QoS技术详解及实例

1、一般來说，基于存储转发机制的intcrnet（ipv4标准）只为用户提供了 “尽力而 为（best-effort）"的服务，不能保证数据包传输的实时性、完整性以及到达的 顺序性，不能保证服务的质量，所以主要应用在文件传送和电子邮件服务。随着 internet的飞速发展，人们对于在internet上传输分布式多媒体应用的需求越 來越大，一般说來，用户对不同的分布式多媒体应用冇着不同的服务质量要求， 这就要求网络应能根据用户的要求分配和调度资源，因此，传统的所采用的“尽 力而为”转发机制，已经不能满足用户的要求。qos的英文全称为"quality of service"

2、;,中文名为服务质量。qos是网络的 一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。对于网络业务，服务质量包括传输的带宽、传送的时延、数据的丢包率等。在网 络小可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖 动等措施来提咼服务质量。通常qos提供以下三种服务模型：best-effort service （尽力而为服务模型）integrated service （综合服务模型，简称 int-scrv）differentiated service （区分服务模型，简称 diff-serv）1. best-effort 服务模型best-effort是一个单一的服务模型

3、，也是最简单的服务模型。对best-effort 服务模型，网络尽最大的可能性來发送报文。但对时延、可靠性等性能不提供任 何保证o best-effort服务模型是网络的缺省服务模型，通过fifo队列来实现。 它适用于绝大多数网络应用，如ftp、e-mail等。2. int-serv服务模型int-serv是一个综合服务模型，它可以满足多种qos需求。该模型使用资源预 留协议（rsvp） , rsvp运行在从源端到目的端的每个设备上，可以监视每个流, 以防止其消耗资源过多。这种体系能够明确区分并保证每一个业务流的服务质 量，为网络捉供最细粒度化的服务质量区分。比如我用v01p,需要12k的带宽

4、 和100ms以内的延迟，集成服务模型就会将其归到事先设定的一种服务等级中。 但是，inter-serv模型对设备的要求很高，当网络屮的数据流数量很大时，设 备的存储和处理能力会遇到很人的压力。inter-serv模型口j扩展性很差，难以 在internet核心网络实施。这种为单一数据流进行带宽预留的解决思路在 internet ±想要实现很难，所以该模型在1994年推出以后就没冇使用过。3. diff-serv服务模型diff-serv是-个多服务模型，由一系列技术组成，它可以满足不同的qos需 求。与tnt-serv不同，它不需要通知网络为每个业务预留资源。区分服务实现简单，扩展

5、性较好。可以用不同的方法来指定报文的qos,如ip 包的优先级/precedence.报文的源地址和目的地址等。网络通过这些信息来进 行报文的分类、流量整形、流量监管和排队。本文提到的技术都是基于diff-serv 服务模型。qos技术综述流分类：采用一定的规则识别符合某类特征的报文，它是对网络业务进行区 分服务的前提和基础。流量监管：对进入或流岀设备的特定流量进行监管。当流量超出设定值时， 可以采取限制或惩罚措施，以保护网络资源不受损害。可以作用在接口入方向和 出方向。流量整形：一种主动调整流的输出速率的流量控制措施，用来使流量适配下 游设备可供给的网络资源，避免不必要的报文丢弃和延迟，通常

6、作用在接口出方 向。拥塞管理：就是当拥塞发生时如何制定一个资源的调度策略，以决定报文转 发的处理次序，通常作用在接口出方向。拥塞避免：监督网络资源的使用情况，当发现拥塞冇加剧的趋势时采取主动 丢弃报文的策略，通过调整队列长度来解除网络的过载,通常作用在接ii出方向。在这些qos技术中，流量分类和标记是基础，是有区別地实施服务的前提；而其 他qos技术则从不同方面对网络流量及其分配的资源实施控制，是有区别地提供 服务各种qos技术在网络设备中的处理顺序。(1) 首先通过流分类对各种业务进行识别和区分，它是后续各种动作的基础；(2) 通过各种动作对特性的业务进行处理。这些动作需要和流分类关联起来才

