• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-安全配置指导

目录

14-带宽管理配置

本章节下载 14-带宽管理配置  (215.38 KB)

14-带宽管理配置


1 带宽管理

1.1  带宽管理简介

带宽管理对通过设备的流量实现基于SSID(Service Set Identifier,服务集标识符)、User Profile、应用、DSCP优先级和时间段等,实现精细化的管理和控制。

1.1.1  带宽管理应用场景

带宽管理的应用场景如下:

·     企业内网用户所需的带宽远大于从运营商租用的出口带宽,这时网络出口就会存在带宽瓶颈的问题。

·     网络出口中P2P业务类型的数据流量消耗了绝大部分的带宽资源,致使企业的关键业务得不到带宽保证。

为了解决以上问题,可以在网络出口设备上部署带宽管理,针对不同的内网业务流量应用不同的带宽策略规则,实现合理分配出口带宽和保证关键业务正常运行的目的。

1.1.2  带宽管理实现流程

带宽策略可以对符合匹配条件的流量应用带宽通道,在带宽通道中可以配置带宽保证和带宽限制功能,进而提高带宽利用率以及在线路拥堵时保证关键业务的正常运行。

图1-1 带宽管理实现流程图

 

带宽管理实现流程如下:

(1)     将报文的属性信息与带宽策略规则中的过滤条件进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此条过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此条过滤条件匹配失败。

(2)     若报文与某条带宽策略规则中的所有过滤条件都匹配成功(用户与用户组匹配一项即可),则报文与此条带宽策略规则匹配成功。若有一个过滤条件不匹配,则报文与此条带宽策略规则匹配失败,报文继续匹配下一条带宽策略规则。以此类推,直到最后一条带宽策略规则,若报文还未与规则匹配成功,则不对报文进行带宽管理。

(3)     报文与某条带宽策略规则匹配成功后便结束此匹配过程,如果此规则的动作中引用了带宽通道,则流量继续进入相应的带宽通道进行后续的处理,否则设备不对该流量进行带宽管理。

(4)     流量进入带宽通道后,设备会根据此带宽通道中配置的带宽限制策略对流量进行相应的处理。

(5)     如果出接口出方向上应用了QoS业务,则对流量先进行带宽策略处理,再进行QoS业务处理。

(6)     流量从出接口发送时受该接口带宽的限制。

1.1.3  带宽策略规则

带宽策略中可以配置多个带宽策略规则,这些规则用于定义匹配流量的过滤条件以及流量控制的动作。带宽策略规则支持四级嵌套关系,即一个规则中可以指定一个父规则,最多支持嵌套四级。

1. 带宽策略规则过滤条件

每条带宽策略规则中可以配置多种过滤条件,具体包括:SSID(Service Set Identifier,服务集标识符)、User Profile、应用和DSCP优先级。每种过滤条件中均可以配置多个匹配项,比如应用过滤条件中可以指定多个应用等。

2. 带宽策略规则动作

在带宽策略规则动作中引用带宽通道后,设备将根据此带宽通道对此流量进行限流。

3. 嵌套规则匹配原则

流量与存在父规则的带宽策略规则进行匹配时,遵守如下原则:

·     首先匹配父规则,如果父规则匹配上了再匹配子规则。如果父规则没有匹配上,也不会进行后续的子规则匹配,该匹配过程失败。

·     如果子规则匹配上了,就执行子规则中指定的动作;如果子规则没有匹配上但父规则匹配上了就执行父规则中指定的动作。

1.1.4  带宽通道

带宽通道定义了具体的带宽资源,是进行带宽管理的基础。通过带宽通道,可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽通道,每个带宽通道中都可自定义相应的带宽资源限制参数和流量优先级参数。目前,带宽通道中支持的带宽资源限制参数和流量优先级参数包括以下如下几种:

1. 带宽通道限流方式

带宽通道中对流量的限制方式,包括如下两种:

