- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-流量控制策略典型配置
本章节下载: 01-流量控制策略典型配置 (1.11 MB)
目录
本文档介绍设备的QoS配置举例,包括通道化的、基于接口、IP地址、应用和时间的QoS配置。
在配置QoS前,先了解如下几个定义:
· 地址、应用、时间表对象:每一个报文对应的会话或匹配的策略,会携带IP地址、应用ID、时间戳等元素,当上述元素和QoS策略中引用的地址、应用和时间表对象全部匹配时,QoS策略对这些会话上的报文生效。
· 保障带宽:当应用的流速大于或等于流量控制通道配置的保障带宽时,配置的保障带宽值就是该应用的最小带宽,这部分带宽不可以被其它应用抢占。而当应用的流速小于控制通道配置的保障带宽时,空余的带宽可以被其它应用抢占。
· 最大带宽:指定应用被允许达到的最大流速,超过最大带宽部分的流量将被设备的丢弃。
· 线路和通道:线路和接口一一绑定,用来控制接口的上下行流速;流量控制通道分为层级,最多支持4级通道,其中第1级通道的上一级通道是线路,第2级通道的上一级通道是第1级通道,以此类推。上一级和下一级之间互为父子节点关系,配置的最后一级通道为叶子节点,每一个叶子节点都会自动创建一个默认通道,默认通道的带宽是通过该级父节点和所有子节点的带宽自动计算出来的。
· 匹配顺序:报文按照从父节点到子节点的顺序进行逐级匹配,直到报文到达无法匹配的一级时,随即匹配该级别的默认通道。
· 通道优先级:当父通道带宽充足,而其子通道中的保障通道尚未用满带宽时,同级的其它子通道可以借用上述通道的空余带宽。借用时,按照优先级高>中>低的顺序严格借用,即当高优先级通道带宽借满时,中优先级通道才可以开始借用,以此类推。当存在多条优先级相同的通道共同借用带宽时,这些通道将平分空余的带宽。
· 通道带宽自适应: 目前配置QoS功能的时候支持绝对值输入、采用绝对值输入对用户体验不是非常友好、用户很难判断输入多大的速率是比较合适的、特别是在层级QoS中;QoS保障带宽和最大带宽和父通道还有子通道都有一定的关系、所以这就更加增添了客户配置QoS的难度;
¡ 为了解决上述情况、增加QoS百分比功能、允许客户输入百分比;
¡ 其中最大带宽为父通道的最大带宽百分比。
¡ 保障带宽为父通道的保障带宽百分比。
¡ 当调整父通道带宽线路后,子通道带宽根据初次算的带宽百分比乘以调整后的线路带宽,算出新的带宽值。
¡ 为了保证百分比输入的一致性,QoS百分比只在页面上提供输入接口。
· 带宽自适应算法说明:
¡ 初次配置的带宽 百分比是基数不会变。
¡ 用带宽/线路值=百分比A(如果≥8Kb显示正常的带宽;算出来的带宽<8kb,带宽置为8kb,百分比A不变(带宽最小8kb)。
¡ 调整线路后,用百分比A*调整后的线路=带宽值。如果≥8Kb显示正常的带宽;算出来的带宽<8kb,带宽置为8kb,百分比A不变(带宽最小8kb)。
¡ web页面qos通道页面编辑后提交。相当于带宽重新下发,需要以web页面当前的带宽和线路算百分比。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解QoS特性。
QoS控制流速的粒度范围为8Kb~40Gb,不可配置超出该范围的流速值。
如图1所示,某公司内网办公网段IP地址为192.168.3.0/24,其中预留IP地址192.168.3.112给财务PC使用。使用设备的ge2和ge3接口作为透明桥,串接部署在网络中,在设备上启用QoS功能。具体应用需求如下:
· 将设备的ge3接口的上行流速和下行流速均限制为8Mbps。
· 针对办公网段用户,限制其上下行流速均为6Mbps,保障其上下行流速均不小于4Mbps,该策略生效时间为每周一至每周五的9:00-18:00。
· 针对办公网段用户的HTTP网页浏览和HTTP网页图片浏览/下载两个应用,限制其上下行流速均为5Mbps,保障其上下行流速均不小于3Mbps,该策略生效时间为每周一至每周五的9:00-18:00。
· 针对办公网段用户的各种P2P软件应用,限制其上下行流速均为1Mbps,并限制每IP的上下行流速均为500Kbps,该策略生效时间为每周一至每周五的9:00-18:00。
· 针对财务PC,不进行QoS。
· 后续公司将出口带宽升级为20M线路,线路下的所有通道带宽根据新的线路带宽自适应调整通道下的带宽。
图1 QoS通道限速功能配置组网图
· 配置好线路后,基于线路逐级配置基于IP地址、应用和时间等其它条件的流量控制通道。
本举例是在R6616版本上进行配置和验证的。