7、有 意义。具体采取何种动作，与所处的阶段以及网络当前的负载状况有关。例如， 当报文进入网络时进行流量监管；流出节点z前进行流量整形；拥塞时对队列进 行拥塞管理；拥塞加剧时采取拥塞避免措施等。qos策略配置方式qos策略配置方式是指通过配置qos策略來实现qos功能。qos策略包含了三个要素：类、流行为、策略。用户可以通过qos策略将指定 的类和流行为绑定起来，灵活地进行qos配置。(1)类类的要素包括：类的名称和类的规则。用户可以通过命令定义一系列的规则来对报文进行分类。同时用户可以指定规则 z间的关系：and或者or。and：报文只有匹配了所有的规则，设备才认为报文属于这个类。or：报文只要

8、匹配了类中的任何一个规则，设备就认为报文属于这个类。(2)流行为流行为用来定义针对报文所做的qos动作。流行为的要素包扌舌：流行为的名称和流行为中定义的动作。用户可以通过命令在一个流行为中定义多个动作。策略策略用來将指定的类和流行为绑定起來，对分类后的报文执行流行为中定义的动 作。策略的要素包扌乩 策略名称、绑定在一起的类和流行为的名称。用户可以在一个策略屮定义多个类与流行为的绑定关系。流量分类和qos标记：流量分类是将数据报文划分为多个优先级或多个服务类。网络管理者可以设置流 量分类的策略，这个策略除可以包括ip报文的ip优先级或dscp值、802. ip的 cos值等带内信令，还可以包括输

9、入接口、源ip地址、口的ip地址、mac地址、 tp协议或应用程序的端口号等。分类的结果是没冇范围限制的，它可以是一个 由五元组(源ip地址、源端口号、协议号、目的ip地址、目的端口号)确定的 流这样狭小的范围，也可以是到某某网段的所冇报文。标记在网络边界处进行，口的在于将区分数据，表明其之间的不同，这样在网络 内部队列技术就口j以依据这个标记将数据划分到相应的队列，进行不同的处理。在ip报文屮冇专门的字段进行qos的标记，在ipv4屮为t0s, ipv6中为 trafficclasso t0s字段用前6bit来标记dscp,如果只用前3 bit就为ip优 先级。dscp和ip优先级都是标记的

10、标准。ip优先级提供0-7共8种服务质量，6和7都保留，所以常用的是0-5,每个数 字都对应一个名称，比如0对应routine ,这样在更改数据包优先级等配置时, 既可以用数字也可以用名称。注意优先级中的数字本身没冇实际的意义，标记为5的数据优先级不一定就比标 记为0的高，只是一个分类标准而已。真正的操作是在配置上针对不同的优先级 采取不同的措施，比如什么标识的数据包屈于什么队列。ip优先级和dscp不能同时设置,如果同时设置的话只有dscp生效,那么标记 了 dscp的数据包到了只会识别ip优先级的路由器，就只会看前3bit,而且不 管是tp优先级还是dscp都是用自己的前3bit和二层的c

11、os值形成映射。在二层用cos字段进行标记，正常的以太网帧是没冇标记的，但是在isl的报头 和802. 1q的tag中都有3bit用来定义服务级别，从0到7,不过只有05可用, 6和7都保留。流量监管、流量整形和接口限速流量监管、流量整形和接ii限速都可以通过对流量规格的监督來限制流量及其资 源的使用，它们有一个前捉条件，就是要知道流量是否超岀了规格，然后才能根 据评估结果实施调控。一般采用令牌桶(token bucket)对流量的规格进行评估。1. 令牌桶的特点令牌桶可以看作是一个存放一定数量令牌的容器。系统按设定的速度向桶中放置 令牌，当桶小令牌满时，多出的令牌溢出，桶小令牌不再增加2.

12、用令牌桶评估流量在用令牌桶评估流量规格吋，是以令牌桶屮的令牌数量是否足够满足报文的转发 为依据的。如果桶中存在足够的令牌可以用來转发报文(通常用一个令牌关联一 个比特的转发权限)，称流量遵守或符合(conforming)这个规格，否则称为不 符合或超标(excess)。评佔流量时令牌桶的参数设置包括：平均速率：向桶屮放置令牌的速率，即允许的流的平均速度。通常设置为cir (commi tted information rate, 承诺信息速率)。突发尺寸：令牌桶的容量，即每次突发所允许的最大的流量尺寸。通常设置 为cbs (committed burst size,承诺突发尺寸)，设置的突发尺

