В traffic policy для классификации пакетов могут использоваться правила ACL. ACL классифицируются как базовые, расширенные и ACL уровня 2. Базовый ACL определяет правила на основе IP-адреса источника, флага фрагмента и временного диапазона. Ограничение трафика настраивается в traffic behavior, чтобы ограничить скорость соответствующих пакетов. Список контроля доступа (ACL) состоит из одного или нескольких правил. Правила определяют, соответствуют ли пакеты условиям, таким как адреса источника, адреса назначения и номера портов пакетов.
На схеме ниже, компания имеет два отделения, принадлежащих к VLAN 10 и VLAN 20 соответственно. Некоторые серверы развернуты в VLAN 10, и до них требуется высокая пропускная способность, сотрудники должны иметь доступ в Интернет только в VLAN 20, при этом нет высоких требований к пропускной способности. Компания имеет выделенную линию 10 Мбит/с. Компания требует, чтобы пропускная способность для доступа в Интернет в VLAN 20 составляла от 2 до 4 Мбит/с, а трафик, превышающий 4 Мбит/с, был отброшен.
Схема настройки выглядит следующим образом:
1. Создайте VLAN, настройте интерфейсы и протокол маршрутизации для взаимодействия между компанией и внешней сетью.
2. Настройте ACL на Switch для сопоставления трафика из указанного сегмента сети.
3. Настройте traffic classifier на Switch для классификации пакетов на основе ACL.
4. Настройте traffic behavior на Switch, чтобы ограничить скорость согласованного трафика.
5. Настройте traffic policy на Switch, привяжите политику трафика к классификатору трафика и поведению трафика и примените политику трафика к
GE1/0/1, подключенному к SwitchA в входящем направлении, чтобы реализовать ограничение скорости.
Шаг 1 Создайте VLAN и настройте интерфейсы и протокол маршрутизации.
# Настройте коммутатор.
[HUAWEI] sysname Switch [Switch] vlan batch 10 20 30 //Создайте VLAN 10, VLAN 20 и VLAN 30. [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk //Установите тип интерфейса на trunk. [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 //Добавьте интерфейс к VLAN 10 и VLAN 20. [Switch-GigabitEthernet1/0/1] quit [Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] port link-type access //Установите тип интерфейса на access. [Switch-GigabitEthernet1/0/2] port default vlan 30 //Добавьте интерфейс в VLAN 30. [Switch-GigabitEthernet1/0/2] quit [Switch] interface vlanif 10 //Создайте интерфейс VLANIF. [Switch-Vlanif10] ip address 192.168.1.1 255.255.255.0 //Настройте IP-адрес для интерфейса VLANIF. IP-адрес является адресом шлюза в сегменте сети 192.168.1.0/24. [Switch-Vlanif10] quit [Switch] interface vlanif 20 [Switch-Vlanif20] ip address 192.168.2.1 255.255.255.0 [Switch-Vlanif20] quit [Switch] interface vlanif 30 //Создайте интерфейс VLANIF. [Switch-Vlanif30] ip address 10.1.20.2 255.255.255.0 //Настройте IP-адрес для интерфейса VLANIF для подключения к маршрутизатору. [Switch-Vlanif30] quit [Switch] ip route-static 0.0.0.0 0 10.1.20.1 //Настройте статический маршрут во внешнюю сеть.
# Настройте SwitchA.
<HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] vlan batch 10 20 //Создайте VLAN 10 и VLAN 20. [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port link-type access //Установите тип интерфейса на access. [SwitchA-GigabitEthernet1/0/1] port default vlan 10 //Добавьте интерфейс в VLAN 10. [SwitchA-GigabitEthernet1/0/1] quit [SwitchA] interface gigabitethernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-type access [SwitchA-GigabitEthernet1/0/2] port default vlan 20 [SwitchA-GigabitEthernet1/0/2] quit [SwitchA] interface gigabitethernet 1/0/3 [SwitchA-GigabitEthernet1/0/3] port link-type trunk //Установите тип интерфейса на trunk. [SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 10 20 //Добавьте интерфейс в VLAN 10 и VLAN 20. [SwitchA-GigabitEthernet1/0/3] quit
# Настройте маршрутизатор.
Настройте IP-адрес 10.1.20.1/24 для интерфейса маршрутизатора подключенного к коммутатору.