· 在设备的QoS配置中,上级通道和下级通道互为父子关系,要求所有子节点的带宽之和必须小于父节点的带宽。在配置前,可以预先对每一层通道需要配置的带宽进行规划。
· 在设备的QoS配置中,保障带宽不允许配置为空,保障带宽最小可以设置为8kbs,如果在流控策略中中没有保障带宽的需求,可直接使用限制通道。
· 设备在透明部署模式下配置流量控制策略时,线路中绑定桥口或物理接口,流量控制策略均生效。
· 设备在三层部署模式下进行QoS时,线路中绑定的接口必须是三层接口,功能才能生效。另外,当使用bvi接口进行三层转发时,QoS线路需要绑定在bvi接口上才能生效。
· 设备在子接口模式下进行QoS时,线路中绑定的接口必须在子接口上做,绑定在子接口的物理口上不生效
· 设备在聚合接口模式下进行QoS时,线路中绑定的接口必须在聚合接口上做,绑定在聚合接口的物理口上不生效。
· 流控策略(包括子通道、限制通道和排除策略)中的源目的地址不区分方向。
(1) 配置地址对象
如图2所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>,IP地址配置为192.168.3.0/24创建办公网段地址对象,点击<提交>。按照同样的方法配置财务PC地址对象。
如图3所示,创建成功的地址对象配置如下:
(2) 配置时间对象
如图4所示,进入“策略配置>对象管理>时间对象>日计划”,点击<新建>,“开始时间”和“结束时间”配置为9:00和18:00,命名为“工作时间”,点击<提交>。
如图5所示,进入“策略配置>对象管理>时间对象>周计划”,点击<新建>,在周一到周五的下拉菜单中选择“工作时间”,命名为“每周工作时间”,点击<提交>。
如图6所示,进入“策略配置>流量控制策略>流量控制”,点击<新建>,选择<线路>,“绑定接口”配置为ge3,“带宽管理(出)”和“带宽管理(入)”均配置为8Mb(这里出和入的方向基于ge3接口),命名为“接口QoS”并点击<提交>。
(1) 配置办公网段流量控制通道(1级)
如图7所示,进入“策略配置>流量控制策略>流量控制”,使用鼠标单击选中线路“接口QoS”,再点击<新建>,选择<通道>弹出配置页面。“级别”配置为高,在“带宽设定”中将上下行的最大带宽均配置为6Mb,上下行保障带宽均配置为4Mb,“匹配条件”配置为办公网段、“时间”配置为每周工作时间,命名为“办公网段QoS”并点击<提交>。
(2) 配置办公网段HTTP保障流量控制通道(2级)
如图8所示,进入“策略配置>流量控制策略>流量控制”,使用鼠标单击选中通道办公网段QoS,再点击<新建>,选择<通道>弹出配置页面。“级别”配置为高,在“带宽设定”中将上下行的最大带宽均配置为5Mb,上下行保障带宽均配置为3Mb,在“匹配条件”中的“应用”配置为网络协议/网页图片浏览_下载和网络协议/网页浏览(HTTP)、“时间”配置为每周工作时间,命名为“办公网段HTTP保障”并点击<提交>。
图8 配置办公网段HTTP保障流量控制通道
(3) 配置办公网段P2P限速(限制通道)
如图9所示,进入“策略配置>流量控制策略>流量控制”,使用鼠标单击<新建>,选择<限制通道>弹出配置页面。在“带宽设定”中将上下行的最大带宽均配置为1Mb,每IP限速上下行均配置为500Kb,接口选择ge3,“匹配条件”中的“应用”配置为P2P软件和P2P流媒体,“时间”配置为每周工作时间,命名为“办公网段P2P限速”并点击<提交>。
如图10所示,整体配置完成的流量控制通道如下:
如图11所示,进入“策略配置>流量控制策略>排除策略”,点击<新建>,“源地址”配置为财务PC,点击<提交>。
图11 配置QoS排除策略
进入“策略配置>流量控制策略>流量控制”,选中线路,点击<编辑>,修改“带宽管理(出)”和“带宽管理(入)”均配置为20Mb(这里出和入的方向基于ge3接口),并点击<提交>。
图12 接口QoS线路修改20M
查看调整后的线路下通道带宽如图13所示。
(1) 验证ge3接口流量限制效果
如图14所示,观察设备的首页的实时流量统计图,发现上行和下行流速都小于8Mbps:
(2) 验证办公网段流量限制效果
如图15所示,通过观察设备的首页的实时用户流量统计数据,办公网段(IP地址为192.168.3.0/24)的用户下行流速无法超过6Mbps:
(3) 验证财务PC免流量限制效果
如图16所示,使用财务PC地址192.168.3.112时,则完全不受QoS策略的影响,上下行流速可以超出QoS限制的6Mbps。
图16 财务PC不受QoS限制
!
