
[Sysname-acl-adv-3000] quit
(2) 配置优先级重标记
# 在端口Ethernet 1/0/1上对匹配ACL 3000内规则的报文进行优先级重标记。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] traffic-priority inbound ip-group 3000 rule 0 local-precedence 4
[Sysname-Ethernet1/0/1] traffic-priority inbound ip-group 3000 rule 1 local-precedence 3
[Sysname-Ethernet1/0/1] traffic-priority inbound ip-group 3000 rule 2 local-precedence 2
[Sysname-Ethernet1/0/1] quit
(3) 配置优先级信任模式
# 配置端口Ethernet 1/0/3的优先级信任模式为信任端口的优先级(缺省情况下即为信任端口的优先级,用户无需配置),并且设置端口的优先级为5。
[Sysname] interface Ethernet 1/0/3
[Sysname-Ethernet1/0/3] priority 5
[Sysname-Ethernet1/0/3] quit
(4) 配置优先级映射关系
# 配置CoS优先级到本地优先级的映射关系为0->0、1->1、2->2、3->3、4->4、5->5、6->6、7->7。
[Sysname] qos cos-local-precedence-map 0 1 2 3 4 5 6 7
(5) 配置队列调度
# 配置交换机使用SP队列调度算法。
[Sysname] queue-scheduler strict-priority
#
qos cos-local-precedence-map 0 1 2 3 4 5 6 7
#
queue-scheduler strict-priority
#
acl number 3000
rule 0 permit IP destination 192.168.0.1 0
rule 1 permit IP destination 192.168.0.2 0
rule 2 permit IP destination 192.168.0.3 0
#
interface Ethernet1/0/1
traffic-priority inbound ip-group 3000 rule 0 local-precedence 4
traffic-priority inbound ip-group 3000 rule 1 local-precedence 3
traffic-priority inbound ip-group 3000 rule 2 local-precedence 2
#
interface Ethernet1/0/3
priority 5
#
由于各产品QoS功能的差异,因此在进行上述配置时请根据具体使用的产品系列关注如下事项:
表1-3 配置注意事项
|
编号 |
具体事项说明 |
|
1 |
表1-2中所有产品在配置流分类规则时,ACL规则中定义的动作必须为permit |
|
2 |
交换机实现优先级重标记功能可通过两种方式实现,表1-2中不同产品在配置优先级重标记时,支持的优先级重标记方向、重标记类型和配置视图有所不同: l 通过traffic-priority命令实现优先级重标记时,各产品的具体差异请参见表1-4 l 通过流量监管实现优先级重标记时,各产品的具体差异请参见表1-5 |
|
3 |
在以太网交换机的端口上针对同一种报文同时配置了通过traffic-priority命令来重标记报文的DSCP/802.1P优先级动作和流量监管中的重标记报文的DSCP/802.1P优先级动作,此时不同产品先生效的动作有所不同: l S3600系列/S5600系列/S3100-52P/E352&E328/E152以太网交换机的端口上,后下发的动作先生效 l S3100-EI/S2000-EA系列/S5100-EI系列以太网交换机的端口上,先下发的动作先生效 |
|
4 |
优先级信任模式分为两类(信任端口的优先级、信任报文的优先级) (1) 信任端口优先级时:交换机使用接收端口的优先级作为报文的802.1p优先级,然后根据802.1p优先级和本地优先级映射关系,为报文分配本地优先级进行队列调度 (2) 信任报文优先级时:不同产品根据自身实现进一步细化了信任报文优先级类型(信任报文的802.1p优先级、DSCP优先级或IP优先级),具体各产品支持的报文优先级类型和映射关系请参见对应产品手册 l 用户选择具体信任报文优先级类型后,查找该优先级到本地优先级映射表,然后为报文分配本地优先级、丢弃优先级(仅51系列支持)等参数 l 当配置信任报文优先级后,如不指定具体信任何种类型的报文优先级,则交换机信任报文的802.1p优先级 |
|
5 |
