带宽带宽限制
带宽限制 时间:2021-05-07 阅读:()
i目录1带宽管理·1-11.
1带宽管理简介·1-11.
1.
1带宽管理工作原理·1-11.
2带宽管理配置任务简介·1-31.
3配置带宽管理·1-31.
3.
1配置带宽通道·1-31.
3.
2创建带宽策略规则·1-41.
3.
3配置带宽策略规则中的匹配项1-51.
3.
4配置带宽策略规则中的动作1-61.
3.
5管理和维护带宽策略规则·1-61.
4带宽管理显示维护·1-71.
5带宽管理典型配置举例·1-71.
5.
1配置基于应用的带宽管理典型配置举例1-71-11带宽管理MSR810-W-WiNet/810-LM-WiNet/830-5BEI-WiNet/830-6EI-WiNet/830-6BHI-WiNet/830-10BHI-WiNet/830-10BEI-WiNet路由器不支持IPv6相关参数.
1.
1带宽管理简介带宽管理是指对通过设备的流量实现基于源/目的安全域、源/目的IP地址、用户/用户组、应用/应用组、DSCP优先级、时间段、SSID(ServiceSetIdentifier,服务集标识符)和UserProfile等,进行精细化的管理和控制.
目前,带宽管理功能仅支持对基于TCP(TransmissionControlProtocol,传输控制协议)、UDP(UserDataProtocol,用户数据报文协议)和ICMP(InternetControlMessageProtocol,互联网控制消息协议)协议的信息进行带宽管理.
带宽管理的典型应用场景如下:企业内网用户所需的带宽远大于从运营商租用的出口带宽,这时网络出口就会存在带宽瓶颈的问题.
网络出口中P2P业务类型的数据流量消耗了绝大部分的带宽资源,致使企业的关键业务得不到带宽保证.
为了解决以上问题,可以在网络出口设备上部署带宽管理,针对不同的内网业务流量应用不同的带宽策略规则,实现合理分配出口带宽和保证关键业务正常运行的目的.
1.
1.
1带宽管理工作原理1.
带宽管理实现流程带宽策略可以对符合匹配条件的流量应用带宽通道,在带宽通道中可以配置带宽保证和带宽限制功能,进而提高带宽利用率以及在线路拥堵时保证关键业务的正常运行.
1-2图1-1带宽管理实现流程图带宽管理实现流程如下:(1)流量匹配上带宽策略中的某条规则后,如果此规则的动作中引用了带宽通道,则流量继续进入相应的带宽通道进行后续的处理,否则设备不对该流量进行带宽管理.
(2)流量进入带宽通道后,设备会根据此带宽通道中配置的带宽限制策略对流量进行相应的处理.
(3)如果出接口出方向上应用了QoS业务,则对流量先进行带宽策略处理,再进行QoS业务处理.
(4)流量从出接口发送时受该接口带宽的限制.
2.
带宽策略规则带宽策略中可以配置多个带宽策略规则,这些规则用于定义匹配流量的匹配项以及流量控制的动作.
不同规则之间的匹配顺序为:设备根据这些规则在设备上显示的先后顺序从上到下对流量进行匹配,一旦流量匹配上某条规则便结束此匹配过程,并根据该规则中指定的动作对此流量进行处理;如果流量没有匹配上任何规则,则允许该流量通过.
带宽策略的每个规则中可以配置多种类型的匹配项,具体包括:源/目的安全域、源/目的IP地址、用户/用户组、应用/应用组、DSCP优先级、时间段、SSID(ServiceSetIdentifier,服务集标识符)和UserProfile,规则被匹配成功的条件是:规则中已配置的所有匹配项必须均被匹配成功.
每个匹配项中可以配置多个条件,比如一个带宽策略规则中可以指定多个目的安全域、多个用户或多个应用组等,匹配项被匹配成功的条件是:某匹配项中的任何一个条件被匹配成功即可.
带宽策略规则支持嵌套关系,即一个规则中可以指定一个父规则.
流量与存在父规则的带宽策略规则进行匹配时,遵守如下原则:首先匹配父规则,如果父规则匹配上了再匹配子规则.
如果父规则没有匹配上,也不会进行后续的子规则匹配,该匹配过程失败.
如果子规则匹配上了,就执行子规则中指定的动作;如果子规则没有匹配上但父规则匹配上了就执行父规则中指定的动作.
接口带宽带宽策略带宽通道带宽策略规则A出接口带宽策略规则B带宽策略规则C带宽策略规则D1-33.
带宽通道带宽通道定义了具体的带宽资源,是进行带宽管理的基础.