·     分别设置上下行带宽:对带宽通道中的上下行流量分别限制。

·     设置总带宽:对带宽通道中的上下行流量整体限制。

2. 每规则带宽限制

每规则的保证带宽:保证业务的最小带宽,在线路拥堵时,可以保证公司关键业务所需的带宽,确保此类业务不受影响。

每规则的最大带宽:限制业务的最大带宽,比如限制网络中非关键业务占用的带宽资源,避免该类业务消耗大量的带宽,影响其他关键业务的正常运行。

3. 每IP或每用户带宽限制

每IP或每用户的保证带宽:设备除了支持配置每规则的保证带宽之外,还支持基于IP地址和用户的保证带宽,实现更加精细化的带宽管理。

每IP或每用户的最大带宽:设备除了支持配置每规则的最大带宽之外,还支持基于IP地址和用户的最大带宽,实现更加精细化的带宽管理。

4. 连接数限制

每规则、每IP或每用户的最大连接数和最大新建连接速率限制:通常在出现以下两类网络问题的组网环境中需要在设备上配置最大连接数和最大新建连接速率限制:某内网用户在短时间内经过设备向外部网络发起大量连接,导致设备系统资源迅速消耗,其它内网用户无法正常使用网络资源;某内部服务器在短时间内接收到大量的连接请求,导致该服务器忙于处理这些连接请求,以至于不能再接受其它客户端的正常连接请求。

5. 流量优先级限制

流量优先级:当多个带宽通道中的流量同时从某个接口发送时,如果此接口发生阻塞,则优先级高的流量优先被发送。优先级相同的流量将会自由竞争出接口的带宽资源。

重标记报文的DSCP优先级:修改报文中DSCP(Differentiated Services Code Point)字段的值,DSCP优先级是网络设备进行流量分类的依据。位于报文传输路径上的各个网络设备,能够通过DSCP优先级来区分流量,因此可以便于上下行设备依据修改后的DSCP优先级对流量采取差异化处理。

1.2  带宽管理与硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

说明

WX2500H系列

WX2510H

WX2510H-F

WX2540H

WX2540H-F

WX2560H

支持

WX3000H系列

WX3010H

WX3010H-X

WX3010H-L

WX3024H

WX3024H-L

WX3024H-F

·     WX3010H:支持

·     WX3010H-X:支持

·     WX3010H-L:不支持

·     WX3024H:支持

·     WX3024H-L:不支持

·     WX3024H-F:支持

WX3500H系列

WX3508H

WX3510H

WX3520H

WX3520H-F

WX3540H

支持

WX5500E系列

WX5510E

WX5540E

支持

WX5500H系列

WX5540H

WX5560H

WX5580H

支持

AC插卡系列

LSUM1WCME0

EWPXM1WCME0

LSQM1WCMX20

LSUM1WCMX20RT

LSQM1WCMX40

LSUM1WCMX40RT

EWPXM2WCMD0F

EWPXM1MAC0F

支持

 

产品系列

产品型号

说明

WX1800H系列

WX1804H

WX1810H

WX1820H

WX1840H

不支持

WX3800H系列

WX3820H

WX3840H

不支持

WX5800H系列

WX5860H

不支持

 

1.3  带宽管理配置限制和指导

配置带宽管理策略时,请按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。

1.4  带宽管理配置准备

在配置带宽管理策略之前,需完成以下任务:

·     配置时间段(请参见“安全配置指导”中的“时间段”)。

·     配置IP地址对象组和服务对象组(请参见“安全配置指导”中的“对象组”)。

·     配置应用(请参见“安全配置指导”中的“APR”)。

·     配置用户和用户组(请参见“用户接入与认证配置指导”中的“用户身份识别与管理”)。

1.5  带宽管理配置任务简介

带宽管理配置任务如下:

(1)     配置带宽通道

¡     创建带宽通道

¡     配置带宽通道参数

¡     配置带宽通道引用方式

¡     (可选)重命名带宽通道

(2)     配置带宽策略规则

¡     创建带宽策略规则

¡     配置带宽策略规则过滤条件

¡     配置带宽策略规则动作

¡     (可选)配置带宽策略规则生效时间

(3)     (可选)管理和维护带宽策略规则

¡     复制带宽策略规则

¡     重命名带宽策略规则

¡     移动带宽策略规则

¡     禁用带宽策略规则

1.6  配置带宽通道

1.6.1  创建带宽通道

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     创建带宽通道,并进入带宽通道视图。

profile name profile-name

1.6.2  配置带宽通道参数

1. 功能简介

带宽通道定义了实施带宽管理的对象所能够使用的带宽资源,带宽通道将被带宽策略规则引用后生效。

2. 配置限制和指导

每IP最大带宽、每用户最大带宽和最大带宽动态均分功能三种控制方式不能同时存在,会相互替换,最后一次配置的控制方式生效。

每IP保证带宽与每用户保证带宽两种控制方式不能同时存在,会相互替换,最后一次配置的控制方式生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     进入带宽通道视图。

profile name profile-name

(4)     配置带宽参数。

¡     配置每规则的保证带宽和最大带宽。

bandwidth { downstream | total | upstream } { guaranteed | maximum } bandwidth-value

缺省情况下,未配置带宽通道的保证带宽和最大带宽。

请保证最大带宽不小于保证带宽。

如需开启最大带宽的动态均分功能,则必须配置每规则的最大带宽。

¡     配置每IP或每用户的保证带宽和最大带宽。

bandwidth { downstream | total | upstream | } { guaranteed | maximum } { per-ip | per-user } bandwidth-value

缺省情况下,未配置每IP或每用户的保证带宽和最大带宽。

¡     开启最大带宽动态均分功能。

bandwidth average enable

缺省情况下,最大带宽动态均分功能处于关闭状态。

(5)     配置连接数限制参数。

¡     配置最大连接数。

connection-limit count { per-rule | per-ip | per-user } connection-number

缺省情况下,未配置最大连接数。

¡     配置最大新建连接速率。

connection-limit rate { per-rule | per-ip | per-user } connection-rate

缺省情况下,未配置最大新建连接速率。

(6)     配置优先级参数。

¡     配置流量优先级。

traffic-priority priority-value

缺省情况下,流量优先级为1。

¡     重标记报文的DSCP优先级。

remark dscp dscp-value

缺省情况下,不修改报文的DSCP优先级。

1.6.3  配置带宽通道引用方式

1. 功能简介

多个带宽策略规则引用同一个带宽通道的方式,包括如下两种:

·     策略独占:表示与带宽策略规则匹配成功的流量,独享带宽通道中的带宽限制和连接数限制。

·     策略共享:表示与多条带宽策略规则匹配成功的多条流量,共享带宽通道中的带宽限制和连接数限制。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     并进入带宽通道视图。

profile name profile-name

(4)     配置带宽通道的引用方式。

profile reference-mode { per-rule | rule-shared }

缺省情况下,带宽通道的引用方式为策略独占。

1.6.4  重命名带宽通道

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     重命名带宽通道。

profile rename old-name new-name

1.7  配置带宽策略规则

1.7.1  创建带宽策略规则

1. 功能简介

一个带宽策略中可以创建多个带宽策略规则,这些规则可以独立定义,也可以继承其它规则。继承其他带宽策略规则是通过在创建带宽策略规则时为其指定父带宽策略规则实现的。在父带宽策略规则和子带宽策略规则中均可以引用带宽通道。

2. 配置限制和指导

第四级带宽策略规则不能再作为父带宽策略规则。

只能在创建带宽策略规则时指定带宽策略规则的父带宽策略规则,不能为已存在的带宽策略规则添加或修改父带宽策略规则。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     创建带宽策略规则,并进入该带宽策略规则视图。

rule name rule-name [ parent parent-rule-name ]

1.7.2  配置带宽策略规则过滤条件

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     进入带宽策略规则视图。

rule name rule-name [ parent parent-rule-name ]

(4)     配置作为带宽策略规则过滤条件的地址对象组。

¡     配置作为带宽策略规则过滤条件目的IP地址。

destination-address address-set object-group-name

¡     配置作为带宽策略规则过滤条件的源IP地址。

source-address address-set object-group-name

缺省情况下,未配置作为带宽策略规则过滤条件的地址对象组。

(5)     配置作为带宽策略规则过滤条件的应用。

application { app application-name | app-group application-group-name }

缺省情况下,未配置作为带宽策略规则过滤条件的应用。

(6)     配置作为带宽策略规则过滤条件的用户和用户组。

¡     配置作为带宽策略规则过滤条件的用户。

user user-name [ domain domain-name ]