13、寸必须大于最 大报文氏度。每到达一个报文就进行一次评估。每次评估，如果桶中有足够的令牌可供使用， 则说明流量控制在允许的范围内，此时要从桶中取走与报文转发权限相当的令牌 数量；否则说明已经耗费太多令牌，流量超标了。流量监管的典型应用是监督进入网络的某一流量的规格，把它限制在一个合理的 范围之内，或对超岀的部分流量进行“惩罚”，以保护网络资源和运营商的利益。 例如可以限制http报文不能占用超过50%的网络带宽。如果发现某个连接的流 量超标，流量监管可以选择丢弃报文，或重新设置报文的优先级。流量监管广泛 的用于监管进入internet服务捉供商1sp的网络流量。流量监管还包括对所 监管流量的流分

14、类服务，并依据不同的评估结果，实施预先设定好的监管动作。 这些动作可以是：转发：比如对评估结果为“符合”的报文继续正常转发的处理。丢弃：比如对评估结果为“不符合”的报文进行丢弃。改变优先级并转发：比如对评估结果为“符合”的报文，将之标记为其它的 优先级后再进行转发。改变优先级并进入下一级监管：比如对评估结果为“符合”的报文，将之标 记为其它的优先级后再进入下一级的监管。进入下一级的监管：流量监管可以逐级堆叠，每级关注和监管更具体的目标。ts （traffic shaping,流量整形）是一种主动调整流量输出速率的措施。一个 典型应用是基于下游网络结点的tp指标來控制本地流量的输出。流量整形与流

15、 量监管的主要区别在于，流量整形对流量监管中需耍丢弃的报文进行缓存通 常是将它们放入缓冲区或队列内。当令牌桶冇足够的令牌时，再均匀的向外发送 这些被缓存的报文。流量整形与流量监管的另一区别是，整形可能会增加延迟， 而监管几乎不引入额外的延迟。拥塞管理所谓拥塞，是指当前供给资源相对于止常转发处理需耍资源的不足，从而导致服 务质量下降的一种现象。拥塞有可能会引发一系列的负面影响：拥塞增加了报文传输的延迟和抖动，可能会引起报文重传，从而导致更多的 拥塞产生。拥塞使网络的有效吞吐率降低，造成网络资源的利用率降低。拥塞加剧会耗费大量的网络资源（特别是存储资源），不合理的资源分配茯 至可能导致系统陷入资源

16、死锁而崩溃。在分组交换以及多用户业务并存的复杂环境下，拥塞又是不可避免的，因此必须 采用适当的方法來解决拥塞。拥塞管理的中心内容就是当拥塞发生时如何制定一个资源的调度策略，以决定报 文转发的处理次序。对于拥塞管理，一般采用队列技术，使用一个队列算法对流量进行分类，z后用 某种优先级别算法将这些流量发送出去。毎种队列算法都是用以解决特定的网络 流量问题，并对带宽资源的分配、延迟、抖动等有着十分重要的影响。这里介绍几种常用的队列调度机制。1. fifo （先进先出队列,first in first out queuing）传统的best-effort服务策略，默认应用在带宽大于2. 048m的接口

17、上，只适用 于对带宽和延迟不敏感的流量，像是www, ftp, e-rna订 等。fifo不对报文进行 分类，当报文进入接口的速率大于接口能发送速率时，fifo按报文到达接口的 先后顺序让报文进入队列，同时在队列的出口让报文按进队的顺序出队。 每个队列内部报文的发送（次序）关系缺省是fifo2. pq （优先队列，priority queuing）pq队列是针对关键业务应用设计的。关键业务有一个重耍的特点，即在拥塞发 生时要求优先获得服务以减小响应的延迟。pq可以根据网络协议（比如ip, ipx）、数据流入接口、报文长短、源地址/口的地址等灵活地指定优先次序。4类报文分别对应4个队列：高优先队

18、列，中优先队列，止常优先队列和低优 先队列。高优先级队列的报文都发送完了才能发送下一个优先级的报文。这样的 机制虽然能保证关键数据总是得到优先处理，但是低优先级的队列很叮能因此十 分拥塞。缺省情况下，数据流进入正常优先队列。3. cq （自定义队列，custom queuing）cq按照一定的规则将分组分成16类（对应于16个队列）,分组根据自己的类 别按照先进先出的策略进入相应的cq队列。cq的1到16号队列是用户队列。 用户可以配置流分类的规则，指定16个用户队列占用接口或pvc带宽的比例关 系。在队列调度时，系统队列屮的分组被优先发送。直到系统队列为空，再采用 轮询的方式按照预先配置的带