通过带宽通道,可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽通道,每个带宽通道中都可自定义相应的带宽资源限制参数和流量优先级参数.
目前,带宽通道中支持的带宽资源限制参数和流量优先级参数包括以下如下几种:整体的保证带宽:是指保证业务的最小带宽,在线路拥堵时,可以保证公司关键业务所需的带宽,确保此类业务不受影响.
整体的最大带宽:是指限制业务的最大带宽,比如限制网络中非关键业务占用的带宽资源,避免该类业务消耗大量的带宽,影响其他关键业务的正常运行.
每IP或每用户的最大带宽:设备除了支持配置整体的最大带宽之外,还支持基于IP地址和用户的最大带宽,实现更加精细化的带宽管理.
每规则、每IP或每用户的最大连接数和最大新建连接速率限制:通常在出现以下两类网络问题的组网环境中需要在设备上配置最大连接数和最大新建连接速率限制:某内网用户在短时间内经过设备向外部网络发起大量连接,导致设备系统资源迅速消耗,其它内网用户无法正常使用网络资源;某内部服务器在短时间内接收到大量的连接请求,导致该服务器忙于处理这些连接请求,以至于不能再接受其它客户端的正常连接请求.
流量优先级:当多个带宽通道中的流量同时从某个接口发送时,如果此接口发生阻塞,则优先级高的流量优先被发送.
优先级相同的流量将会自由竞争出接口的带宽资源.
重标记报文的DSCP优先级:是指修改报文中DSCP(DifferentiatedServicesCodePoint)字段的值,是网络设备进行流量分类的依据.
位于报文传输路径上的各个网络设备,可以通过DSCP优先级来区分流量,进而对不同DSCP优先级的流量采取差异化的处理.
1.
2带宽管理配置任务简介表1-1带宽管理配置任务简介配置任务说明详细配置配置带宽通道必选1.
3.
1创建带宽策略规则必选1.
3.
2配置带宽策略规则中的匹配项可选1.
3.
3配置带宽策略规则中的动作可选1.
3.
4管理和维护带宽策略规则可选1.
3.
51.
3配置带宽管理1.
3.
1配置带宽通道带宽通道定义了实施带宽管理的对象所能够使用的带宽资源,带宽通道将被带宽策略规则引用后生效.
1-4表1-2创建带宽通道配置步骤命令说明进入系统视图system-view-进入带宽策略视图traffic-policy-创建带宽通道,并进入带宽通道视图profilenameprofile-name缺省情况下,不存在带宽通道配置带宽通道的保证带宽和最大带宽bandwidth{downstream|upstream}{guaranteed|maximum}bandwidth-value缺省情况下,未配置带宽通道的保证带宽和最大带宽请保证最大带宽不小于保证带宽配置每IP或每用户的最大带宽bandwidth{upstream|downstream}maximum{per-ip|per-user}bandwidth-value缺省情况下,未配置每IP或每用户的最大带宽配置最大连接数connection-limitcount{per-rule|per-ip|per-user}connection-number缺省情况下,未配置最大连接数配置最大新建连接速率connection-limitrate{per-rule|per-ip|per-user}connection-rate缺省情况下,未配置最大新建连接速率限制配置流量优先级traffic-prioritypriority-value缺省情况下,流量优先级为1重标记报文的DSCP优先级remarkdscpdscp-value缺省情况下,不修改报文的DSCP优先级退回带宽策略视图quit-重命名带宽通道profilerenameold-namenew-name-1.
3.
2创建带宽策略规则当创建带宽策略规则时,如果需要继承其他带宽策略规则中的匹配项属性,则可以在创建带宽策略规则时为其指定父带宽策略规则.
在父带宽策略规则和子带宽策略规则中均可以引用带宽通道.
创建带宽策略规则时,需要注意的是:如果指定的父带宽策略规则已是其他带宽策略规则的子带宽策略规则,则创建该带宽策略规则失败.
只能在创建带宽策略规则时指定带宽策略规则的父带宽策略规则,不能为已存在的带宽策略规则添加或修改父带宽策略规则.
表1-3创建带宽策略规则配置步骤命令说明进入系统视图system-view-进入带宽策略视图traffic-policy-创建带宽策略规则,并进入该带宽策略规则视图rulenamerule-name[parentparent-rule-name]缺省情况下,不存在带宽策略规则1-51.
3.
3配置带宽策略规则中的匹配项通过在带宽策略规则中引用一个或多个匹配项来作为匹配报文的参数或依据.