¡     配置作为带宽策略规则过滤条件的用户组。

user-group user-group-name [ domain domain-name ]

缺省情况下,未配置作为带宽策略规则过滤条件的用户和用户组。

(7)     配置作为带宽策略规则过滤条件的DSCP优先级。

dscp

缺省情况下,未配置作为带宽策略规则过滤条件的DSCP优先级。

(8)     配置作为带宽策略规则过滤条件的SSID。

wlan ssid ssid-name

缺省情况下,未配置作为带宽策略规则过滤条件的SSID。

(9)     配置作为带宽策略规则过滤条件的User Profile。

wlan user-profile profile-name

缺省情况下,未配置作为带宽策略规则过滤条件的User Profile。

1.7.3  配置带宽策略规则动作

1. 功能简介

如果流量成功匹配了某个带宽策略规则,则设备将会根据该带宽策略规则中指定的动作对此流量进行控制和管理,即按照引用的带宽通道对此流量进行限流。

2. 配置限制和指导

子规则引用的带宽通道中的最大带宽不能大于父规则引用的带宽通道中的最大带宽。

父规则引用的带宽通道中的保证带宽不能小于子规则引用的带宽通道中的保证带宽。

子规则与父规则不能引用同一个带宽通道。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     进入带宽策略规则视图。

rule name rule-name [ parent parent-rule-name ]

(4)     配置带宽策略规则中的动作。

action qos profile profile-name

缺省情况下,带宽策略规则中没有配置动作,即对匹配上该规则的流量不进行带宽管理,直接允许通过。

1.7.4  配置带宽策略规则生效时间

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     进入带宽策略规则视图。

rule name rule-name [ parent parent-rule-name ]

(4)     配置带宽策略规则的生效时间。

time-range time-range-name

缺省情况下,带宽策略规则在任何时间下都生效。

1.8  管理和维护带宽策略规则

1.8.1  复制带宽策略规则

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     复制带宽策略规则。

rule copy rule-name new-rule-name

1.8.2  重命名带宽策略规则

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     重命名带宽策略规则。

rule rename old-rule-name new-rule-name

1.8.3  移动带宽策略规则

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     移动带宽策略规则的排列顺序。

rule move rule-name1 { after | before } rule-name2

1.8.4  禁用带宽策略规则

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     进入带宽策略规则视图。

rule name rule-name [ parent parent-rule-name ]

(4)     禁用带宽策略规则。

disable

缺省情况下,带宽策略规则处于开启状态。

1.9  带宽管理显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后带宽管理的运行情况,以及带宽管理处理业务的统计信息。

说明

由于WX2500H系列和WX3000H系列无线控制器不支持IRF功能,因此不支持IRF模式的命令行配置。

 

表1-1 带宽管理显示和维护

操作

命令

显示带宽管理的流量统计信息

(独立运行模式)

display traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name }

(IRF模式)

display traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } [ slot slot-number ]

显示带宽管理的连接数限制统计信息

(独立运行模式)

display traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } }

(IRF模式)

display traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } } [ slot slot-number ]

显示带宽策略规则的命中统计信息

(独立运行模式)

display traffic-policy statistics rule-hit [ rule rule-name ]

(IRF模式)

display traffic-policy statistics rule-hit [ rule rule-name ] [ slot slot-number ]

清除带宽管理的流量统计信息

(独立运行模式)

reset traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name }

(IRF模式)

reset traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } [ slot slot-number ]

清除带宽管理的连接数限制统计信息

(独立运行模式)

reset traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } }

(IRF模式)

reset traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ rule-name ] | per-user [ user user-name ] rule rule-name } } [ slot slot-number ]

清除带宽策略规则被命中次数的统计信息

(独立运行模式)

reset traffic-policy statistics rule-hit [ rule rule-name ]

(IRF模式)

reset traffic-policy statistics rule-hit [ rule rule-name ] [ slot slot-number ]

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们