不同系列以太网交换机的端口支持的输出队列数、支持的优先级队列、队列调度算法均有所不同: l 各产品支持队列的详细情况请参见表1-6 l 各种队列调度算法的介绍,请参见表1-7 |
表1-4 低端系列交换机支持重标记情况(通过traffic-priority命令实现)
|
产品 |
优先级重标记方向 |
支持重标记报文类型 |
优先级重标记配置视图 |
|
S5600系列 |
inbound |
IP优先级、802.1p优先级、DSCP优先级、本地优先级 |
系统视图、端口视图 |
|
S5100-EI系列 |
inbound |
802.1p优先级、DSCP优先级 |
系统视图、VLAN视图、端口组视图、端口视图 |
|
S5100-SI系列 |
不支持 |
不支持 |
不支持 |
|
S3600-SI/EI系列 |
inbound、outbound |
IP优先级、802.1p优先级、DSCP优先级、本地优先级 |
系统视图、端口视图 |
|
S3100-EI系列 |
inbound |
802.1p优先级、本地优先级和DSCP优先级 |
系统视图、VLAN视图、端口组视图、端口视图 |
|
S3100-C-SI系列 S3100-T-SI系列 S3100-TP-SI系列 S3100-52TP-SI |
不支持 |
不支持 |
不支持 |
|
S3100-52P |
inbound、outbound |
IP优先级、802.1p优先级、DSCP优先级、本地优先级 |
系统视图、端口视图 |
|
S2126-EI |
不支持 |
不支持 |
不支持 |
|
S2000-EA系列 |
inbound |
802.1p优先级、本地优先级和DSCP优先级 |
系统视图、VLAN视图、端口组视图、端口视图 |
|
E352&E328 |
inbound、outbound |
IP优先级、802.1p优先级、DSCP优先级、本地优先级 |
系统视图、端口视图 |
|
E152 |
inbound、outbound |
IP优先级、802.1p优先级、DSCP优先级、本地优先级 |
系统视图、端口视图 |
|
E126 |
不支持 |
不支持 |
不支持 |
|
E126A |
inbound |
802.1p优先级、本地优先级和DSCP优先级 |
系统视图、VLAN视图、端口组视图、端口视图 |
|
产品 |
优先级重标记方向 |
支持重标记报文类型 |
优先级重标记配置视图 |
|
S5600系列 |
inbound |
DSCP优先级 |
端口视图 |
|
S5100-EI系列 |
inbound |
802.1p优先级、DSCP优先级 |
系统视图、VLAN视图、端口组视图、端口视图 |
|
S5100-SI系列 |
不支持 |
不支持 |
不支持 |
|
S3600-SI/EI系列 |
inbound |
DSCP优先级 |
端口视图 |
|
S3100-EI系列 |
inbound |
802.1p优先级、DSCP优先级 |
系统视图、VLAN视图、端口组视图、端口视图 |
|
S3100-C-SI系列 S3100-T-SI系列 S3100-TP-SI系列 S3100-52TP-SI |
不支持 |
不支持 |
不支持 |
|
S3100-52P |
inbound |
DSCP优先级 |
端口视图 |
|
S2126-EI |
不支持 |
不支持 |
不支持 |
|
S2000-EA系列 |
inbound |
802.1p优先级、DSCP优先级 |
系统视图、VLAN视图、端口组视图、端口视图 |
|
E352&E328 |
inbound |
DSCP优先级 |
端口视图 |
|
E152 |
inbound |
DSCP优先级 |
端口视图 |
|
E126 |
不支持 |
不支持 |
不支持 |
|
E126A |
inbound |
802.1p优先级、DSCP优先级 |
系统视图、VLAN视图、端口组视图、端口视图 |
|
产品 |
端口支持队列数 |
支持的优先级队列类型 |
支持的队列调度算法 |
|
S5600系列 |
8个 |
SP、WRR |
SP、WRR、SP+WRR |
|
S5100-EI系列 |
8个 |
SP、WRR、SDWRR |
SP、SDWRR、SP+SDWRR |
|
S5100-SI系列 |
4个 |
SP、WRR、SDWRR |
SP、SDWRR、SP+SDWRR |
|
S3600-SI/EI系列 |
8个 |
SP、WRR、WFQ |
SP、WRR、WFQ、SP+WRR、SP+WFQ |
|
S3100-EI系列 |
4个 |
SP、WRR、HQ-WRR |
SP、WRR、HQ-WRR |
|
S3100-C-SI系列 S3100-T-SI系列 S3100-TP-SI系列 |
4个 |
WRR、HQ-WRR |
WRR、HQ-WRR |
|
S3100-52TP-SI |
4个 |
WRR、HQ-WRR |
WRR、HQ-WRR |
|
S3100-52P |
8个 |
SP、WRR、WFQ |
SP、WRR、WFQ、SP+WRR、SP+WFQ |