带宽策略规则支持的匹配项包括:源/目的安全域源/目的IP地址应用/应用组用户/用户组时间段DSCP优先级SSID(ServiceSetIdentifier,服务集标识符)UserProfile表1-4配置带宽策略规则中的匹配项配置步骤命令说明进入系统视图system-view-进入带宽策略视图traffic-policy-进入带宽策略规则rulenamerule-name[parentparent-rule-name]-指定匹配报文的目的安全域destination-zonedestination-zone-name缺省情况下,带宽策略规则下不存在目的安全域作为匹配条件指定匹配报文的源安全域source-zonesource-zone-name缺省情况下,带宽策略规则下不存在源安全域作为匹配条件指定匹配报文的目的IP地址destination-addressaddress-setobject-group-name缺省情况下,带宽策略规则下不存在目的IP地址作为匹配条件指定匹配报文的源IP地址source-addressaddress-setobject-group-name缺省情况下,带宽策略规则下不存在源IP地址作为匹配条件指定匹配报文的应用或应用组application{appapplication-name|app-groupapplication-group-name}缺省情况下,带宽策略规则下不存在应用或应用组作为匹配条件指定匹配报文的用户名useruser-name[domaindomain-name]缺省情况下,带宽策略规则下不存在用户名作为匹配条件指定匹配报文的用户组user-groupuser-group-name[domaindomain-name]缺省情况下,带宽策略规则下不存在用户组作为匹配条件指定带宽策略规则的生效时间time-rangetime-range-name缺省情况下,带宽策略规则在任何时间下都生效1-6配置步骤命令说明指定匹配报文的DSCP优先级dscp缺省情况下,带宽策略规则下不存在DSCP优先级作为匹配条件指定匹配报文的SSIDwlanssidssid-name缺省情况下,带宽策略规则下不存在任何SSID作为匹配条件指定匹配报文的UserProfilewlanuser-profileprofile-name缺省情况下,带宽策略规则下不存在任何UserProfile作为匹配条件关闭带宽策略规则disable缺省情况下,带宽策略规则处于开启状态1.
3.
4配置带宽策略规则中的动作如果流量成功匹配了某个带宽策略规则,则设备将会根据该带宽策略规则中指定的动作对此流量进行控制和管理,即按照引用的带宽通道对此流量进行限流.
配置带宽策略规则的动作时,需要注意的是:子规则引用的带宽通道中的的最大带宽不能大于父规则引用的带宽通道中的的最大带宽.
父规则引用的带宽通道中的保证带宽不能小于子规则引用的带宽通道中的保证带宽之和.
子规则与父规则不能引用同一个带宽通道.
表1-5配置带宽策略规则中的动作配置步骤命令说明进入系统视图system-view-进入带宽策略视图traffic-policy-进入带宽策略规则视图rulenamerule-name[parentparent-rule-name]-配置带宽策略规则中的动作actionqosprofileprofile-name缺省情况下,带宽策略规则中没有配置动作,即对匹配上该规则的流量不进行带宽管理,直接允许通过1.
3.
5管理和维护带宽策略规则为了方便用户的管理和维护,带宽策略规则创建后,可以对其进行如下操作:复制重命名移动关闭1-7表1-6管理和维护带宽策略规则配置步骤命令说明进入系统视图system-view-进入带宽策略视图traffic-policy-复制带宽策略规则rulecopyrule-namenew-rule-name-重命名带宽策略规则rulerenameold-rule-namenew-rule-name-移动带宽策略规则的排列顺序rulemoverule-name1{after|before}rule-name2-1.
4带宽管理显示维护在完成上述配置后,在任意视图下执行display命令可以显示配置后带宽管理的运行情况,以及带宽管理处理业务的统计信息.
表1-7应用层检测引擎显示和维护操作命令显示最大连接数限制的统计信息(集中式设备-独立运行模式)displaytraffic-policystatisticsconnection-limitmaximum{{per-ip{ipv4[ipv4-address]|ipv6[ipv6-address]}|per-user[useruser-name]}rulerule-name}|per-rule{rule-name|all}}显示最大连接数限制的统计信息(集中式设备-IRF模式)displaytraffic-policystatisticsconnection-limitmaximum{{per-ip{ipv4[ipv4-address]|ipv6[ipv6-address]}|per-user[useruser-name]}rulerule-name}|per-rule{rule-name|all}}[slotslot-number]显示带宽策略规则下流量速率的统计信息(集中式设备-独立运行模式)displaytraffic-policystatisticsbandwidth{all|rulerule-name}显示带宽策略规则下流量速率的统计信息(集中式设备-IRF模式)displaytraffic-policystatisticsbandwidth{all|rulerule-name}[slotslot-number]1.
5带宽管理典型配置举例1.
5.
1配置基于应用的带宽管理典型配置举例1.
