• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

08-上网行为管理配置指导

目录

01-带宽管理配置

本章节下载 01-带宽管理配置  (375.79 KB)

01-带宽管理配置


1 带宽管理

1.1  带宽管理简介

带宽管理对通过设备的流量实现基于源/目的安全域、源/目的IP地址、服务、用户/用户组、应用、DSCP优先级和时间段等,实现精细化的管理和控制。

1.1.1  带宽管理应用场景

带宽管理的应用场景如下:

·     企业内网用户所需的带宽远大于从运营商租用的出口带宽,这时网络出口就会存在带宽瓶颈的问题。

·     网络出口中P2P业务类型的数据流量消耗了绝大部分的带宽资源,致使企业的关键业务得不到带宽保证。

为了解决以上问题,可以在网络出口设备上部署带宽管理,针对不同的内网业务流量应用不同的带宽策略规则,实现合理分配出口带宽和保证关键业务正常运行的目的。

1.1.2  带宽管理实现流程

带宽策略可以对符合匹配条件的流量应用带宽通道,在带宽通道中可以配置带宽保证和带宽限制功能,进而提高带宽利用率以及在线路拥堵时保证关键业务的正常运行。

图1-1 带宽管理实现流程图

 

带宽管理实现流程如下:

(1)     将报文的属性信息与带宽策略规则中的过滤条件进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此条过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此条过滤条件匹配失败。

(2)     若报文与某条带宽策略规则中的所有过滤条件都匹配成功(用户与用户组、应用与应用组各匹配一项即可),则报文与此条带宽策略规则匹配成功。若有一个过滤条件不匹配,则报文与此条带宽策略规则匹配失败,报文继续匹配下一条带宽策略规则。以此类推,直到最后一条带宽策略规则,若报文还未与规则匹配成功,则不对报文进行带宽管理。

(3)     报文与某条带宽策略规则匹配成功后便结束此匹配过程,如果此规则的动作中引用了带宽通道,则流量继续进入相应的带宽通道进行后续的处理,否则设备不对该流量进行带宽管理。

(4)     流量进入带宽通道后,设备会根据此带宽通道中配置的带宽限制策略对流量进行相应的处理。

(5)     如果出接口出方向上应用了QoS业务,则对流量先进行带宽策略处理,再进行QoS业务处理。

(6)     流量从出接口发送时受该接口带宽的限制。

1.1.3  带宽策略规则

带宽策略中可以配置多个带宽策略规则,这些规则用于定义匹配流量的过滤条件以及流量控制的动作。带宽策略规则支持四级嵌套关系,即一个规则中可以指定一个父规则,最多支持嵌套四级。

1. 带宽策略规则过滤条件

每条带宽策略规则中可以配置多种过滤条件,具体包括:源/目的安全域、源/目的IP地址、服务、用户/用户组、应用和DSCP优先级。每种过滤条件中均可以配置多个匹配项,比如应用过滤条件中可以指定多个应用等。

2. 带宽策略规则动作

在带宽策略规则动作中引用带宽通道后,设备将根据此带宽通道对此流量进行限流。

3. 嵌套规则匹配原则

流量与存在父规则的带宽策略规则进行匹配时,遵守如下原则:

·     首先匹配父规则,如果父规则匹配上了再匹配子规则。如果父规则没有匹配上,也不会进行后续的子规则匹配,该匹配过程失败。

·     如果子规则匹配上了,先执行子规则中指定的动作,再执行父规则中指定的动作,如果父子规则对同一个带宽资源限制参数或流量优先级参数进行限制,则执行最严格的动作。如果子规则没有匹配上但父规则匹配上了,则执行父规则中指定的动作。

1.1.4  带宽通道

带宽通道定义了具体的带宽资源,是进行带宽管理的基础。通过带宽通道,可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽通道,每个带宽通道中都可自定义相应的带宽资源限制参数和流量优先级参数。目前,带宽通道中支持的带宽资源限制参数和流量优先级参数包括如下几种:

1. 带宽通道限流方式

带宽通道中对流量的限制方式,包括如下两种:

·     分别设置上下行带宽:对带宽通道中的上下行流量分别限制。

·     设置总带宽:对带宽通道中的上下行流量整体限制。

2. 每规则带宽限制

每规则的保证带宽:保证业务的最小带宽,在线路拥堵时,可以保证公司关键业务所需的带宽,确保此类业务不受影响。

每规则的最大带宽:限制业务的最大带宽,比如限制网络中非关键业务占用的带宽资源,避免该类业务消耗大量的带宽,影响其他关键业务的正常运行。

3. 每IP或每用户带宽限制

每IP或每用户的保证带宽:设备除了支持配置每规则的保证带宽之外,还支持基于IP地址和用户的保证带宽,实现更加精细化的带宽管理。

每IP或每用户的最大带宽:设备除了支持配置每规则的最大带宽之外,还支持基于IP地址和用户的最大带宽,实现更加精细化的带宽管理。

4. 连接数限制

每规则、每IP或每用户的最大连接数和最大新建连接速率限制:通常在出现以下两类网络问题的组网环境中需要在设备上配置最大连接数和最大新建连接速率限制:某内网用户在短时间内经过设备向外部网络发起大量连接,导致设备系统资源迅速消耗,其它内网用户无法正常使用网络资源;某内部服务器在短时间内接收到大量的连接请求,导致该服务器忙于处理这些连接请求,以至于不能再接受其它客户端的正常连接请求。

5. 流量优先级限制

流量优先级:当多个带宽通道中的流量同时从某个接口发送时,如果此接口发生阻塞,则优先级高的流量优先被发送。优先级相同的流量将会自由竞争出接口的带宽资源。

重标记报文的DSCP优先级:修改报文中DSCP(Differentiated Services Code Point)字段的值,DSCP优先级是网络设备进行流量分类的依据。位于报文传输路径上的各个网络设备,能够通过DSCP优先级来区分流量,因此可以便于上下行设备依据修改后的DSCP优先级对流量采取差异化处理。

1.2  带宽管理与硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

设备型号

业务板类型

说明

M9006

M9010

M9014

Blade IV防火墙业务板

支持

Blade V防火墙业务板

支持

NAT业务板

不支持

应用交付业务板

支持

异常流量清洗业务板

不支持

M9010-GM

加密业务板

支持

M9016-V

Blade V防火墙业务板

支持

M9008-S

M9012-S

Blade IV防火墙业务板

支持

应用交付业务板

支持

入侵防御业务板

支持

视频网关业务板

支持

异常流量清洗业务板

不支持

M9008-S-6GW

IPv6业务板

支持

M9008-S-V

Blade IV防火墙业务板

支持

M9000-AI-E8

Blade V防火墙业务板

支持

应用交付业务板

支持

M9000-AI-E16

Blade V防火墙业务板

支持

1.3  带宽管理配置限制和指导

·     配置带宽管理策略时,请按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。

·     接口期望带宽的缺省值较小时,在流量较大的情况下,很容易出现丢包现象,这时可以将此接口的期望带宽值调大。比如Tunnel口的默认带宽是64kbps,流量比较大的情况下,易出现丢包现象,这时可将Tunnel接口的期望带宽值调大。

1.4  带宽管理配置准备

在配置带宽管理策略之前,需完成以下任务:

·     配置时间段(请参见“ACL和QoS配置指导”中的“时间段”)。

·     配置IP地址对象组和服务对象组(请参见“安全配置指导”中的“对象组”)。

·     配置应用(请参见“安全配置指导”中的“APR”)。

·     配置用户和用户组(请参见“安全配置指导”中的“用户身份识别与管理”)。

·     配置安全域(请参见“安全配置指导”中的“安全域”)。

1.5  带宽管理配置任务简介

带宽管理配置任务如下:

(1)     配置带宽通道

¡     创建带宽通道

¡     配置带宽通道参数

¡     配置带宽通道引用方式

¡     (可选)重命名带宽通道

(2)     配置带宽策略规则

¡     创建带宽策略规则

¡     配置带宽策略规则过滤条件

¡     配置带宽策略规则动作

¡     (可选)配置带宽策略规则生效时间

(3)     (可选)管理和维护带宽策略规则

¡     复制带宽策略规则

¡     重命名带宽策略规则

¡     移动带宽策略规则

¡     禁用带宽策略规则

(4)     (可选)开启带宽管理统计功能

1.6  配置带宽通道

1.6.1  创建带宽通道

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     创建带宽通道,并进入带宽通道视图。

profile name profile-name

1.6.2  配置带宽通道参数

1. 功能简介

带宽通道定义了实施带宽管理的对象所能够使用的带宽资源,带宽通道将被带宽策略规则引用后生效。

2. 配置限制和指导

每IP最大带宽、每用户最大带宽和最大带宽动态均分功能三种控制方式不能同时存在,会相互替换,最后一次配置的控制方式生效。

每IP保证带宽与每用户保证带宽两种控制方式不能同时存在,会相互替换,最后一次配置的控制方式生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     进入带宽通道视图。

profile name profile-name

(4)     配置带宽参数。

¡     配置每规则的保证带宽和最大带宽。

bandwidth { downstream | total | upstream } { guaranteed | maximum } bandwidth-value

缺省情况下,未配置带宽通道的保证带宽和最大带宽。

请保证最大带宽不小于保证带宽。

如需开启最大带宽的动态均分功能,则必须配置每规则的最大带宽。

¡     配置每IP或每用户的保证带宽和最大带宽。

bandwidth { downstream | total | upstream | } { guaranteed | maximum } { per-ip | per-user } bandwidth-value

缺省情况下,未配置每IP或每用户的保证带宽和最大带宽。

¡     开启最大带宽动态均分功能。

bandwidth average enable

缺省情况下,最大带宽动态均分功能处于关闭状态。

(5)     配置连接数限制参数。

¡     配置最大连接数。

connection-limit count { per-rule | per-ip | per-user } connection-number

缺省情况下,未配置最大连接数。

¡     配置最大新建连接速率。

connection-limit rate { per-rule | per-ip | per-user } connection-rate

缺省情况下,未配置最大新建连接速率。

(6)     配置优先级参数。

¡     配置流量优先级。

traffic-priority priority-value

缺省情况下,流量优先级为1。

¡     重标记报文的DSCP优先级。

remark dscp dscp-value

缺省情况下,不修改报文的DSCP优先级。

1.6.3  配置带宽通道引用方式

1. 功能简介

多个带宽策略规则引用同一个带宽通道的方式,包括如下两种:

·     策略独占:表示与带宽策略规则匹配成功的流量,独享带宽通道中的带宽限制和连接数限制。

·     策略共享:表示与多条带宽策略规则匹配成功的多条流量,共享带宽通道中的带宽限制和连接数限制。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     并进入带宽通道视图。

profile name profile-name

(4)     配置带宽通道的引用方式。

profile reference-mode { per-rule | rule-shared }

缺省情况下,带宽通道的引用方式为策略独占。

1.6.4  重命名带宽通道

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     重命名带宽通道。

profile rename old-name new-name

1.7  配置带宽策略规则

1.7.1  创建带宽策略规则

1. 功能简介

一个带宽策略中可以创建多个带宽策略规则,这些规则可以独立定义,也可以继承其它规则。继承其他带宽策略规则是通过在创建带宽策略规则时为其指定父带宽策略规则实现的。在父带宽策略规则和子带宽策略规则中均可以引用带宽通道。

2. 配置限制和指导

第四级带宽策略规则不能再作为父带宽策略规则。

只能在创建带宽策略规则时指定带宽策略规则的父带宽策略规则,不能为已存在的带宽策略规则添加或修改父带宽策略规则。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     (可选)开启全数据流带宽管理功能。

all-traffic-control enable

缺省情况下,全数据流带宽管理功能处于关闭状态,带宽管理功能仅对四层及以上协议的数据流生效。

当网络环境中存在大量IP数据流时建议开启本功能,对IP层及上层数据流进行带宽管理。

(4)     创建带宽策略规则,并进入该带宽策略规则视图。

rule [ rule-id ] name rule-name [ parent parent-rule-name ]

