H3C内网 限速.doc

H3C内网 限速出口带宽是极为重要的网络资源，当前网络上占用带宽的应用越来越多，比如P2P、在线视频、BT下载等都是消耗带宽的大户，即使再大的网络带宽，仍然满足不了用户实际的需求，这就要求我们管理员从技术上采取必要的手段对网络进行合理的优化和配置，限制用户对带宽无止境的占用，从而保证网络带宽的有效利用，提高资源的利用效率。当前进行带宽管理的主要有流量控制、上网行为管理等设备，这些设备虽然功能强大，但在经济上是一笔不小的投入。本文主要介绍了我馆如何利用现有的出口设备对内网进行限速，特别介绍了将两种限速方式结合起来使用的方法。一、网络概况和相关介绍我馆是典型的三层网络架构，配有两个网络出口，其中电信出口带宽为15M，由华为路由器AR4620负责接入，全馆有两个VLAN通过此接口访问互联网。其中VLAN 20（172.16.20.0）为办公区，接入终端数为30台，用户为我馆职工；VLAN 70（172.16.70.0）为电子阅览室，接入终端数为200台，用户为全校学生。路由器上主要开启了地址转换和路由功能，使用了两个以太网接口：接口E0/0/0连接互联网，接口E0/0/1连接内网核心交换机。网络主要存在的问题是电子阅览室上网学生大量使用高带宽软件，导致出口带宽被占尽，网速缓慢，所以对网络进行限速显得十分必要。华为路由器限速是通过服务质量（QoS）配置来实现的，它支持ACL列表和CAR列表（VRP版本为V3.4 Feature 0308），可以实现基于网段和基于每IP的限速功能。基于上述考虑，决定在不增加投入的情况下利用华为路由器进行限速。二、基于网段的限速为了保证办公区对带宽的优先使用，决定采用按VLAN分配带宽的限速策略。由于办公区优先级别高，它的平均带宽应大于带宽总平均值，所以将15M中的3M分配给VLAN 20，剩余的12M分配给VLAN 70。配置如下：acl number 3001rule 0 permit ip source 172.16.20.0 0.0.0.255acl number 3002 rule 0 permit ip destination 172.16.20.0 0.0.0.255acl number 3003 rule 0 permit ip source 172.16.70.0 0.0.0.255acl number 3004 rule 0 permit ip destination 172.16.70.0 0.0.0.255 /以上定义各个vlan的上下行ACLinterface Ethernet0/0/1 /在内网口做限速qos car inbound acl 3001 cir 3072000 cbs 200000 ebs 0 green pass red discard /vlan20上行带宽限制为3Mqos car inbound acl 3003 cir 12288000 cbs 800000 ebs 0 green pass red discard /vlan70上行带宽限制为12Mqos car outbound acl 3002 cir 3072000 cbs 200000 ebs 0 green pass red discard /vlan20下行带宽限制为3Mqos car outbound acl 3004 cir 12288000 cbs 800000 ebs 0 green pass red discard /vlan70下行带宽限制为12M经过以上限速，两个VLAN各自使用自己分得的那部分带宽，不能占用对方的带宽，办公区日常的网络需求得到了很好的满足。需要注意的是，配置限速一定要在上行和下行两个方向同时配置，否则效果不明显。三、基于每IP的限速 上面的配置存在如下问题：（1）电子阅览室的配额低，带宽不够用，很多正常网络需求无法得到满足；（2）在晚上和周末等上网高峰期，办公区没有用户使用网络，而此时电子阅览室却仍然只能使用已分配的12M，无法使用办公区处于闲置的3M带宽，从而造成了带宽的浪费，网络利用率不高。为此需要改进限速策略，决定采用支持每IP的CAR列表限速，对电子阅览室每IP限速为1M，办公区每IP限速为1.2M。配置如下：qos carl 1 source-ip-address subnet 172.16.70.0 24 per-addressqos carl 2 destination-ip-address subnet 172.16.70.0 24 per-addressqos carl 3 source-ip-address subnet 172.16.20.0 24 per-addressqos carl 4 destination-ip-address subnet 172.16.20.0 24 per-address /以上定义各个vlan的上下行CARLinterface Ethernet0/0/1 /在内网口做限速qos car inbound carl 1 cir 1000000 cbs 1000000 ebs 0 green pass red discard /vlan70上行每IP限制为1M qos car inbound carl 3 cir 1200000 cbs 1200000 ebs 0 green pass red discard /vlan20上行每IP限制为1.2M qos car outbound carl 2 cir 1000000 cbs 1000000 ebs 0 green pass red discard /vlan70下行每IP限制为1M qos car outbound carl 4 cir 1200000 cbs 1200000 ebs 0 green pass red discard /vlan20下行每IP限制为1.2M 经过以上限速，总带宽被两个VLAN所共享，任何IP超过规定带宽的请求都被忽略，很好的防止了个别用户的带宽消耗。四、两种方式的结合随着时间的推移，又产生了新的问题：由于学生对带宽的高要求，15M已经捉襟见肘，高峰时网速到了令人无法忍受的地步，特别是办公区的网络需求无法得到保障，已影响到了日常的工作，因此限速策略需要进一步完善。经过考虑，决定将上面两种策略结合起来使用：将2M分配给办公区，并对每IP限速为1.2M；将13M分配给电子阅览室，并对每IP限速为1M。在应用规则时采用不同的接口，外网口用来做VLAN限速，内网口用来做每IP限速，配置时特别要注意上下行的方向。配置如下：/各个vlan的上下行ACL及CARL同上interface Ethernet0/0/0 /在外网口做VLAN限速qos car inbound acl 3002 cir 2048000 cbs 200000 ebs 0 green pass red discard /vlan20下行带宽限制为2Mqos car inbound acl 3004 cir 13312000 cbs 800000 ebs 0 green pass red discard /vlan70下行带宽限制为13Mqos car outbound acl 3001 cir 2048000 cbs 200000 ebs 0 green pass red discard /vlan20上行带宽限制为2Mqos car outbound acl 3003 cir 13312000 cbs 800000 ebs 0 green pass red discard /vlan70上行带宽限制为13Minterface Ethernet0/0/1 /在内网口做每IP限速qos car inbound carl 1 cir 1000000 cbs 100000 ebs 0 green pass red discard /vlan70上行每IP限制为1M qos car inbound carl 3 cir 1200000 cbs 120000 ebs 0 green pass red discard /vlan20上行每IP限制为1.2M qos car outbound carl 2 cir 1000000 cbs 100000 ebs 0 green pass red discard /vlan70下行每IP限制为1M qos car outbound carl 4 cir 1200000 cbs 120000 ebs 0 green pass red discard /vlan20下行每IP限制为1.2M可以通过运行display qos car interface命令查看每条限速命令是否已生效。经过检测，效果十分明显，这是由于虽然办公区的带宽减少了，但是增加了每IP限速，办公区的需求基本可以满足，而电子阅览室带宽得到增加，加上每IP限速，即使超过配额也不会占用办公区的带宽，之前出现的各个问题都得到了缓解，网络的