组网需求主机A和主机B通过Device与外网相连,通过在Device上配置基于应用的带宽管理功能,实现当内网流量的出口发生拥塞时优先保证FTP业务的需求.
具体要求如下:限制内网用户,访问外网爱奇艺(iQiYiPPS)应用流量的上行最大带宽和下行最大带宽均为30720kbit/s.
保证内网用户,访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30720kbit/s限制外网出接口的最大带宽为30720kbit/s.
1-82.
组网图图1-2配置基于应用的带宽管理典型配置组网图3.
配置步骤配置该功能前请确保内网主机与外网已路由可达.
配置该功能前请确保带宽策略规则中引用的应用或应用组在设备上已存在.
有关应用或应用组的详细配置请参见"安全配置指导"中的"APR".
(1)配置带宽通道#创建名为aiqiyi的带宽通道,并进入该带宽通道视图.
system-view[Device]traffic-policy[Device-traffic-policy]profilenameaiqiyi#配置上/下行最大带宽均为30720kbit/s.
[Device-traffic-policy-profile-aiqiyi]bandwidthupstreammaximum30720[Device-traffic-policy-profile-aiqiyi]bandwidthdownstreammaximum30720[Device-traffic-policy-profile-aiqiyi]quit#创建名为profileFTP的带宽通道,并进入该带宽通道视图.
[Device-traffic-policy]profilenameprofileFTP#配置上/下行保证带宽均为30720kbit/s.
[Device-traffic-policy-profile-profileFTP]bandwidthupstreamguaranteed30720[Device-traffic-policy-profile-profileFTP]bandwidthdownstreamguaranteed30720[Device-traffic-policy-profile-profileFTP]quit[Device-traffic-policy]quit(2)配置出接口的最大带宽#配置接口GigabitEthernet1/0/1的期望带宽为30720kbit/s.
[Device]interfacegigabitethernet1/0/1[Device-GigabitEthernet1/0/1]bandwidth30720[Device-GigabitEthernet1/0/1]quit(3)配置带宽策略规则GE1/0/1GE1/0/2DeviceHostAInternetGE1/0/3HostB1-9#进入带宽策略视图.
[Device]traffic-policy#创建名为aiqiyi的带宽策略规则,并进入该带宽策略规则视图.
[Device-traffic-policy]rulenameaiqiyi#在带宽策略规则aiqiyi中引用预定义应用iQiYiPPS.
[Device-traffic-policy-rule-aiqiyi]applicationappiQiYiPPS#配置带宽策略规则aiqiyi中的动作为限流并应用带宽通道aiqiyi.
[Device-traffic-policy-rule-aiqiyi]actionqosprofileaiqiyi[Device-traffic-policy-rule-aiqiyi]quit#创建名为ruleFTP的带宽策略规则,并进入该带宽策略规则视图.
[Device-traffic-policy]rulenameruleFTP#配置带宽策略规则ruleFTP中引用预定义的应用ftp.
[Device-traffic-policy-rule-ruleFTP]applicationappftp#配置带宽策略规则ruleFTP中的动作为限流并应用带宽通道profileFTP.
[Device-traffic-policy-rule-ruleFTP]actionqosprofileprofileFTP[Device-traffic-policy-rule-ruleFTP]quit[Device-traffic-policy]quit4.
验证配置以上配置完成后,当主机A的爱奇艺的流量达到30720kbit/s,主机B的FTP流量也达到30720kbit/s时,出接口GigabitEthernet1/0/1仅允许FTP应用的流量通过.
1带宽管理简介·1-11.
1.
1带宽管理工作原理·1-11.
2带宽管理配置任务简介·1-31.
3配置带宽管理·1-31.
3.
1配置带宽通道·1-31.
3.
2创建带宽策略规则·1-41.
3.
3配置带宽策略规则中的匹配项1-51.
3.
4配置带宽策略规则中的动作1-61.
3.
5管理和维护带宽策略规则·1-61.
4带宽管理显示维护·1-71.
5带宽管理典型配置举例·1-71.
5.
1配置基于应用的带宽管理典型配置举例1-71-11带宽管理MSR810-W-WiNet/810-LM-WiNet/830-5BEI-WiNet/830-6EI-WiNet/830-6BHI-WiNet/830-10BHI-WiNet/830-10BEI-WiNet路由器不支持IPv6相关参数.
1.
1带宽管理简介带宽管理是指对通过设备的流量实现基于源/目的安全域、源/目的IP地址、用户/用户组、应用/应用组、DSCP优先级、时间段、SSID(ServiceSetIdentifier,服务集标识符)和UserProfile等,进行精细化的管理和控制.