19、宽比例依次从1到16号用户队列中取出一定数 量的分组发送岀去。这样，就可以使不同业务的分组获得不同的带宽，既可以保 证关键业务能获得较多的带宽，又不至于使非关键业务得不到带宽。缺省情况下, 数据流进入1号队列。定制队列的另一个优点是：可根据业务的繁忙程度分配 带宽，适用于对带宽有特殊需求的应用。虽然16个用户队列的调度是轮询进行 的，但对每个队列不是固定地分配服务时间片如果某个队列为空，那么马上 换到下一个队列调度。因此，当没有某些类别的报文吋，cq调度机制能自动增 加现存类别的报文可占的带宽。4. wfq （加权公平队列,weighted fair queuing）fq是为了公平地分享网络资

20、源，尽可能使所冇流的延迟和抖动达到最优而推出 的。它照顾了各方面的利益，主要表现在：不同的队列获得公平的调度机会，从总体上均衡各个流的延迟。短报文和长报文获得公平的调度：如果不同队列间同时存在多个长报文和短 报文等待发送，应当顾及短报文的利益，让短报文优先获得调度，从而在总体上 减少各个流的报文间的抖动。wfq按数据流的会话信息自动进行流分类（相同源ip地址，目的ip地址，原端 口号，口的端口号，协议号，ip优先级的报文同属一个流），并且尽可能多地 划分出n个队列，以将每个流均匀地放入不同队列中，从而在总体上均衡各个流 的延迟。在出队的时候，wfq按流的优先级（precedence或dscp）

21、来分配毎个流应占有 出口的带宽。优先级的数值越小，所得的带宽越少。优先级的数值越大，所得的 带宽越多。最后，轮询各个队列，按照带宽比例从队列中取出相应数量的报文进 行发送。wfq是传输速率在2. 048m以下的接口默认的队列机制。举例来说，接口中当前共有5个流，它们的优先级分别为0、1、2、3、4,贝ij带 宽总配额为所有（流的优先级+1）的和。即1 + 2 + 3 + 4 + 5二15,每个流 可得的带宽分别为:1/15, 2/15, 3/15, 4/15, 5/15。wfq的限制：wfq不支持隧道或者采用了加密技术的接口，因为这些技术要修改 数据包中wfq用于分类的信息。wfq提供的带宽控

22、制的精度不如cbq,因为是基 于流的分类，基于队列的带宽分配，每个队列可能会有多个流，这样无法再针对 具体的数据类型指定带宽。5. cbq （基于类的公平队列,class-based weighted fair queuing）cbq是对wfq功能的扩展，为用户捉供了定义类的支持。cbq为每个用户定义 的类分配一个单独的fifo预留队列，用来缓冲同一类的数据。在网络拥塞时， cbq对报文根据用户定义的类规则进行匹配，并使其进入相应的队列，在入队列 之前必须进行拥塞避免机制（尾部丢弃或wred, weighted random early detection,加权随机早期检测）和带宽限制的检查。

23、在报文出队列时，加权公 平调度每个类对应的队列屮的报文。cbq提供一个紧急队列，紧急报文入该队列，该队列采用fifo调度，没有带宽 限制。这样，如果cbq加权公平对待所有类的队列，语音报文这类对延迟敏感 的数据流就可能得不到及时发送。为此将pq特性引入cbq,称其为llq （low latcncyqucuing,低延迟队列）,为语咅报文这样的对延迟敏感的数据流提供严 格优先发送服务。llq将严格优先队列机制与cbq结合起来使用，用户在定义类时可以指定其享 受严格优先服务，这样的类称作优先类。所冇优先类的报文将进入同一个优先队 列，在入队列之前需对各类报文进行带宽限制的检查。报文出队列时，将首先