address 办公网段
ip subnet 192.168.3.0/24
!
address 财务PC
ip address 192.168.3.112
!
schedule-day 工作时间
periodic start 09:00 end 18:00
!
schedule-week 每周工作时间
day monday 工作时间
day tuesday 工作时间
day wednesday 工作时间
day thursday 工作时间
day friday 工作时间
!
qos-profile white-list any any 财务PC any any any 2
qos-profile limit-channel 办公网段P2P限速
limit both
maxbandwidth ingress 1000
maxbandwidth egress 1000
perip ingress 500
perip egress 500
match interface ge3
schedule 每周工作时间
match service any
match address any
match user any
match application P2P_Software
match application P2P_Media
!
qos-profile line 接口QOS
limit both
maxbandwidth ingress 8000
maxbandwidth egress 8000
match interface ge3
!
qos-profile channel 办公网段QOS parent 接口QOS
bandwidth ingress 4000
maxbandwidth ingress 6000
bandwidth egress 4000
maxbandwidth egress 6000
priority high
schedule 每周工作时间
match service any
match address 办公网段
match user any
match application any
!
qos-profile channel 办公网段HTTP保障 parent 办公网段QOS
bandwidth ingress 3000
maxbandwidth ingress 5000
bandwidth egress 3000
maxbandwidth egress 5000
match service any
match address 办公网段
match user any
match application HTTP_PIC_DOWNLOAD
match application HTTP
!
qos-profile channel def_办公网段QOS parent 办公网段QOS
!
qos-profile channel def_接口QOS parent 接口QOS!
本文档介绍设备的流量和时长限额举例,包括基于流量的日限额和月限额,基于时长的日限额和月限额。
限额策略具有如下特点:
· 流量限额:支持日限额和月限额。
· 时长限额:支持日限额和月限额 。
· 支持设置惩罚时长。
· 支持提醒:达到限额条件后推送提醒页面提示用户,可以设置只提醒一次或定期提醒。
· 支持惩罚通道限速:基于时长惩罚或一直惩罚。
· 支持禁止上网:基于时长禁止上网或一直禁止上网。
· 支持限额统计:基于IP维度和用户账号维度。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解限额策略特性。
如图17所示HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet
限制每用户,每日限额为500MB,超出限额后,禁止访问网络。
根据每ip分配日限额流量,流量达到限额后对网络进行阻断或添加到惩罚通道进行限速。
本举例是在R6616版本上进行配置和验证的。
如图18所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>,IP地址配置为192.168.1.0/24。
(1) 新增限额策略
引用源IP,如图19所示,进入“策略配置>用户限额策略”,点击<新建>,“源地址”配置为192.168.1网段。
(2) 配置日限额
选择限额类型为流量 日限额 ,配置500MB,动作为禁止上网,如图20、图21。
(3) 查看限额状态
访问internet下载一个500+MB文件,检查限额状态,如图22。
(4) 结果检查
访问http页面,检查页面是否被禁止,如图23。
(1) 配置惩罚通道
在导航栏中选择“策略配置 > 流量控制策略 > 流量控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图24所示。
(2) 配置日限额
在导航栏中选择“策略配置>用户限额策略”,配置限额类型为流量/日限额,阈值为500MB。源IP为192.168.1.0网段,限额超出处理为添加到惩罚通道,如图25所示。
(3) 结果检查
配置完成后,内网PC访问外网internet,如图26。
下载500+MB数据后,查看限额用户统计状态是否为限速,如图27。
查看流量监控,流量是否限速为20Mbps,如图28。
(1) 新增限额策略
进入“策略配置>用户限额策略”,点击<新建>选择限额类型为流量 月限额 ,配置500MB,动作为禁止上网,惩罚时间为10分钟,如图29、图30所示。
(2) 查看限额状态
访问internet下载一个500+MB文件,检查限额状态,如图30。
(3) 结果检查
访问http页面,检查页面是否被禁止,如图31。
(1) 配置惩罚通道
在导航栏中选择“策略配置 > 流量控制策略 > 流量控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图32所示。
(2) 配置月限额
在导航栏中选择“策略配置>用户限额策略”,点击<新建>限额策略,配置限额类型为流量/月限额,阈值为500MB。限额超出处理为添加到惩罚通道,惩罚时间为10分钟,如图33。
(3) 结果检查
配置完成后,内网PC访问外网internet,如图34所示。
下载500+MB数据后,查看限额用户统计状态是否为限速,如图35。
查看流量监控,流量是否限速为20Mbps,如图36。
10分钟后检查速率可以正常恢复到之前的速率。
interface ge1
ip address 192.168.201.92/24
allow access https
allow access ping
!
