通過acl設置限制規則
基本acl;
acl number 2001
description ######
rule 10 deny source 10.1.1.0 0.0.0.255
rule 20 deny source 10.2.2.0 0.0.0.255
rule 30 deny source 10.3.3.0 0.0.0.255
高級acl
acl number 3012
description ######
rule 5 deny tcp destination 192.168.2.2 0 none-first-fragment
rule 10 permit tcp destination 192.168.2.2 0 destination-port eq www
rule 15 deny ip
————————————————
配置alc 流類
[AC6605] acl 2046
[AC6605-acl-basic-2046] rule permit source any
[AC6605-acl-basic-2046] quit
[AC6605] traffic classifier c1 operator and
[AC6605-classifier-c1] if-match acl 2046
文章目錄
1 Qos概念
1.1 如何區分數據
1.2 Qos的三種模式
1.3 Qos配置流程
1.4 QoS的三種服務模型
2 訪問列表traffic實驗配置
2.1 實驗環境及拓撲圖
2.2 R1、R2、R3上配置OSPF
2.3 配置traffic訪問控制
3 令牌桶及Qos配置
3.1 traffic配置
3.2 Qos配置
1 Qos概念
QoS(Quality of Service,服務質量)指一個網絡能夠利用各種基礎技術,為指定的網絡通信提供更好的服務能力, 是網絡的一種安全機制, 是用來解決網絡延遲和阻塞等問題的一種技術。 在正常情況下,如果網絡只用於特定的無時間限制的應用系統,並不需要QoS,比如Web應用,或E-mail設置等。但是對關鍵應用和多媒體應用就十分必要。當網絡過載或擁塞時,QoS 能確保重要業務量不受延遲或丟棄,同時保證網絡的高效運行。
1.1 如何區分數據
IP包,包括IP優先級(有8種),IP報文包頭定義的有區分服務;dscp優先級
Mac幀:802.1p
1.2 Qos的三種模式
Best-Effort service(盡力而為服務模型)
Integrated service(綜合服務模型,簡稱Int-Serv)
Differentiated service(區分服務模型,簡稱Diff-Serv)(常用)
1.3 Qos配置流程
流量分類(先用acl划分規則,而后再進行下一步配置)
流行為的配置
制定Qos策略,將前面定義的類和流行為綁定在一起
應用策略(基於接口或pvc的應用策略、基於上線用戶的應用策略、基於Vlan的應用策略)
1.4 QoS的三種服務模型
-
Best-Effort service(盡力而為服務模型,簡稱Best-Effort)
Best-Effort服務模型是一個單一的服務模型,也是最簡單的服務模型。對Best-Effort服務模型,網絡盡最大的可能性來發送報文。但對延時、可靠性等性能不提供任何保證。
Best-Effort服務模型是網絡的缺省服務模型,通過FIFO(first in first out 先入先出)隊列來實現。它適用於絕大多數網絡應用,如FTP、E-Mail等。 -
Integrated service(綜合服務模型,簡稱Int-Serv)
Int-Serv服務模型Int-Serv是一個綜合服務模型,它可以滿足多種QoS需求。該模型使用資源預留協議(RSVP),RSVP運行在從源端到目的端的每個設備上,可以監視每個流,以防止其消耗資源過多。這種體系能夠明確區分並保證每一個業務流的服務質量,為網絡提供最細粒度化的服務質量區分。
但是,Inter-Serv模型對設備的要求很高,當網絡中的數據流數量很大時,設備的存儲和處理能力會遇到很大的壓力。Inter-Serv模型可擴展性很差,難以在Internet核心網絡實施。 -
Differentiated service(區分服務模型,簡稱Diff-Serv)
Diff-Serv服務模型Diff-Serv是一個多服務模型,它可以滿足不同的QoS需求。與Int-Serv不同,它不需要通知網絡為每個業務預留資源。區分服務實現簡單,擴展性較好。
2 訪問列表traffic實驗配置
2.1 實驗環境及拓撲圖
環境:
軟件版本:eNSP 1.2.00.510
IP地址如下:
PC1:
Ethernet 0/0/1:192.168.1.2/24
AR1:
GE 0/0/0:192.168.1.1/24(宣告ospf)
GE 0/0/1:10.1.1.1/24(宣告ospf)
GE 0/0/2:10.2.2.1/24(宣告ospf)
AR2:
GE 0/0/0:10.1.1.2/24(宣告ospf)
GE 0/0/1:10.3.3.1/24(宣告ospf)
GE 0/0/2:100.100.100.1/24(宣告ospf)
AR3:
GE 0/0/0:10.2.2.2/24(宣告ospf)
GE 0/0/1:10.3.3.2/24(宣告ospf)
GE 0/0/2:200.200.200.1/24(宣告ospf)
www.Server1:
Ethernet 0/0/0:100.100.100.100/24
ftp.Server2:
Ethernet 0/0/0:200.200.200.200/24
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
拓撲圖
2.2 R1、R2、R3上配置OSPF
AR1:
Info: Current terminal monitor is off.
Enter system view, return user view with Ctrl+Z.
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.25
[R1-ospf-1-area-0.0.0.0]dis th
[V200R003C00]
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.2.2.0 0.0.0.255
network 192.168.0.0 0.0.0.255
return
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
AR2:
Info: Current terminal monitor is off.
Enter system view, return user view with Ctrl+Z.
[R2]ospf
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 10.3.3.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 100.100.100.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]dis th
[V200R003C00]
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.3.3.0 0.0.0.255
network 100.100.100.0 0.0.0.255
return
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
AR3:
Info: Current terminal monitor is off.
Enter system view, return user view with Ctrl+Z.
