H3C 基于IP的限速

发布时间:2019-09-14 09:48:49编辑:auto阅读(2072)

    Eudemon系列防火墙可以设置流量监管,用QOS CAR做限速。不过好像不支持每IP限速,只能针对IP地址段 去做限制,不能做的太细致。
      举个例子 — 比如上网的网段IP地址范围是“192.168.1.0/24”,防火墙连接内网的端口号是“Ethernet 0/0/1”,那么可以把“192.168.1.0/24” 这个大网段划分为“192.168.1.0/27、192.168.1.32/27、192.168.1.64 /27、192.168.1.96/27、192.168.1.128/27、192.168.1.160/27、192.168.1.192/27、 192.168.1.224/27”这8个小网段,对每个地址段来 做限速。大体步骤如下:
    引用:

    //进入系统配置视图
    system-view

    //用8个ACL分 别描述8个IP地址段的流量
    acl number 3001
    rule 10 permit ip source 192.168.1.0 0.0.0.31
    rule 11 permit ip destination 192.168.1.0 0.0.0.31
    acl number 3002
    rule 10 permit ip source 192.168.32 0.0.0.31
    rule 11 permit ip destination 192.168.32.0 0.0.0.31
    acl number 3003
    rule 10 permit ip source 192.168.64 0.0.0.31
    rule 11 permit ip destination 192.168.64.0 0.0.0.31
    acl number 3004
    rule 10 permit ip source 192.168.96 0.0.0.31
    rule 11 permit ip destination 192.168.96.0 0.0.0.31
    acl number 3005
    rule 10 permit ip source 192.168.128 0.0.0.31
    rule 11 permit ip destination 192.168.128.0 0.0.0.31
    acl number 3006
    rule 10 permit ip source 192.168.160 0.0.0.31
    rule 11 permit ip destination 192.168.160.0 0.0.0.31
    acl number 3007
    rule 10 permit ip source 192.168.192 0.0.0.31
    rule 11 permit ip destination 192.168.192.0 0.0.0.31
    acl number 3008
    rule 10 permit ip source 192.168.224 0.0.0.31
    rule 11 permit ip destination 192.168.224.0 0.0.0.31
    quit

    //引用ACL定义8个类
    traffic classifier class1
    if-match acl 3001
    traffic classifier class2
    if-match acl 3002
    traffic classifier class3
    if-match acl 3003
    traffic classifier class4
    if-match acl 3004
    traffic classifier class5
    if-match acl 3005
    traffic classifier class6
    if-match acl 3006
    traffic classifier class7
    if-match acl 3007
    traffic classifier class8
    if-match acl 3008
    quit

    //定义8个行为(每 个类限速3Mbps)
    traffic behaviour behav1
    car cir 3000000 cbs 0 ebs 0 green pass reddiscard
    traffic behaviour behav2
    car cir 3000000 cbs 0 ebs 0 green pass reddiscard
    traffic behaviour behav3
    car cir 3000000 cbs 0 ebs 0 green pass reddiscard
    traffic behaviour behav4
    car cir 3000000 cbs 0 ebs 0 green pass reddiscard
    traffic behaviour behav5
    car cir 3000000 cbs 0 ebs 0 green pass reddiscard
    traffic behaviour behav6
    car cir 3000000 cbs 0 ebs 0 green pass reddiscard
    traffic behaviour behav7
    car cir 3000000 cbs 0 ebs 0 green pass reddiscard
    traffic behaviour behav8
    car cir 3000000 cbs 0 ebs 0 green pass reddiscard
    quit

    //定义一个QOS策略来限制8个网段的上传和下载速率
    qos policy speed_limit
    classifier class1 behaviour behav1
    classifier class2 behaviour behav2
    classifier class3 behaviour behav3
    classifier class4 behaviour behav4
    classifier class5 behaviour behav5
    classifier class6 behaviour behav6
    classifier class7 behaviour behav7
    classifier class8 behaviour behav8
    quit

    //在内网接口的inbound和outbound方向应用QOS策略,分别对上传和下载速率进行限制
    interface ethernet 0/0/1
    qos apply policy speed_limit inbound
    qos apply policy speed_limit outbound
    quit

    //返回用户视图,保存配置
    quit
    save


      这样做完之后,每个地址段的32台主机最大上传和下载速率分别 被限制在3Mbps(总共8X3=24Mbps)。 这样就算某个网段有人疯狂下载,也不会影响其它7个IP地 址段的正常上网,可以减小故障的影响面。
      注意事项:
    1.因为是针对内网IP地址来判断数据流,所以只能在内网接口上做限速。在外网口上做的话,会因为内网的地址被NAT地址转换成公网地址,而没有任何效 果;
    2.最理想的做法是每个IP一个网段,也就是每IP限速。但是Eudemon系列好像不支持每IP限速,所以只能将网段划分的尽可能细。网段划分的越细,限速效果就越好,发生故障时也越容易定位;
    3.防火墙的物理接口在同一时间、同一方向上,只能加载一个QOS策 略,所以如果想设置其它的QOS策略语句,需要先在接口上用”undo qos apply policy [inbound|outbound]”命令停用QOS策略,编辑策略后再重新启用。

关键字