interface ge2
ip address 192.168.1.1/24
allow access https
allow access http
!
policy-quota 日流量限额
enable
log disable
schdule always
match user any
match application any
match src-address any
match dst-address any
quota mode traffic
perday enable
perday bandwidth 500
notify disable
punish disable
policy6 default-action permit
policy-quota 日流量限额-流控通道
enable
log disable
schdule always
match user any
match application any
match src-address any
match dst-address any
quota mode traffic
perday enable
perday bandwidth 500
notify disable
punish enable
punish action limit qos-profile 惩罚通道
punish interval 0
policy6 default-action permit
!
如图37所示HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet
限制每用户,每日限额为500MB,超出限额后,禁止访问网络。
根据每ip分配日限额流量,上网时间达到限额后对网络进行阻断或添加到惩罚通道。
本举例是在R6616版本上进行配置和验证的。
如图38所示,进入“策略配置>对象管理>地址>地址对象”,点击<新建>,IP地址配置为192.168.1.0/24。
(1) 新增限额策略
如图39所示,进入“策略配置>用户限额策略”,点击<新建>,“源地址”配置为192.168.1网段。
(2) 配置日限额
选择限额类型为时长日限额 ,配置日限额为5分钟,如图40所示。
配置限额超出处理:开启提醒,阈值为50%,间隔为0分钟,如图41。
配置惩罚设置,惩罚时长为5分钟,动作为禁止上网,如图42。
(3) 查看限额状态
访问http页面,检查限额状态页面,如图43 。
(4) 检查提醒功能
三分钟后访问http页面,检查是否弹出提醒页面.如图44。
(5) 仅提醒一次验证
再次访问页面,检查是否正常显示,如图45。
(6) 日限额阈值验证
第5分钟后,再次访问,检查页面是否被禁止,如图46。
(7) 惩罚时间验证
第10分钟后(惩罚5分钟),重新访问,检查网络是否恢复正常,如图47。
(1) 新增惩罚通道
配置 惩罚通道,在导航栏中选择“策略配置 > 流量控制策略 > 流量控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图48所示。
(2) 新增限额策略
在导航栏中选择“策略配置>用户限额策略”, 配置限额类型为时长/日限额,阈值为5分钟,源IP为192.168.1.0网段,限额超出处理为添加到惩罚通道,如图49所示。
(3) 结果检查
配置完成后,内网PC访问外网internet,下载文件,检查是否为限速下载,如图50。
5分钟后,下载文件,检查限额用户统计,如图51。
(4) 进入惩罚通道
查看流量监控,流量是否限速为20Mbps,如图52。
(1) 新增限额策略
引用源IP,如图53所示,进入“策略配置>用户限额策略”,点击<新建>,“源地址”配置为192.168.1网段。
(2) 配置月限额
选择限额类型为“时长/月限额”,配置阈值为1小时,动作为禁止上网,惩罚时间为10分钟,如图54。
(3) 限额状态检查
访问internet,检查限额状态,如图55。
(4) 时间限额阈值验证
一小时后,访问http页面,检查页面是否被禁止,如图56。
10分钟后,再次访问http页面,检查是否正常。
(1) 新增惩罚通道
配置 惩罚通道,在导航栏中选择“策略配置 > 流量控制策略 > 流量 控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图57所示。
(2) 新增限额策略
在导航栏中选择“策略配置>用户限额策略”,配置限额类型为流量/月限额,阈值为1小时,限额超出处理为添加到惩罚通道,惩罚时间为10分钟,如图58。
(3) 速率检查
配置完成后,内网PC访问外网internet,下载数据,检查是否为限速。
(4) 限速检查
1小时后查看流量监控,流量是否限速为20Mbps,如图59。
10分钟后检查速率是否恢复限速。
interface ge1
ip address 192.168.201.92/24
allow access https
allow access ping
!
interface ge2
ip address 192.168.1.1/24
allow access https
allow access http
!
policy-quota 日流量限额
enable
log disable
schdule always
match user any
match application any
match src-address any
match dst-address any
quota mode traffic
perday enable
perday bandwidth 500
notify disable
punish disable
policy6 default-action permit
policy-quota 日流量限额-流控通道
enable
log disable
schdule always
match user any
match application any
match src-address any
match dst-address any
quota mode traffic
perday enable
perday bandwidth 500
notify disable
punish enable
punish action limit qos-profile 惩罚通道
punish interval 0
policy6 default-action permit
!
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