1.7.2  配置带宽策略规则过滤条件

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     进入带宽策略规则视图。请选择其中一项进行配置。

¡     rule rule-id

¡     rule [ rule-id ] name rule-name [ parent parent-rule-name ]

(4)     配置作为带宽策略规则过滤条件的安全域。

¡     配置作为带宽策略规则过滤条件的目的安全域。

destination-zone destination-zone-name

¡     配置作为带宽策略规则过滤条件的源安全域。

source-zone source-zone-name

缺省情况下,未配置作为带宽策略规则过滤条件的安全域。

(5)     配置作为带宽策略规则过滤条件的地址对象组。

¡     配置作为带宽策略规则过滤条件目的IP地址。

destination-address address-set object-group-name

¡     配置作为带宽策略规则过滤条件的源IP地址。

source-address address-set object-group-name

缺省情况下,未配置作为带宽策略规则过滤条件的地址对象组。

(6)     配置作为带宽策略规则过滤条件的服务。

service object-group-name

缺省情况下,未配置作为带宽策略规则过滤条件的服务。

(7)     配置作为带宽策略规则过滤条件的应用。

application { app application-name | app-group application-group-name }

缺省情况下,未配置作为带宽策略规则过滤条件的应用。

(8)     配置作为带宽策略规则过滤条件的用户和用户组。

¡     配置作为带宽策略规则过滤条件的用户。

user user-name [ domain domain-name ]

¡     配置作为带宽策略规则过滤条件的用户组。

user-group user-group-name [ domain domain-name ]

缺省情况下,未配置作为带宽策略规则过滤条件的用户和用户组。

(9)     配置作为带宽策略规则过滤条件的DSCP优先级。

dscp dscp-value

缺省情况下,未配置作为带宽策略规则过滤条件的DSCP优先级。

(10)     配置作为带宽策略规则过滤条件的IPv6报文信息。

¡     配置作为带宽策略规则过滤条件的IPv6报文头流标签。

ipv6 flow-label { nonzero | zero }

缺省情况下,未配置作为带宽策略规则过滤条件的IPv6报文头流标签。

¡     配置作为带宽策略规则过滤条件的IPv6扩展报文头。

ipv6 extension-header { authentication | destination | encapsulating | fragment | hop-by-hop | routing }

缺省情况下,未配置作为带宽策略规则过滤条件的IPv6扩展报文头。

1.7.3  配置带宽策略规则动作

1. 功能简介

如果流量成功匹配了某个带宽策略规则,则设备将会根据该带宽策略规则中指定的动作对此流量进行控制和管理,即按照引用的带宽通道对此流量进行限流。

2. 配置限制和指导

子规则引用的带宽通道中的最大带宽不能大于父规则引用的带宽通道中的最大带宽。

父规则引用的带宽通道中的保证带宽不能小于子规则引用的带宽通道中的保证带宽。

子规则与父规则不能引用同一个带宽通道。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     进入带宽策略规则视图。请选择其中一项进行配置。

¡     rule rule-id

¡     rule [ rule-id ] name rule-name [ parent parent-rule-name ]

(4)     配置带宽策略规则中的动作。

action { deny | none | qos profile profile-name }

缺省情况下带宽策略规则为限流,但未引用带宽通道。

1.7.4  配置带宽策略规则生效时间

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     进入带宽策略规则视图。请选择其中一项进行配置。

¡     rule rule-id

¡     rule [ rule-id ] name rule-name [ parent parent-rule-name ]

(4)     配置带宽策略规则的生效时间。

time-range time-range-name

缺省情况下,带宽策略规则在任何时间下都生效。

1.8  管理和维护带宽策略规则

1.8.1  复制带宽策略规则

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     复制带宽策略规则。

rule copy rule-name new-rule-name

1.8.2  重命名带宽策略规则

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     重命名带宽策略规则。

rule rename old-rule-name new-rule-name

1.8.3  移动带宽策略规则

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     移动带宽策略规则的排列顺序。

rule move rule-name1 { after rule-name2 | before [ rule-name2 ] }

1.8.4  禁用带宽策略规则

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     进入带宽策略规则视图。请选择其中一项进行配置。