目前,带宽管理功能仅支持对基于TCP(TransmissionControlProtocol,传输控制协议)、UDP(UserDataProtocol,用户数据报文协议)和ICMP(InternetControlMessageProtocol,互联网控制消息协议)协议的信息进行带宽管理.
带宽管理的典型应用场景如下:企业内网用户所需的带宽远大于从运营商租用的出口带宽,这时网络出口就会存在带宽瓶颈的问题.
网络出口中P2P业务类型的数据流量消耗了绝大部分的带宽资源,致使企业的关键业务得不到带宽保证.
为了解决以上问题,可以在网络出口设备上部署带宽管理,针对不同的内网业务流量应用不同的带宽策略规则,实现合理分配出口带宽和保证关键业务正常运行的目的.
1.
1.
1带宽管理工作原理1.
带宽管理实现流程带宽策略可以对符合匹配条件的流量应用带宽通道,在带宽通道中可以配置带宽保证和带宽限制功能,进而提高带宽利用率以及在线路拥堵时保证关键业务的正常运行.
1-2图1-1带宽管理实现流程图带宽管理实现流程如下:(1)流量匹配上带宽策略中的某条规则后,如果此规则的动作中引用了带宽通道,则流量继续进入相应的带宽通道进行后续的处理,否则设备不对该流量进行带宽管理.
(2)流量进入带宽通道后,设备会根据此带宽通道中配置的带宽限制策略对流量进行相应的处理.
(3)如果出接口出方向上应用了QoS业务,则对流量先进行带宽策略处理,再进行QoS业务处理.
(4)流量从出接口发送时受该接口带宽的限制.
2.
带宽策略规则带宽策略中可以配置多个带宽策略规则,这些规则用于定义匹配流量的匹配项以及流量控制的动作.
不同规则之间的匹配顺序为:设备根据这些规则在设备上显示的先后顺序从上到下对流量进行匹配,一旦流量匹配上某条规则便结束此匹配过程,并根据该规则中指定的动作对此流量进行处理;如果流量没有匹配上任何规则,则允许该流量通过.
带宽策略的每个规则中可以配置多种类型的匹配项,具体包括:源/目的安全域、源/目的IP地址、用户/用户组、应用/应用组、DSCP优先级、时间段、SSID(ServiceSetIdentifier,服务集标识符)和UserProfile,规则被匹配成功的条件是:规则中已配置的所有匹配项必须均被匹配成功.
每个匹配项中可以配置多个条件,比如一个带宽策略规则中可以指定多个目的安全域、多个用户或多个应用组等,匹配项被匹配成功的条件是:某匹配项中的任何一个条件被匹配成功即可.
带宽策略规则支持嵌套关系,即一个规则中可以指定一个父规则.
流量与存在父规则的带宽策略规则进行匹配时,遵守如下原则:首先匹配父规则,如果父规则匹配上了再匹配子规则.
如果父规则没有匹配上,也不会进行后续的子规则匹配,该匹配过程失败.
如果子规则匹配上了,就执行子规则中指定的动作;如果子规则没有匹配上但父规则匹配上了就执行父规则中指定的动作.
接口带宽带宽策略带宽通道带宽策略规则A出接口带宽策略规则B带宽策略规则C带宽策略规则D1-33.
带宽通道带宽通道定义了具体的带宽资源,是进行带宽管理的基础.
通过带宽通道,可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽通道,每个带宽通道中都可自定义相应的带宽资源限制参数和流量优先级参数.
目前,带宽通道中支持的带宽资源限制参数和流量优先级参数包括以下如下几种:整体的保证带宽:是指保证业务的最小带宽,在线路拥堵时,可以保证公司关键业务所需的带宽,确保此类业务不受影响.
整体的最大带宽:是指限制业务的最大带宽,比如限制网络中非关键业务占用的带宽资源,避免该类业务消耗大量的带宽,影响其他关键业务的正常运行.
每IP或每用户的最大带宽:设备除了支持配置整体的最大带宽之外,还支持基于IP地址和用户的最大带宽,实现更加精细化的带宽管理.
每规则、每IP或每用户的最大连接数和最大新建连接速率限制:通常在出现以下两类网络问题的组网环境中需要在设备上配置最大连接数和最大新建连接速率限制:某内网用户在短时间内经过设备向外部网络发起大量连接,导致设备系统资源迅速消耗,其它内网用户无法正常使用网络资源;某内部服务器在短时间内接收到大量的连接请求,导致该服务器忙于处理这些连接请求,以至于不能再接受其它客户端的正常连接请求.
流量优先级:当多个带宽通道中的流量同时从某个接口发送时,如果此接口发生阻塞,则优先级高的流量优先被发送.
