配置通過流策略實現限速示例(限流實現方式)
組網要求:公司內部有兩個部門,分別屬于VLAN 10和VLAN 20。VLAN 10主要是一些服務器,對帶寬要求比較高;VLAN 20只有公司員工上網,對帶寬要求不是很高。公司從運營商購買的是10Mbit/s的專線。要求VLAN 20中的員工上網的帶寬限制為2Mbit/s,最大不能超過4Mbit/s,超過4Mbit/s的流量全部丟棄。
一、主要知識點:
流策略中,可以按照ACL對報文進行分類。基于ACL規則定義方式,可以將ACL分為基本ACL、高級ACL、二層ACL等種類。基本ACL根據源IP地址、分片信息和生效時間段等信息來定義規則。對于匹配的流量,在流行為中配置流量監管動作,可以實現限速。訪問控制列表ACL(Access Control List)是由一條或多條規則組成的集合。所謂規則,是指描述報文匹配條件的判斷語句,這些條件可以是報文的源地址、目的地址、端口號等。
二、配置思路:
1. 創建VLAN,配置各接口和路由協議,實現公司和外部網絡互通。
2. 在Core上配置ACL,匹配指定網段的流量。
3. 在Core上配置流分類,按照ACL對報文進行分類。
4. 在Core上配置流行為,對匹配的流量進行限速。
5. 在Core上配置流策略,綁定流分類和流行為,并應用到與SwitchA相連的GE0/0/1接口的入方向,實現限速。
三、IP設置:
1、PC1:192.168.10.1/24,vlan10
PC2:192.168.20.1/24,vlan20
2、Core:vlanif10:192.168.10.254/24
Vlanif20:192.168.20.254/24
Vlanif30:10.0.0.1/24
3、Router:10.0.0.2/24
四、SwitchA交換機的主要配置文件:
#
sysname SwitchA
#
vlan batch 10 20
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
#
return
五、Core的主要配置文件:
#
sysname Core
#
vlan batch 10 20 30
#
acl number 3001
rule 5 permit ip source 192.168.20.0 0.0.0.255
#
traffic classifier c1 operator and
if-match acl 3001
#
traffic behavior b1
car cir 2048 pir 4096 cbs 256000 pbs 512000 green pass yellow pass red discard
statistic enable
#
traffic policy p1
classifier c1 behavior b1
#
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
#
interface Vlanif30
ip address 10.0.0.1 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
traffic-policy p1 inbound
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 30
#
ospf 1
area 0.0.0.0
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 10.0.0.0 0.0.0.255
#
user-interface con 0
user-interface vty 0 4
#
return
六、Router的主要配置文件:
#
sysname Router
#
interface Ethernet0/0/0
undo portswitch
ip address 10.0.0.2 255.255.255.0
#
ospf 1
area 0.0.0.0
network 10.0.0.0 0.0.0.255
#
return
七、驗證配置結果:
1、在Core上查看ACL規則的配置信息。
[Core]disp acl all
Total nonempty ACL number is 1
Advanced ACL 3001, 1 rule
Acl's step is 5
rule 5 permit ip source 192.168.20.0 0.0.0.255
2、查看流策略的配置信息。
[Core]display traffic policy user-defined
User Defined Traffic Policy Information:
Policy: p1
Classifier: c1
Operator: AND
Behavior: b1
Committed Access Rate:
CIR 2048 (Kbps), CBS 256000 (Byte)
PIR 4096 (Kbps), PBS 512000 (Byte)
Green Action : pass
Yellow Action : pass
Red Action : discard
Statistic: enable
Total policy number is 1
3、查看在接口上應用的流策略信息。當來自192.168.20.0/24網段的報文速率大于4Mbit/s時會出現丟包,該網段報文的速率被限制在4Mbit/s。
[Core]display traffic policy statistics interface GigabitEthernet 0/0/1 inbound
Interface: GigabitEthernet0/0/1
Traffic policy inbound: p1
Rule number: 1
Current status: OK!
---------------------------------------------------------------------
Board : 0
Item Packets Bytes
---------------------------------------------------------------------
Matched 0 0
+--Passed 0 0
+--Dropped 0 0
+--Filter 0 0
+--URPF - -
+--CAR 0 0
本實驗是通過華為模擬器eNSP1.3.00.100版(最新版)完成。該軟件還包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的設備IOS,可完成復雜網絡測試,需要該模擬器的朋友,可以轉發此文關注小編,私信小編【666】即可獲得。