¡     rule rule-id

¡     rule [ rule-id ] name rule-name [ parent parent-rule-name ]

(4)     禁用带宽策略规则。

disable

缺省情况下,带宽策略规则处于开启状态。

1.9  开启带宽管理统计功能

1. 功能简介

开启带宽管理相关统计功能后,设备才能对其相关的数据进行统计。设备支持的带宽管理统计功能如下:

·     流量统计功能:带宽管理业务将对匹配带宽策略规则的流量进行统计,统计信息可通过display traffic-policy statistics bandwidth命令查看。

·     连接数限制统计功能:带宽管理业务将对匹配带宽策略规则的连接数限制信息进行统计,统计信息可通过display traffic-policy statistics connection-limit命令查看。

·     规则命中统计功能:带宽管理业务将对带宽策略规则的命中情况进行统计,统计信息可通过display traffic-policy statistics rule-hit命令查看。

2. 配置限制和指导

开启统计功能将对设备处理性能产生影响,建议仅在需要查看统计信息时开启。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入带宽策略视图。

traffic-policy

(3)     开启带宽管理统计功能。

¡     开启带宽管理流量统计功能。

statistics bandwidth enable

缺省情况下,带宽管理流量统计功能处于关闭状态。

¡     开启带宽管理连接数限制统计功能。

statistics connection-limit enable

缺省情况下,带宽管理连接数限制统计功能处于关闭状态。

¡     开启带宽管理规则命中统计功能。

statistics rule-hit enable

缺省情况下,带宽管理规则命中统计功能处于关闭状态。

1.10  带宽管理显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后带宽管理的运行情况,以及带宽管理处理业务的统计信息。

表1-1 带宽管理显示和维护

操作

命令

显示带宽管理的流量统计信息

(独立运行模式)

display traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

display traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

显示带宽管理的连接数限制统计信息

(独立运行模式)

display traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

display traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

显示带宽策略规则的命中统计信息

(独立运行模式)

display traffic-policy statistics rule-hit [ rule rule-name ] [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

display traffic-policy statistics rule-hit [ rule rule-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

清除带宽管理的流量统计信息

(独立运行模式)

reset traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

reset traffic-policy statistics bandwidth { downstream | total | upstream } { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

清除带宽管理的连接数限制统计信息

(独立运行模式)

reset traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

reset traffic-policy statistics connection-limit { per-ip { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } rule rule-name | per-rule [ name rule-name ] | per-user [ user user-name ] rule rule-name } } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

清除带宽策略规则被命中次数的统计信息

(独立运行模式)

reset traffic-policy statistics rule-hit [ rule rule-name ] [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

reset traffic-policy statistics rule-hit [ rule rule-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

 

1.11  带宽管理典型配置举例

1.11.1  单通道模式带宽管理配置举例

1. 组网需求

内网主机通过Device与外网相连,通过在Device上配置带宽管理功能,实现当内网流量的出口发生拥塞时优先保证FTP业务的需求。具体要求如下:

·     限制内网用户,访问外网爱奇艺(iQiYiPPS)应用流量的上行最大带宽和下行最大带宽均为30720kbps。

·     保证内网用户,访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30720kbps。

·     限制外网出接口的最大带宽为102400kbps。

2. 组网图

图1-2 单通道模式带宽管理配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由。本举例假设设备Device到达外网服务器3.1.1.2/24的下一跳为20.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 3.1.1.2 24 20.1.1.2

(3)     配置接口加入安全域。

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置安全策略

# 配置名称为trust-untrust的安全策略规则,使内网主机可以访问Internet。具体配置步骤如下。

 [Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-1-trust-untrust] source-zone trust