优先级相同的流量将会自由竞争出接口的带宽资源.
重标记报文的DSCP优先级:是指修改报文中DSCP(DifferentiatedServicesCodePoint)字段的值,是网络设备进行流量分类的依据.
位于报文传输路径上的各个网络设备,可以通过DSCP优先级来区分流量,进而对不同DSCP优先级的流量采取差异化的处理.
1.
2带宽管理配置任务简介表1-1带宽管理配置任务简介配置任务说明详细配置配置带宽通道必选1.
3.
1创建带宽策略规则必选1.
3.
2配置带宽策略规则中的匹配项可选1.
3.
3配置带宽策略规则中的动作可选1.
3.
4管理和维护带宽策略规则可选1.
3.
51.
3配置带宽管理1.
3.
1配置带宽通道带宽通道定义了实施带宽管理的对象所能够使用的带宽资源,带宽通道将被带宽策略规则引用后生效.
1-4表1-2创建带宽通道配置步骤命令说明进入系统视图system-view-进入带宽策略视图traffic-policy-创建带宽通道,并进入带宽通道视图profilenameprofile-name缺省情况下,不存在带宽通道配置带宽通道的保证带宽和最大带宽bandwidth{downstream|upstream}{guaranteed|maximum}bandwidth-value缺省情况下,未配置带宽通道的保证带宽和最大带宽请保证最大带宽不小于保证带宽配置每IP或每用户的最大带宽bandwidth{upstream|downstream}maximum{per-ip|per-user}bandwidth-value缺省情况下,未配置每IP或每用户的最大带宽配置最大连接数connection-limitcount{per-rule|per-ip|per-user}connection-number缺省情况下,未配置最大连接数配置最大新建连接速率connection-limitrate{per-rule|per-ip|per-user}connection-rate缺省情况下,未配置最大新建连接速率限制配置流量优先级traffic-prioritypriority-value缺省情况下,流量优先级为1重标记报文的DSCP优先级remarkdscpdscp-value缺省情况下,不修改报文的DSCP优先级退回带宽策略视图quit-重命名带宽通道profilerenameold-namenew-name-1.
3.
2创建带宽策略规则当创建带宽策略规则时,如果需要继承其他带宽策略规则中的匹配项属性,则可以在创建带宽策略规则时为其指定父带宽策略规则.
在父带宽策略规则和子带宽策略规则中均可以引用带宽通道.
创建带宽策略规则时,需要注意的是:如果指定的父带宽策略规则已是其他带宽策略规则的子带宽策略规则,则创建该带宽策略规则失败.
只能在创建带宽策略规则时指定带宽策略规则的父带宽策略规则,不能为已存在的带宽策略规则添加或修改父带宽策略规则.
表1-3创建带宽策略规则配置步骤命令说明进入系统视图system-view-进入带宽策略视图traffic-policy-创建带宽策略规则,并进入该带宽策略规则视图rulenamerule-name[parentparent-rule-name]缺省情况下,不存在带宽策略规则1-51.
3.
3配置带宽策略规则中的匹配项通过在带宽策略规则中引用一个或多个匹配项来作为匹配报文的参数或依据.
带宽策略规则支持的匹配项包括:源/目的安全域源/目的IP地址应用/应用组用户/用户组时间段DSCP优先级SSID(ServiceSetIdentifier,服务集标识符)UserProfile表1-4配置带宽策略规则中的匹配项配置步骤命令说明进入系统视图system-view-进入带宽策略视图traffic-policy-进入带宽策略规则rulenamerule-name[parentparent-rule-name]-指定匹配报文的目的安全域destination-zonedestination-zone-name缺省情况下,带宽策略规则下不存在目的安全域作为匹配条件指定匹配报文的源安全域source-zonesource-zone-name缺省情况下,带宽策略规则下不存在源安全域作为匹配条件指定匹配报文的目的IP地址destination-addressaddress-setobject-group-name缺省情况下,带宽策略规则下不存在目的IP地址作为匹配条件指定匹配报文的源IP地址source-addressaddress-setobject-group-name缺省情况下,带宽策略规则下不存在源IP地址作为匹配条件指定匹配报文的应用或应用组application{appapplication-name|app-groupapplication-group-name}缺省情况下,带宽策略规则下不存在应用或应用组作为匹配条件指定匹配报文的用户名useruser-name[domaindomain-name]缺省情况下,带宽策略规则下不存在用户名作为匹配条件指定匹配报文的用户组user-groupuser-group-name[domaindomain-name]缺省情况下,带宽策略规则下不存在用户组作为匹配条件指定带宽策略规则的生效时间time-rangetime-range-name缺省情况下,带宽策略规则在任何时间下都生效1-6配置步骤命令说明指定匹配报文的DSCP优先级dscp缺省情况下,带宽策略规则下不存在DSCP优先级作为匹配条件指定匹配报文的SSIDwlanssidssid-name缺省情况下,带宽策略规则下不存在任何SSID作为匹配条件指定匹配报文的UserProfilewlanuser-profileprofile-name缺省情况下,带宽策略规则下不存在任何UserProfile作为匹配条件关闭带宽策略规则disable缺省情况下,带宽策略规则处于开启状态1.