[R3]ospf
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.3.3.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 200.200.200.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]dis th
[V200R003C00]
area 0.0.0.0
network 10.2.2.0 0.0.0.255
network 10.3.3.0 0.0.0.255
network 200.200.200.0 0.0.0.255
return
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
測試是否全網互通
2.3 配置traffic訪問控制
跟蹤一下PC1到www.Server1的選路
跟蹤一下PC2到ftp.Server2的選路
要求:
PC1到ftp.Server2的選路由原來的PC1->R1->R2->R3->ftp.Server2改為PC1->R1->R3->ftp.Server2
配置如下:
只需要在R1上配置策略就可以
高級acl策略配置
[R1]acl 3000
[R1-acl-adv-3000]rule permit ip destination 200.200.200.200 0
[R1-acl-adv-3000]dis th
[V200R003C00]
acl number 3000
rule 5 permit ip destination 200.200.200.200 0
return
[R1-acl-adv-3000]qu
流分類配置
[R1]traffic classifier c1
[R1-classifier-c1]if-match acl 3000
[R1-classifier-c1]dis th
[V200R003C00]
traffic classifier c1 operator or
if-match acl 3000
return
[R1-classifier-c1]qu
流行為配置
[R1]traffic behavior b1
[R1-behavior-b1]redirect ip-nexthop 10.2.2.2 # 重定向走向
[R1-behavior-b1]qu
制定traffic策略
[R1]traffic policy p1
[R1-trafficpolicy-p1]classifier c1 behavior b1
[R1-trafficpolicy-p1]qu
應用策略
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-policy p1 inbound #需要設置到進口方向
[R1-GigabitEthernet0/0/0]qu
[R1]dis traffic policy user-defined
User Defined Traffic Policy Information:
Policy: p1
Classifier: c1
Operator: OR
Behavior: b1
Redirect:
Redirect ip-nexthop 10.2.2.2
[R1]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
測試
3 令牌桶及Qos配置
令牌桶算法是網絡流量整形(Traffic Shaping)和速率限制(Rate Limiting)中最常使用的一種算法。典型情況下,令牌桶算法用來控制發送到網絡上的數據的數目,並允許突發數據的發送。可以把其形象的比喻成高速公路發卡(令牌),當發的卡越多高速公路上就越擁堵,所以需要對其進行一些限速,就是把卡(令牌)少發一點。
下面幾個名詞概念是需要了解的:
CIR:(Committed Information Rate,承諾信息速率)。計量單位為kbps (以bit 位為單位) 每秒可通過的速率。如設置為500Kbps 。每8bit位=1Byte 1kbps=1024bit
PIR(Peak Information Rate,峰值信息速率):即允許傳輸或轉發報文的最大速率;單位為bit
CBS:(Committed Burst Size):承諾突發尺寸突發尺寸,令牌桶的容量,即每次突發所允許的最大的流量尺寸。設置的突發尺寸必須大於最大報文長度。計量單位為byte(字節)。
PBS:(Peak Burst Size):峰值突發尺寸
EBS:(Excess Burst Size,超出突發尺寸):即瞬間能夠通過的超出突發流量。
PIR 和PBS是只有在交換機中才有的參數。
green(pass通過)<CIR<yellow(排隊等待) <PIR<red(丟棄)
3.1 traffic配置
要求限速CIR為10M,CBS為2000000,PBS為4000000
這里需要注意一個設備的一個接口只能配置一個策略,就是R1的GE0/0/0接口只能保留一個策略,所以需要把上一個策略給undo掉
高級acl策略配置
[R1]acl 3001
[R1-acl-adv-3001]rule permit ip destination 100.100.100.100 0
[R1-acl-adv-3001]qu
流分類配置
[R1]traffic classifier c2
[R1-classifier-c2]if-match acl 3001
[R1-classifier-c2]qu
流行為配置
[R1]traffic behavior b2
[R1-behavior-b2]car cir 10000 cbs 2000000 pbs 4000000 green pass yellow pass remark-dscp 20 red discard # car就是限速的
[R1-behavior-b2]qu
制定traffic策略
[R1]traffic policy p2
[R1-trafficpolicy-p2]classifier c2 behavior b2
[R1-trafficpolicy-p2]qu
應用策略
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]dis th
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
traffic-policy p1 inbound
return
[R1-GigabitEthernet0/0/0]undo traffic-policy inbound #關掉上一個策略
[R1-GigabitEthernet0/0/0]traffic-policy p2 inbound
[R1-GigabitEthernet0/0/0]qu
[R1]dis traffic policy user-defined
User Defined Traffic Policy Information:
Policy: p2
Classifier: c2
Operator: OR
Behavior: b2
Committed Access Rate:
CIR 10000 (Kbps), PIR 0 (Kbps), CBS 2000000 (byte), PBS 4000000 (byte)
Color Mode: color Blind
Conform Action: pass
Yellow Action: remark dscp 20 and pass
Exceed Action: discard
Policy: p1
Classifier: c1
Operator: OR
Behavior: b1
Redirect:
Redirect ip-nexthop 10.2.2.2
[R1]
3.2 Qos配置
qos比較簡單,一條命令搞定
[R1-GigabitEthernet0/0/0]qos car inbound acl 3001 cir 10000 cbs 2000000 pbs 4000000 green pass yellow pass remark-dscp 20 red discard
[R1-GigabitEthernet0/0/0]dis th
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
qos car inbound acl 3001 cir 10000 cbs 2000000 pbs 4000000 green pass yellow pa
ss remark-dscp af22 red discard
traffic-policy p2 inbound
return
[R1-GigabitEthernet0/0/0]
————————————————
版權聲明:本文為CSDN博主「RSQ博客」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/Mr_rsq/article/details/80217385