[Device-security-policy-ip-1-trust-untrust] destination-zone untrust

[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.2

[Device-security-policy-ip-1-trust-untrust] action pass

[Device-security-policy-ip-1-trust-untrust] quit

[Device-security-policy-ip] quit

(5)     配置带宽通道

# 创建名为aiqiyi的带宽通道,配置该带宽通道的上/下行最大带宽均为30720kbps。

[Device] traffic-policy

[Device-traffic-policy] profile name aiqiyi

[Device-traffic-policy-profile-aiqiyi] bandwidth upstream maximum 30720

[Device-traffic-policy-profile-aiqiyi] bandwidth downstream maximum 30720

[Device-traffic-policy-profile-aiqiyi] quit

# 创建名为profileftp的带宽通道,配置该带宽通道的上/下行保证带宽均为30720kbps。

[Device-traffic-policy] profile name profileftp

[Device-traffic-policy-profile-profileftp] bandwidth upstream guaranteed 30720

[Device-traffic-policy-profile-profileftp] bandwidth downstream guaranteed 30720

[Device-traffic-policy-profile-profileftp] quit 

[Device-traffic-policy] quit

(6)     配置出接口的最大带宽

# 配置接口GigabitEthernet1/0/2的期望带宽为102400kbps。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] bandwidth 102400

[Device-GigabitEthernet1/0/2] quit

(7)     配置带宽策略规则

# 创建名为aiqiyi的带宽策略规则,在带宽策略中引用预定义应用iQiYiPPS,配置带宽策略的动作为限流并引用带宽通道aiqiyi。

[Device] traffic-policy

[Device-traffic-policy] rule name aiqiyi

[Device-traffic-policy-rule-1-aiqiyi] application app iQiYiPPS

[Device-traffic-policy-rule-1-aiqiyi] action qos profile aiqiyi

[Device-traffic-policy-rule-1-aiqiyi] quit

# 创建名为ruleftp的带宽策略规则,在带宽策略中引用预定义应用ftp,配置带宽策略规则动作为限流并引用带宽通道profileftp。

[Device-traffic-policy] rule name ruleftp

[Device-traffic-policy-rule-2-ruleftp] application app ftp

[Device-traffic-policy-rule-2-ruleftp] action qos profile profileftp

[Device-traffic-policy-rule-2-ruleftp] quit

[Device-traffic-policy] quit

4. 验证配置

配置完成后,当出接口GigabitEthernet1/0/2的流量达到102400kbps后,爱奇艺应用的流量最大只能达到30720kbps,FTP应用的流量能够保证最少达到30720kbps。

1.11.2  父子通道模式带宽管理配置举例

1. 组网需求

内网主机通过Device与外网相连,通过在Device上配置带宽管理功能,实现当内网流量发生拥塞时优先保证FTP业务的需求。具体要求如下:

·     限制内网用户,访问外网爱奇艺(iQiYiPPS)应用流量的上行最大带宽和下行最大带宽均为30720kbps。

·     保证内网用户,访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30720kbps。

·     限制内网用户的最大带宽为40960kbps。

2. 组网图

图1-3 父子通道模式带宽管理配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由。本举例假设设备Device到达外网服务器3.1.1.2/24的下一跳为20.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 3.1.1.2 24 20.1.1.2

(3)     配置接口加入安全域。

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置安全策略。

# 配置名称为trust-untrust的安全策略规则,使内网Host访问外网Internet的报文可通,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-1-trust-untrust] source-zone trust

