22-带宽管理典型配置举例
本章节下载: 22-带宽管理典型配置举例 (544.26 KB)
带宽管理配置举例
本文档介绍带宽管理功能的典型配置举例。
带宽管理是指基于源/目的安全域、源/目的IP地址、用户/用户组、应用/应用组、DSCP优先级和时间段等报文属性,对经过设备的流量进行精细化的管理和控制。目前,带宽管理功能仅支持对基于TCP(Transmission Control Protocol,传输控制协议)、UDP(User Data Protocol,用户数据报文协议)和ICMP(Internet Control Message Protocol,互联网控制消息协议)协议的信息进行带宽管理。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解带宽管理特性。
配置带宽管理时,需要注意的是:
· 子策略引用的带宽通道中的最大带宽不能大于父策略引用的带宽通道中的最大带宽。
· 父策略引用的带宽通道中的保证带宽不能小于子策略引用的带宽通道中的保证带宽之和。
· 子策略与父策略不能引用同一个带宽通道。
· 接口期望带宽的缺省值较小时,在流量较大的情况下,很容易出现丢包现象,这时可以将此接口的期望带宽值调大。比如Tunnel口的默认带宽是64kbps,流量比较大的情况下,易出现丢包现象,这时可将Tunnel接口的期望带宽值调大。
· 如果被复制的带宽策略中含有子带宽策略,则只会复制父带宽策略的内容。
· 如果指定的父带宽策略已是其他带宽策略的子策略,则新建该带宽策略失败。
如图-1所示,内网主机通过Device与外网相连,通过在Device上配置带宽管理功能,实现当内网流量的出口发生拥塞时优先保证FTP业务的需求。具体要求如下:
· 限制内网用户,访问外网爱奇艺应用流量的上行最大带宽和下行最大带宽均为30Mbps。
· 保证内网用户,访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30Mbps。
· 限制外网出接口的最大带宽为100Mbps。
本举例是在F5020的Ess 9320版本上进行配置和验证的。
1. 配置接口的IP地址,并将接口加入安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 选中接口GE1/0/2前的复选框。
# 单击<编辑>按钮,配置如下。
· 加入到安全域:Untrust
· IP地址/掩码:20.1.1.1/24
· 其他配置项使用缺省值
# 按照同样的步骤配置接口GE1/0/1,配置如下。
· 加入到安全域:Trust
· IP地址/掩码:10.1.1.1/24
· 其他配置项使用缺省值
2. 配置安全策略
# 选择“策略 > 安全策略”,进入安全策略配置页面。
# 单击<新建>按钮,配置如下。
· 策略名称:Trust-Untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 动作:允许
· 其他配置项使用缺省值
3. 配置带宽通道
# 选择“策略 > 带宽管理 > 带宽通道”,单击<新建>按钮,进入新建带宽通道页面,配置如下。
图-2 新建带宽通道aiqiyi
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
# 按照同样的步骤,添加带宽通道profileFTP,配置如下。
图-3 新建带宽通道profileFTP
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
4. 配置带宽策略
# 选择“策略 > 带宽管理 > 带宽策略”,单击<新建>按钮,进入新建带宽策略页面,配置如下。
图-4 新建带宽策略aiqiyi
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
# 新建带宽策略成功后,选中此策略,并单击<启用>按钮,开启带宽策略。
# 按照同样的步骤,新建带宽策略FTP,配置如下。
图-5 新建带宽策略FTP
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
# 新建带宽策略成功后,选中此策略,并单击<启用>按钮,开启带宽策略。
5. 配置接口带宽
# 选择“策略 > 带宽管理 > 接口带宽”,单击<新建>按钮,进入新建接口带宽页面,配置如下。
图-6 新建接口带宽
# 单击<确定>按钮,完成配置。
配置完成后,当出接口GigabitEthernet1/0/2的流量达到100Mbps后,爱奇艺应用的流量最大只能达到30Mbps,FTP应用的流量能够保证最少达到30Mbps。
如图-7所示,内网主机通过Device与外网相连,通过在Device上配置带宽管理功能,实现当内网流量的出口发生拥塞时优先保证FTP业务的需求。具体要求如下:
· 限制内网用户,访问外网爱奇艺应用流量的上行最大带宽和下行最大带宽均为30Mbps。
· 保证内网用户,访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30Mbps。
· 限制内网用户的上行最大带宽和下行最大带宽均为50Mbps。
本举例是在F5020的Feature 9320P03版本上进行配置和验证的。
1. 配置接口的IP地址,并将接口加入安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 选中接口GE1/0/2前的复选框。
# 单击<编辑>按钮,配置如下。
· 加入到安全域:Untrust
· IP地址/掩码:20.1.1.1/24
· 其他配置项使用缺省值
# 按照同样的步骤配置接口GE1/0/1,配置如下。
· 加入到安全域:Trust
· IP地址/掩码:10.1.1.1/24
· 其他配置项使用缺省值
2. 配置安全策略
# 选择“策略 > 安全策略”,进入安全策略配置页面。
# 单击<新建>按钮,配置如下。
· 策略名称:Trust-Untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 动作:允许
· 其他配置项使用缺省值
3. 配置带宽通道
# 选择“策略 > 带宽管理 > 带宽通道”,单击<新建>按钮,进入新建带宽通道页面,配置如下。
图-8 新建带宽通道profile
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