|
S2126-EI |
4个 |
WRR、HQ-WRR |
WRR、HQ-WRR |
|
S2000-EA系列 |
4个 |
SP、WRR、HQ-WRR |
SP、WRR、HQ-WRR |
|
E352&E328 |
8个 |
SP、WRR、WFQ |
SP、WRR、WFQ、SP+WRR、SP+WFQ |
|
E152 |
8个 |
SP、WRR、WFQ |
SP、WRR、WFQ、SP+WRR、SP+WFQ |
|
E126 |
4个 |
WRR、HQ-WRR |
WRR、HQ-WRR |
|
E126A |
4个 |
SP、WRR、HQ-WRR |
SP、WRR、HQ-WRR |
|
队列调度算法 |
各类队列调度算法说明 |
|
SP |
SP队列严格按照优先级从高到低的次序优先发送较高优先级队列中的分组,当较高优先级队列为空时,再发送较低优先级队列中的分组 l 建议将关键业务的分组放入较高优先级的队列,将非关键业务(如E-Mail)的分组放入较低优先级的队列,可以保证关键业务的分组被优先传送,非关键业务的分组在处理关键业务数据的空闲间隙被传送 l 如高优先级队列中的任务多,可能会出现低优先级队列中的报文长时间得不到服务的情况 |
|
WRR |
WRR队列调度算法在队列之间进行轮流调度,保证每个队列都得到一定的服务时间 l 避免了采用SP调度时低优先级队列中的报文可能长时间得不到服务的缺点 l 虽然多个队列的调度是轮询进行的,但对每个队列不是固定地分配服务时间片——如果某个队列为空,那么马上换到下一个队列调度,这样带宽资源可以得到充分的利用 l 建议用户在配置WRR调度算法时使用系统提供的缺省值 |
|
WFQ |
WFQ对报文按流进行分类,每一个流被分配到一个队列,尽量将不同的流分入不同的队列中。 l WFQ的队列数目N可以配置,N最大不能超过该产品支持的队列数 l 在出队的时候,WFQ按流的优先级(precedence)来分配每个流应占有出口的带宽。优先级的数值越小,所得的带宽越少。优先级的数值越大,所得的带宽越多。这样就保证了相同优先级业务之间的公平,体现了不同优先级业务之间的权值 |
|
SP+WRR |
当表1-6中产品端口采用SP+WRR队列调度算法时,设备会按照严格优先级优先调度权值为0的队列,当队列中没有报文发送时,才会对剩余的队列进行WRR调度 |
|
SP+WFQ |
当表1-6中产品端口采用SP+WFQ队列调度算法时,设备会按照严格优先级优先调度带宽为0的队列,当队列中没有报文发送时,才会对剩余的队列进行WFQ调度 |
|
SDWRR |
SDWRR队列调度算法支持两个Group,用户可根据需求将队列划分到Group1和Group2中 l 当用户配置使用SDWRR队列调度算法时:建议用户将连续的队列划分到同一个Group调度组内 l 进行队列调度时:Group内队列间采用轮询调度、两个组之间的调度方式为SP(两个Group中哪个包含的队列优先级高就先调度哪个Group,队列0~7的优先级依次增高) 例如,用户可以将队列0、1、2、3划分到Group1,将队列4、5、6、7划分到Group2,此时: l 系统首先在Group2中进行轮询调度 l Group2中没有报文发送时,才在Group1中进行轮询调度 |
|
SP+SDWRR |
采用SP+SDWRR队列调度算法时,可根据需求将优先级队列分别划入三类调度组:SP、SDWRR Group1、SDWRR Group2 l 当用户配置使用SP+SDWRR队列调度算法时:建议用户将连续的队列划分到同一个Group调度组内 l 进行队列调度时:Group内队列间采用轮询调度、三类调度组之间的调度方式为SP(三类调度组中哪个包含的队列优先级高就先调度哪个调度组,队列0~7的优先级依次增高) 例如,队列0、1、6、7采取缺省的SP队列调度,将队列2、3划分到Group1,将队列4、5划分到Group2,此时: l 首先发送队列7中报文 l 队列7中没有报文发送时,对队列6进行调度 l 队列6中没有报文发送时,在Group2中进行轮询调度 l Group2中没有报文发送时,在Group1中进行轮询调度 l Group1中没有报文发送时,对队列1进行调度 l 队列1中没有报文发送时,对队列0进行调度 |
|
HQ-WRR |
HQ-WRR队列调度算法在WRR的基础上,在4个输出队列中选择队列3为高优先级队列。如果4个队列的占用的带宽超过了端口的能力,交换机首先保证队列3的报文优先发送出去,然后对其余3个队列实行WRR调度 |
图1-3 重定向和流量统计配置组网图
某公司内部通过交换机(以S3600系列以太网交换机为例)实现各部门之间的互连,具体情况如下:
l PC 1和PC 2通过端口Ethernet1/0/1接入交换机,PC 1的IP地址为192.168.0.1;
l 数据监测设备通过端口Ethernet1/0/2接入交换机。
要求配置重定向和流量统计功能,实现如下目的:
l 在工作日的8:30到18:00时间段内,将PC 1通过HTTP方式访问Internet的报文重定向到数据监测设备,以便网络管理员对报文进行分析;