[Device-security-policy-ip-1-trust-untrust] destination-zone untrust

[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.2

[Device-security-policy-ip-1-trust-untrust] action pass

[Device-security-policy-ip-1-trust-untrust] quit

[Device-security-policy-ip] quit

(5)     配置带宽通道

# 创建名为profile的带宽通道,配置该带宽通道的上/下行最大带宽为40960kbps。

[Device] traffic-policy

[Device-traffic-policy] profile name profile

[Device-traffic-policy-profile-profile] bandwidth upstream maximum 40960

[Device-traffic-policy-profile-profile] bandwidth downstream maximum 40960

[Device-traffic-policy-profile-profile] quit

# 创建名为aiqiyi的带宽通道,配置该带宽通道的上/下行最大带宽为30720kbps。

[Device-traffic-policy] profile name aiqiyi

[Device-traffic-policy-profile-aiqiyi] bandwidth upstream maximum 30720

[Device-traffic-policy-profile-aiqiyi] bandwidth downstream maximum 30720

[Device-traffic-policy-profile-aiqiyi] quit

# 创建名为profileftp的带宽通道,配置该带宽通道的上/下行保证带宽为30720kbps。

[Device-traffic-policy] profile name profileftp

[Device-traffic-policy-profile-profileftp] bandwidth upstream guaranteed 30720

[Device-traffic-policy-profile-profileftp] bandwidth downstream guaranteed 30720

[Device-traffic-policy-profile-profileftp] quit

(6)     配置带宽策略

# 创建名为rule的带宽策略规则,引用带宽通道profile,配置带宽策略规则的动作为限流。

[Device-traffic-policy] rule name rule

[Device-traffic-policy-rule-1-rule] action qos profile profile

[Device-traffic-policy-rule-1-rule] quit

# 创建名为aiqiyi的带宽策略规则,指定该带宽策略的父规则为rule,引用预定义应用iQiYiPPS,带宽通道aiqiy,配置该带宽策略的动作为限流。

[Device-traffic-policy] rule name aiqiyi parent rule

[Device-traffic-policy-rule-2-aiqiyi] application app iQiYiPPS

[Device-traffic-policy-rule-2-aiqiyi] action qos profile aiqiyi

[Device-traffic-policy-rule-2-aiqiyi] quit

# 创建名为ruleftp的带宽策略规则,指定该带宽策略的父规则为rule,引用预定义应用ftp,带宽通道profileftp,配置该带宽策略的动作为限流。

[Device-traffic-policy] rule name ruleftp parent rule

[Device-traffic-policy-rule-3-ruleftp] application app ftp

[Device-traffic-policy-rule-3-ruleftp] action qos profile profileftp

[Device-traffic-policy-rule-3-ruleftp] quit

[Device-traffic-policy] quit

4. 验证配置

以上配置完成后,内网用户的实际流量会限制在40960kbps,并且爱奇艺流量被限制在30720kbps;当网络发生拥塞时,FTP业务基本不受影响。

1.11.3  基于用户限速带宽管理配置举例

1. 组网需求

内网有两个用户组,分别为教师组teacher和学生组student。teacher组有教师2名,student组有学生5名。通过在Device上配置带宽管理功能,实现基于用户进行限速带宽管理的功能。具体需求如下:

·     学生组student1~student5的IP地址依次为10.1.1.2/24~10.1.1.6/24;教师组teacher1~teacher2的IP地址依次为10.1.1.21/24~10.1.1.22/24。

·     每个教师绑定一个IP地址,上行和下行均限速10000kbps,每用户的最大连接数不超过10000。教师使用的带宽通道转发优先级为较低。

·     每个学生绑定一个IP地址,上行和下行均限速2000kbps,每用户的最大连接数不超过10000。学生使用的带宽通道转发优先级为最低。

2. 组网图

图1-4 基于用户限速带宽管理配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由。本举例假设设备Device到达外网服务器3.1.1.2/24的下一跳为20.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 3.1.1.2 24 20.1.1.2

(3)     配置接口加入安全域。

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置安全策略。

# 配置名称为trust-untrust的安全策略规则,使内网Host访问外网Internet的报文可通,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-1-trust-untrust] source-zone trust

[Device-security-policy-ip-1-trust-untrust] destination-zone untrust

[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.2

[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.3

[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.4

[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.5

[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.6

[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.21

[Device-security-policy-ip-1-trust-untrust] source-ip-host 10.1.1.22

[Device-security-policy-ip-1-trust-untrust] action pass

[Device-security-policy-ip-1-trust-untrust] quit

[Device-security-policy-ip] quit

(5)     创建网络类本地接入用户

# 创建名为student1的本地接入用户并设置密码。

[Device] local-user student1 class network

[Device-luser-network-student1] password simple student

# 指定用户student1可以使用的服务类型为IKE、Portal以及SSL VPN。

[Device-luser-network-student1] service-type ike

[Device-luser-network-student1] service-type portal

[Device-luser-network-student1] service-type sslvpn

[Device-luser-network-student1] quit

# 创建学生用户student2~student5,密码均为student;教师用户teacher1、teacher2,密码均为teacher。教师用户和学生用户可用服务均为IKE、Portal、SSL VPN。(具体配置步骤请参考上述学生用户student1的配置步骤)