24、发 送优先队列屮的报文，直到发送完后才发送其他类对应的队列的报文。在发送其 他队列报文时将仍然按照加权公平的方式调度。为了不让其他队列中的报文延迟时间过长，在使用llq时将会为每个优先类指 定可用最大带宽，该带宽值用于拥塞发生时监管流量。如呆拥塞未发生，优先类 允许使用超过分配的带宽。如果拥塞发生，优先类超过分配带宽的数据包将被丢 弃。llq还可以指定burst-size。cbq对wfq做的一些改进：在wfq中weight用来指明队列优先级，而在cbwfq中weight用来指明某类流量 的优先级。数据包根据weight排在相应类的队列屮。cbq 一个队列一种数据，所以可以为某类流量指定相应的带

25、宽，而wfq无法实现, 因为是基于流，种类多的很，最后可能每个队列里都有好几种流量。cbq分类数据吋除了根据ip地址和端口号，还可以通过acl或数据输入接口， wfq无法实现。pq和cq都需要手动配置，在命令屮可以看出，并不能依据ip优先级或dscp来 划分队列，而且配置起來比较麻烦，命令烦琐。在wfq中只有一条命令，执行基 木是自动化的，但这样不好控制流量，而口耍事先进行qos标记。在cbq中qos的事先标记不是必须的，因为引入了 mqc的概念，通过结构化的命 令行匹配特定的数据流（如果匹配的是ip优先级或dscp,则需要事先的qos标 记）再制定细化的处理策略，不过归队列还是算法口动完成，

26、cbq是目前推荐使 用的模式。cbq和qos标记看起来配置步骤十分相似,都是用class map和policy map, 但是其实有很大不同，而且有先后顺序。首先要明确qos标记的流程：1）用class map抓住数据流最本质的特点，比如特定源地址，目的地址，协议 等。2）用policy map进行标记动作，比如用set命令设置ip优先级，dcsp, cos 等。3）在接口应用该配置。这样看來，如果是要针对ip优先级，dscp来做策略，步骤是：qos标记（匹配特殊数据流-设定优先级-应用在接口 ） > cbq用class map 匹配优先级 >cbq用policy map指定策略

27、>cbq应用在接11 而如果qos策略不涉及ip优先级或dscp,没有必要实现标记，因为只用mqc就 可以搞定：cbq用class map匹配特定数据流 >cbwfq用policy map指定策略 >cbwfq 应用在接口6. rtp （real-time transport protocol）优先队列rtp优先队列是一种解决实时业务（包括语音与视频业务）服务质量的简单的队 列技术。其原理就是将承载语音或视频的rtp报文送入高优先级队列，使其得 到优先发送，保证时延和抖动降低为最低限度，从而保证了语音或视频这种对时 延敏感业务的服务质量。rtp和llq 样是独立的队列技术，不

28、过一般不会单独应用。rtp可以同fifo, pq, cq, wfq和cbq结合,优先级始终是最高的。7. wrr加权轮询队列wrr是应用在交换机上的队列技术，每个交换机端口支持4个输出队列，调度算 法在队列之间轮流调度，通过为每个队列配置一个加权值（依次为w3, w2, w1, w0）,使其得到和应的带宽资源，比如一个100m的端口，配置加权值为50, 30, 10, 10,那么最低优先级队列至少会获得10m的带宽。wrr调度队列的方式虽然是轮询的，但是每个队列不是固定的分配服务时间，如 果某个队列为空，那么会马上切换到下一个队列调度。hq-wrr调度模式在wrr的基础上，在4个调度队列中以队

29、列3为高优先级队列, 如果端口岀现了拥塞，首先保证队列3的报文优先发送，然后对其余3份额队列 实行wrr调度。拥塞避免过度的拥塞会对网络资源造成极大危害，必须采取某利蜡施加以解除。拥塞避免 （congestionavoidance）是一种流控机制,它可以通过监视网络资源（如队列或内存缓冲区）的使用情况，在拥塞有加剧的趋势时，主动丢 弃报文，通过调整网络的流量来解除网络过载。与端到端的流控相比，这里的流控具有更广泛的意义，它影响到设备中更多的业 务流的负载。设备在丢弃报文时，并不排斥与源端的流控动作（比如tcp流控） 的配合，更好地调整网络的流量到一个合理的负载状态。丢包策略和源端流控机 制有效