l 在非工作时间段内,统计PC 1通过HTTP方式访问Internet的流量。
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
(1) 定义工作日时间段
# 创建工作日时间段tr1,时间段范围为工作日的8:30到18:00。
<Sysname> system-view
[Sysname] time-range tr1 08:30 to 18:00 working-day
# 创建非工作时间段tr2。
[Sysname] time-range tr2 00:00 to 8:30 working-day
[Sysname] time-range tr2 18:00 to 24:00 working-day
[Sysname] time-range tr2 00:00 to 24:00 off-day
(2) 定义流分类规则
# 创建并进入高级ACL 3000视图。
<Sysname> system-view
[Sysname] acl number 3000
# 定义分类规则,根据不同的时间段对PC1通过HTTP方式访问Internet的报文进行分类。
[Sysname-acl-adv-3000] rule 0 permit tcp source 192.168.0.1 0 destination-port eq 80 time-range tr1
[Sysname-acl-adv-3000] rule 1 permit tcp source 192.168.0.1 0 destination-port eq 80 time-range tr2
[Sysname-acl-adv-3000] quit
(3) 配置重定向
# 在端口Ethernet1/0/1上配置重定向,将端口接收到的(inbound方向)匹配分类规则的报文重定向到端口Ethernet1/0/2。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] traffic-redirect inbound ip-group 3000 rule 0 interface Ethernet 1/0/2
& 说明:
表1-8中所示的产品支持的重定向功能有所差异:
l S3600-SI/EI系列、S3100-52P、E352&E328、E152支持对端口接收到/发送出的(inbound方向/outbound方向)符合分类规则的数据包进行报文重定向。
l 其余产品只支持对端口接收到的(inbound方向)符合分类规则的数据包进行报文重定向。
(4) 配置流量统计
# 在端口Ethernet1/0/1上配置流量统计,对匹配分类规则的报文进行统计。
[Sysname-Ethernet1/0/1] traffic-statistic inbound ip-group 3000 rule 1
#
acl number 3000
rule 0 permit TCP source 192.168.0.1 0 destination-port eq www time-range tr1
rule 1 permit TCP source 192.168.0.1 0 destination-port eq www time-range tr2
#
interface Ethernet1/0/1
traffic-redirect inbound ip-group 3000 rule 0 interface Ethernet1/0/2
traffic-statistic inbound ip-group 3000 rule 1
#
time-range tr2 00:00 to 08:30 working-day
time-range tr2 18:00 to 24:00 working-day
time-range tr2 00:00 to 24:00 off-day
time-range tr1 08:30 to 18:00 working-day
#
需要注意的是:
l 配置流分类规则时,ACL规则中定义的动作必须为permit。
l 配置重定向之后,目的端口接收到的报文是经过交换机转发处理后的报文。
l 配置重定向之后,原始报文不能再被正常转发。
l 用户在重定向目的端口接收到的报文都是带tag的报文。
图2-1 QoS Profile配置组网图
某公司内部通过交换机(以S3600系列以太网交换机为例)实现各部门之间的互连,并且通过802.1x协议对用户进行身份验证,控制用户访问网络资源。某个接入用户的用户名为someone,认证密码为hello,从交换机的Ethernet 1/0/1端口接入,用户属于test.net域。
要求配置QoS Profile,限制用户someone通过验证后向外发送的所有IP报文的速率为128Kbps,丢弃超出限制的报文。
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
(1) AAA服务器上的配置