3.
4配置带宽策略规则中的动作如果流量成功匹配了某个带宽策略规则,则设备将会根据该带宽策略规则中指定的动作对此流量进行控制和管理,即按照引用的带宽通道对此流量进行限流.
配置带宽策略规则的动作时,需要注意的是:子规则引用的带宽通道中的的最大带宽不能大于父规则引用的带宽通道中的的最大带宽.
父规则引用的带宽通道中的保证带宽不能小于子规则引用的带宽通道中的保证带宽之和.
子规则与父规则不能引用同一个带宽通道.
表1-5配置带宽策略规则中的动作配置步骤命令说明进入系统视图system-view-进入带宽策略视图traffic-policy-进入带宽策略规则视图rulenamerule-name[parentparent-rule-name]-配置带宽策略规则中的动作actionqosprofileprofile-name缺省情况下,带宽策略规则中没有配置动作,即对匹配上该规则的流量不进行带宽管理,直接允许通过1.
3.
5管理和维护带宽策略规则为了方便用户的管理和维护,带宽策略规则创建后,可以对其进行如下操作:复制重命名移动关闭1-7表1-6管理和维护带宽策略规则配置步骤命令说明进入系统视图system-view-进入带宽策略视图traffic-policy-复制带宽策略规则rulecopyrule-namenew-rule-name-重命名带宽策略规则rulerenameold-rule-namenew-rule-name-移动带宽策略规则的排列顺序rulemoverule-name1{after|before}rule-name2-1.
4带宽管理显示维护在完成上述配置后,在任意视图下执行display命令可以显示配置后带宽管理的运行情况,以及带宽管理处理业务的统计信息.
表1-7应用层检测引擎显示和维护操作命令显示最大连接数限制的统计信息(集中式设备-独立运行模式)displaytraffic-policystatisticsconnection-limitmaximum{{per-ip{ipv4[ipv4-address]|ipv6[ipv6-address]}|per-user[useruser-name]}rulerule-name}|per-rule{rule-name|all}}显示最大连接数限制的统计信息(集中式设备-IRF模式)displaytraffic-policystatisticsconnection-limitmaximum{{per-ip{ipv4[ipv4-address]|ipv6[ipv6-address]}|per-user[useruser-name]}rulerule-name}|per-rule{rule-name|all}}[slotslot-number]显示带宽策略规则下流量速率的统计信息(集中式设备-独立运行模式)displaytraffic-policystatisticsbandwidth{all|rulerule-name}显示带宽策略规则下流量速率的统计信息(集中式设备-IRF模式)displaytraffic-policystatisticsbandwidth{all|rulerule-name}[slotslot-number]1.
5带宽管理典型配置举例1.
5.
1配置基于应用的带宽管理典型配置举例1.
组网需求主机A和主机B通过Device与外网相连,通过在Device上配置基于应用的带宽管理功能,实现当内网流量的出口发生拥塞时优先保证FTP业务的需求.
具体要求如下:限制内网用户,访问外网爱奇艺(iQiYiPPS)应用流量的上行最大带宽和下行最大带宽均为30720kbit/s.
保证内网用户,访问外网FTP应用流量的上行保证带宽和下行保证带宽均为30720kbit/s限制外网出接口的最大带宽为30720kbit/s.
1-82.
组网图图1-2配置基于应用的带宽管理典型配置组网图3.
配置步骤配置该功能前请确保内网主机与外网已路由可达.
配置该功能前请确保带宽策略规则中引用的应用或应用组在设备上已存在.
有关应用或应用组的详细配置请参见"安全配置指导"中的"APR".
(1)配置带宽通道#创建名为aiqiyi的带宽通道,并进入该带宽通道视图.
system-view[Device]traffic-policy[Device-traffic-policy]profilenameaiqiyi#配置上/下行最大带宽均为30720kbit/s.
[Device-traffic-policy-profile-aiqiyi]bandwidthupstreammaximum30720[Device-traffic-policy-profile-aiqiyi]bandwidthdownstreammaximum30720[Device-traffic-policy-profile-aiqiyi]quit#创建名为profileFTP的带宽通道,并进入该带宽通道视图.