# 按照同样的步骤,添加带宽通道aiqiyi,配置如下。
图-9 新建带宽通道aiqiyi
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
# 按照同样的步骤,添加带宽通道profileFTP,配置如下。
图-10 新建带宽通道profileFTP
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
4. 配置父带宽策略
# 选择“策略 > 带宽管理 > 带宽策略”,单击<新建>按钮,进入新建带宽策略页面,配置如下。
图-11 新建带宽策略policy
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
# 新建带宽策略成功后,选中此策略,并单击<启用>按钮,开启带宽策略。
5. 配置子带宽策略
# 选择“策略 > 带宽管理 > 带宽策略”,单击<新建>按钮,进入新建带宽策略页面,配置如下。
图-12 新建带宽策略aiqiyi
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
# 新建带宽策略成功后,选中此策略,并单击<启用>按钮,开启带宽策略。
# 按照同样的步骤,新建带宽策略FTP,配置如下。
图-13 新建带宽策略FTP
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
# 新建带宽策略成功后,选中此策略,并单击<启用>按钮,开启带宽策略。
配置完成后,内网用户的实际流量会被限制在50Mbps以内,并且爱奇艺应用的流量被限制在30Mbps;当网络发生拥塞时,能够保证FTP应用的流量够达到30Mbps。
如图-14所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。局域网内有教师群组Teacher、学生群组Student。Teacher群组有教师2名,Student群组有学生5名。通过在Device上配置带宽管理功能,实现基于用户进行限速带宽管理的功能。具体需求如下:
· 每个教师绑定一个IP地址,上行和下行均限速10Mbps。整体的会话并发连接数不超过100000。教师使用的带宽通道转发优先级为较低。
· 每个学生绑定一个IP地址,上行和下行均限速2Mbps。整体的会话并发连接数不超过40000,每个学生的会话并发连接数不超过10000。学生使用的带宽通道转发优先级为最低。
本举例是在F5020的Feature 9320P03版本上进行配置和验证的。
1. 配置接口的IP地址,并将接口加入安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 选中接口GE1/0/2前的复选框。
# 单击<编辑>按钮,配置如下。
· 加入到安全域:Untrust
· IP地址/掩码:20.1.1.1/24
· 其他配置项使用缺省值
# 按照同样的步骤配置接口GE1/0/1,配置如下。
· 加入到安全域:Trust
· IP地址/掩码:10.1.1.1/24
· 其他配置项使用缺省值
2. 配置安全策略
# 选择“策略 > 安全策略”,进入安全策略配置页面。
# 单击<新建>按钮,配置如下。
· 策略名称:Trust-Untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 动作:允许
· 其他配置项使用缺省值
3. 新建身份识别用户
# 选择“对象 > 用户 > 用户管理 > 本地用户”,在用户页面单击<新建>按钮,进入新建用户页面,配置如下。
· 用户名:student1
· 其他配置项使用缺省值
# 按照相同的步骤,分别新建用户student2、student3、student4、student5、teacher1和teacher2。
# 选择“对象 > 用户 > 用户管理 > 本地用户”,在用户组页面单击<新建>按钮,进入新建用户组页面,配置如下。
· 用户组名称:student
· 身份识别成员用户:student1、student2、student3、student4、student5
· 其他配置项使用缺省值
# 按照相同的步骤,新建身份识别用户组teacher,身份识别成员用户为teacher1和teacher2。
# 选择“对象 > 用户 > 用户管理 > 身份识别用户”,在静态身份识别用户页面单击<新建>按钮,进入新建静态身份识别用户页面,配置如下。
· 用户名:student1
· IP地址类型:IPv4
· IP地址:10.1.1.11
· 其他配置项使用缺省值
# 按照相同的步骤,分别新建静态身份识别用户student2、student3、student4、student5、teacher1和teacher2。
# 选择“对象 > 用户 > 用户管理 > 身份识别用户”,在静态身份识别用户页面单击<开启用户身份识别功能>按钮。
4. 配置带宽通道
# 选择“策略 > 带宽管理 > 带宽通道”,单击<新建>按钮,进入新建带宽通道页面,配置如下。
图-15 新建带宽通道profile-teacher
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
# 按照相同的步骤,新建名为profile-student的带宽通道,配置如下。
图-16 新建名为profile-student的带宽通道
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
5. 配置带宽策略
# 选择“策略 > 带宽管理 > 带宽策略”,单击<新建>按钮,进入新建带宽策略页面,配置如下。
图-17 新建名为policy-teacher的带宽策略
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
# 新建带宽策略成功后,选中此策略,并单击<启用>按钮,开启带宽策略。
# 按照同样的步骤,新建名为policy-student的带宽策略。配置如下。
图-18 新建名为policy-student的带宽策略
# 其他配置项使用缺省值。
# 单击<确定>按钮,完成配置。
# 新建带宽策略成功后,选中此策略,并单击<启用>按钮,开启带宽策略。
以上配置完成后,可以实现基于用户进行限速的功能。两位教师限速均为10Mbps,每位学生限速为2Mbps,且会话新建连接数都会受到限制。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!