在AAA服务器上配置用户的认证信息、用户名和QoS Profile的对应关系,具体配置请参见AAA服务器的指导书。
(2) Switch上的配置
# 配置RADIUS服务器的IP地址信息为10.11.1.1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.11.1.1
[Sysname-radius-radius1] primary accounting 10.11.1.1
# 设置交换机与认证和计费RADIUS服务器交互报文时的加密密码为money。
[Sysname-radius-radius1] key authentication money
[Sysname-radius-radius1] key accounting money
# 指示交换机从用户名中去除用户域名后再将之传给RADIUS服务器。
[Sysname-radius-radius1] user-name-format without-domain
[Sysname-radius-radius1] quit
# 创建用户域test.net,指定radius1为该域用户的RADIUS服务器组。
[Sysname] domain test.net
[Sysname-isp-test.net] radius-scheme radius1
[Sysname-isp-test.net] quit
# 添加本地接入用户,用户名为someone,认证密码为hello。
[Sysname] local-user someone
[Sysname-luser-localuser] service-type lan-access
[Sysname-luser-localuser] password simple hello
# 定义高级ACL 3000,分类规则为匹配目的为任意IP地址的IP报文。
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 1 permit ip destination any
[Sysname-acl-adv-3000] quit
# 定义QoS Profile,将匹配流分类规则的报文的速率限制为128Kbps,丢弃超出限制的报文。
[Sysname] qos-profile example
[Sysname-qos-profile-example] traffic-limit inbound ip-group 3000 128 exceed drop
[Sysname-qos-profile-example] quit
# 启动802.1x功能。
[Sysname] dot1x
[Sysname] dot1x interface Ethernet 1/0/1
#
dot1x
#
radius scheme system
radius scheme radius1
server-type standard
primary authentication 10.11.1.1
primary accounting 10.11.1.1
key authentication money
key accounting money
user-name-format without-domain
#
domain system
domain test.net
scheme radius-scheme radius1
#
acl number 3000
rule 0 permit IP
#
qos-profile example
traffic-limit inbound ip-group 3000 rule 0 128 exceed drop
#
interface Ethernet1/0/1
dot1x
#
需要注意的是:
l QoS Profile功能支持手工应用和动态应用两种方式。用户可以通过apply qos-profile profile-name命令手工将QoS Profile应用到端口上,也可以将QoS Profile与802.1x认证功能结合使用,为通过认证的一个用户或者一组用户提供预先配置的QoS功能。
l 根据802.1x认证方式的不同,动态应用方式又可以分为基于端口(Port-based)和基于用户(User-based)两种模式,缺省情况下为基于用户的模式。
l 使用User-based模式时,如果QoS Profile中的流分类规则定义了源信息(包括源MAC信息、源IP信息和VLAN信息),则QoS Profile不能应用成功。
l 目前QoS Profile功能可以为用户提供包过滤(packet-filter)、流量监管(traffic-limit)、优先级重标记(traffic-priority)功能。
流量监管的速率限制的粒度为64Kbps,如果用户输入的值在N*64~(N+1)*64之间(N为自然数),交换机将自动修改此值为(N+1)*64 Kbps。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