# 创建名为student的用户组,并添加身份识别成员学生用户student1~student5。

[Device] user-group student

[Device-ugroup-student] identity-member user student1

[Device-ugroup-student] identity-member user student2

[Device-ugroup-student] identity-member user student3

[Device-ugroup-student] identity-member user student4

[Device-ugroup-student] identity-member user student5

[Device-ugroup-student] quit

# 创建名为teacher的用户组,并添加身份识别成员教师用户teacher1和teacher2。

[Device] user-group teacher

[Device-ugroup-teacher] identity-member user teacher1

[Device-ugroup-teacher] identity-member user teacher2

[Device-ugroup-teacher] quit

# 创建静态类型的身份识别用户并开启身份识别功能

[Device] user-identity static-user student1 bind ipv4 10.1.1.2

[Device] user-identity static-user student2 bind ipv4 10.1.1.3

[Device] user-identity static-user student3 bind ipv4 10.1.1.4

[Device] user-identity static-user student4 bind ipv4 10.1.1.5

[Device] user-identity static-user student5 bind ipv4 10.1.1.6

[Device] user-identity static-user teacher1 bind ipv4 10.1.1.21

[Device] user-identity static-user teacher2 bind ipv4 10.1.1.22

[Device] user-identity enable

(6)     配置带宽通道

# 创建名为profile-teacher的带宽通道,配置该带宽通道上/下行最大带宽均为10000kbps、每用户的最大连接数为10000,转发流量优先级为较低(2)。

[Device] traffic-policy

[Device-traffic-policy] profile name profile-teacher

[Device-traffic-policy-profile-profile-teacher] bandwidth upstream maximum per-user 10000

[Device-traffic-policy-profile-profile-teacher] bandwidth downstream maximum per-user 10000

[Device-traffic-policy-profile-profile-teacher] connection-limit count per-user 10000

[Device-traffic-policy-profile-profile-teacher] traffic-priority 2

[Device-traffic-policy-profile-profile-teacher] quit

# 创建名为profile-student的带宽通道,配置该带宽通道的上/下行最大带宽均为2000kbps、每用户的最大连接数为10000、转发流量优先级为最低(1)。

[Device-traffic-policy] profile name profile-student

[Device-traffic-policy-profile-profile-student] bandwidth upstream maximum per-user 2000

[Device-traffic-policy-profile-profile-student] bandwidth downstream maximum per-user 2000

[Device-traffic-policy-profile-profile-student] connection-limit count per-user 10000

[Device-traffic-policy-profile-profile-student] traffic-priority 1

[Device-traffic-policy-profile-profile-student] quit

(7)     配置带宽策略

# 创建名为rule-teacher的带宽策略规则,指定该带宽策略匹配报文的用户组为teacher,引用带宽通道profile-teacher,配置动作为限流。

[Device-traffic-policy] rule name rule-teacher

[Device-traffic-policy-rule-1-rule-teacher] user-group teacher

[Device-traffic-policy-rule-1-rule-teacher] action qos profile profile-teacher

[Device-traffic-policy-rule-1-rule-teacher] quit

# 创建名为rule-student的带宽策略规则,指定该带宽策略匹配报文的用户组为student,引用带宽通道profile-student,配置动作为限流。

[Device-traffic-policy] rule name rule-student

[Device-traffic-policy-rule-2-rule-student] user-group student

[Device-traffic-policy-rule-2-rule-student] action qos profile profile-student

[Device-traffic-policy-rule-2-rule-student] quit

[Device-traffic-policy] quit

4. 验证配置

以上配置完成后,可以实现基于用户进行限速的功能。两位教师限速均为10000kbps,每位学生限速为2000kbps,且会话新建连接数都会受到限制。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们