[Device-traffic-policy]profilenameprofileFTP#配置上/下行保证带宽均为30720kbit/s.
[Device-traffic-policy-profile-profileFTP]bandwidthupstreamguaranteed30720[Device-traffic-policy-profile-profileFTP]bandwidthdownstreamguaranteed30720[Device-traffic-policy-profile-profileFTP]quit[Device-traffic-policy]quit(2)配置出接口的最大带宽#配置接口GigabitEthernet1/0/1的期望带宽为30720kbit/s.
[Device]interfacegigabitethernet1/0/1[Device-GigabitEthernet1/0/1]bandwidth30720[Device-GigabitEthernet1/0/1]quit(3)配置带宽策略规则GE1/0/1GE1/0/2DeviceHostAInternetGE1/0/3HostB1-9#进入带宽策略视图.
[Device]traffic-policy#创建名为aiqiyi的带宽策略规则,并进入该带宽策略规则视图.
[Device-traffic-policy]rulenameaiqiyi#在带宽策略规则aiqiyi中引用预定义应用iQiYiPPS.
[Device-traffic-policy-rule-aiqiyi]applicationappiQiYiPPS#配置带宽策略规则aiqiyi中的动作为限流并应用带宽通道aiqiyi.
[Device-traffic-policy-rule-aiqiyi]actionqosprofileaiqiyi[Device-traffic-policy-rule-aiqiyi]quit#创建名为ruleFTP的带宽策略规则,并进入该带宽策略规则视图.
[Device-traffic-policy]rulenameruleFTP#配置带宽策略规则ruleFTP中引用预定义的应用ftp.
[Device-traffic-policy-rule-ruleFTP]applicationappftp#配置带宽策略规则ruleFTP中的动作为限流并应用带宽通道profileFTP.
[Device-traffic-policy-rule-ruleFTP]actionqosprofileprofileFTP[Device-traffic-policy-rule-ruleFTP]quit[Device-traffic-policy]quit4.
验证配置以上配置完成后,当主机A的爱奇艺的流量达到30720kbit/s,主机B的FTP流量也达到30720kbit/s时,出接口GigabitEthernet1/0/1仅允许FTP应用的流量通过.
香港 E5-2650 16G 10M 900元首月 美国 E5-2660 V2 16G 100M 688元/月 华纳云
华纳云双11钜惠出海:CN2海外物理服务器终身价688元/月,香港/美国机房,免费送20G DDos防御,50M CN2或100M国际带宽可选,(文内附带测评)华纳云作为一家专业的全球数据中心基础服务提供商,总部在香港,拥有香港政府颁发的商业登记证明,APNIC 和 ARIN 会员单位。主营香港服务器、美国服务器、香港/美国OpenStack云服务器、香港高防物理服务器、美国高防服务器、香港高防I...
日本CN2独立物理服务器 E3 1230 16G 20M 500元/月 提速啦
提速啦的来历提速啦是 网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑 由赣州王成璟网络科技有限公司旗下赣州提速啦网络科技有限公司运营 投资1000万人民币 在美国Cera 香港CTG 香港Cera 国内 杭州 宿迁 浙江 赣州 南昌 大连 辽宁 扬州 等地区建立数据中心 正规持有IDC ISP CDN 云牌照 公司。公司购买产品支持3天内退款 超过3天步退款政策。提速啦的市场定位提速啦主...
国内云服务器 1核 2G 2M 15元/月 萤光云
标题【萤光云双十二 全场6折 15元/月 续费同价】今天站长给大家推荐一家国内云厂商的双十二活动。萤光云总部位于福建福州,其成立于2002 年。主打高防云服务器产品,主要提供福州、北京、上海 BGP 和香港 CN2 节点。萤光云的高防云服务器自带 50G 防御,适合高防建站、游戏高防等业务。这家厂商本次双十二算是性价比很高了。全线产品6折,上海 BGP 云服务器折扣更大 5.5 折(测试了一下是金...
带宽限制为你推荐
-
access数据库修复求救,ACCESS数据库破坏了,怎么修复?cisco2960配置寻求思科2960交换机配置命令asp.net网页制作如何用DREAMWEAVER ASP.NET 做网页tplink01cuteftp滴滴估值500亿滴滴拉屎 App 为何能估值 100 亿美金?是怎么计算出来的科创板首批名单首批公布的24个历史文化明城是那些tumblr上不去安卓手机版steam打不开是为什么即时通平台有好的放单平台吗?可信网站网站备案了,还要验证可信网站吗?他们有什么区别中国保健养猪网中央7台致富经养猪