30、的组合，可以使网络的呑叶量和利用效率最大化，并且使报文丢弃和延迟 最小化。1. 传统的丢包策略传统的丢包策略采用尾部丢弃（tail-drop）的方法。当队列的长度达到某-最 大值后，所有新到来的报文都将被丢弃。这种丢弃策略会引发tcp全局同步现 象当队列同时丢弃多个tcp连接的报文时，将造成多个tcp连接同时进入 拥塞避免和慢启动状态以降低并调整流量，而后又会在某个时间同时出现流量高 峰，如此反复，使网络流量不停震荡2. red 与 wred为避免tcp全局同步现彖，可使用red （random early detection,随机早期检 测）或 wred （weighted random e

31、arly detection,加权随机早期检测）。在red类算法中，为毎个队列都设定上限和下限，对队列中的报文进行如下处 理：当队列的长度小于下限时，不丢弃报文；当队列的长度超过上限时，丢弃所有到来的报文；当队列的长度在上限和下限z间时，开始随机丢弃到来的报文。队列越长， 丢弃概率越高，但有一个最大丢弃概率。与red不同，wred生成的随机数是基于优先权的，它引入ip优先权区别丢弃 策略，考虑了高优先权报文的利益，使其被丢弃的概率相对较小。red和wred通 过随机丢弃报文避免了 tcp的全局同步现象，使得当某个tcp连接的报文被丢 弃、开始减速发送的时候，其他的tcp连接仍然冇较高的发送速度

32、。这样，无 论什么时候，总有tcp连接在进行较快的发送，提高了线路带宽的利用率流量重定向流量重定向就是将符合流分类的流重定向到其他地方进行处理。重定向到cpu：对于需要cpu处理的报文，可以通过配置上送给cpu。重定向到接口：对于收到需耍由某个接口处理的报文时，可以通过配置重定 向到此接口。只针对二层转发报文，接口为二层接口。重定向到下一跳：对于收到需要由某个接口处理的报文时，可以通过配置重 定向到此接口。只针对三层转发报文。重定向到业务环回组：当某块业务板收到盂要由英它业务板进行处理的报文时，该业务 板将此报文发送到能处理该业务的单板上完成报文的处理和转发,将多个业务环i叫端口绑定 在一起就

33、构成业务环回组，能够增加板间业务重定向的吞吐能力。基于p2p的应用和一些病毒是近年影响网络运行质量的主要因素。对此，在硬件 层面限制连接数和带宽是比较治木的办法。下面笔者与大家共享一个真实案例， 通过qos实现基于交换机的带宽控制。1、网络拓扑这家园区网络共七幢建筑，入驻了 27家单位，总计一千余信息点，各楼通 过光纤接人中心机房（位于1f - 2）,统一使用电信100m互联网出口。按照结构 清晰、方便管理的原则，园区网按单位划分子网，分别对应192. 16& 1.0/24 192. 168.27.0/24, 192.168. 0. 0/28为设备通信网段,另设置服务器等专用网段 若干

34、。2、网络设备状况该园区使用的防火墙是一台旧设备，可限制每ip连接数，带宽管理功能却 很弱，不支持按vlan限制带宽，限制带宽策略只能部署在核心交换机。核心交 换机为cisco 3560g, g0/24通过光纤收发器接5-7f, g0/25g0/28 （光口）分 别接14f,均设为trunk, g0/1接防火墙。3、实现思路综合考虑诸因素决定通过交换机的qos实现带宽控制。交换机不同于路由器 或防火墙，通过的数据分为占用互联网带宽或不占用二种，必须应用不同策略。 对占用互联网带宽的流量，又按单位规模大小分为二类，较大的单位互联网带宽 限为4m上行、10m下行，较小的单位限为2m上行、5m下行。

35、对所有用户互访、 或访问集屮于屮心机房内部服务器等不占用互联网带宽的流量，则提供100m ± 行，下行不作限制。4、实现过程下面以cisco 3560g为例进行配置。已删除或省略不相关部分，关键部分给 予文字说明。(1)启用 qosmis qos(2) 定义qos类型，分别绑定对应的访问控制列表class-m apmatch-all bandwidth_loca_upmatch access-group name localupclass-map match-all bandwidth_wide_high upmatch access-group neime wide_high_upclass-map match-all bandwidth_widc_1ow_upmatch access-group name wide_low_upclass-map match-all bandwidth_wide_high_downmatch aecess-group name widehighdownclass-map matchal1 bandwidth_wide_low downmatch access-group name wide low down说明：下行策略仅应用于与防火墙通信的g0/1,本地