Шаг 2 Настройте ACL.
Настройте ACL на Switch для сопоставления трафика из сегмента сети 192.168.2.0/24. [Switch] acl 3000 [Switch-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 [Switch-acl-adv-3000] quit
Шаг 3 Настройте классификатор трафика.
# Настройте классификатор трафика на Switch для классификации пакетов на основе ACL. [Switch] traffic classifier c1 operator and [Switch-classifier-c1] if-match acl 3000 [Switch-classifier-c1] quit
Шаг 4 Настройте поведение трафика.
# Настройте поведение трафика на Switch, чтобы ограничить скорость согласованного трафика. [Switch] traffic behavior b1 [Switch-behavior-b1] car cir 2048 pir 4096 //Установите CIR до 2 Мбит/с и PIR до 4 Мбит/с. [Switch-behavior-b1] statistic enable [Switch-behavior-b1] quit
Шаг 5 Настройте политику трафика и примените политику трафика к интерфейсу.
# Создайте политику трафика на Switch, привяжите поведение трафика и классификатор трафика к политике трафика и примените политику трафика к входящему направлению GE1/0/1, подключенного к SwitchA. [Switch] traffic policy p1 [Switch-trafficpolicy-p1] classifier c1 behavior b1 [Switch-trafficpolicy-p1] quit [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] traffic-policy p1 inbound [Switch-GigabitEthernet1/0/1] quit
Шаг 6 Проверьте конфигурацию.
# Проверьте конфигурацию ACL. [Switch] display acl 3000 Advanced ACL 3000, 1 rule Acl's step is 5 rule 5 permit ip source 192.168.2.0 0.0.0.255 (match-counter 0) # Проверьте конфигурацию политики трафика. [Switch] display traffic policy user-defined p1 User Defined Traffic Policy Information: Policy: p1 Classifier: c1 Operator: AND Behavior: b1 Permit Committed Access Rate: CIR 2048 (Kbps), PIR 4096 (Kbps), CBS 256000 (byte), PBS 512000 (byte) Color Mode: color Blind Conform Action: pass Yellow Action: pass Exceed Action: discard Statistic: enable # Проверьте политику трафика, применяемую к интерфейсу. Если скорость пакетов из сегмента сети 192.168.2.0/24 превышает 4 Мбит/с, происходит потеря пакетов. Скорость пакетов из сегмента сети ограничена в пределах 4 Мбит/с. [Switch] display traffic policy statistics interface gigabitethernet 1/0/1 inbound Interface: GigabitEthernet1/0/1 Traffic policy inbound: p1 Rule number: 3 Current status: success Statistics interval: 300 --------------------------------------------------------------------- Board : 1 --------------------------------------------------------------------- Matched | Packets: 82,455 | Bytes: - | Rate(pps): 0 | Rate(bps): - --------------------------------------------------------------------- Passed | Packets: 53,385 | Bytes: - | Rate(pps): 0 | Rate(bps): - --------------------------------------------------------------------- Dropped | Packets: 29,070 | Bytes: - | Rate(pps): 0 | Rate(bps): - --------------------------------------------------------------------- Filter | Packets: 0 | Bytes: - --------------------------------------------------------------------- Car | Packets: 29,070 | Bytes: -
Switch файл конфигурации
# sysname Switch # vlan batch 10 20 30 # acl number 3000 rule 5 permit ip source 192.168.2.0 0.0.0.255 # traffic classifier c1 operator and precedence 5 if-match acl 3000 # traffic behavior b1 permit car cir 2048 pir 4096 cbs 256000 pbs 512000 mode color-blind green pass yellow pass red discard statistic enable # traffic policy p1 match-order config classifier c1 behavior b1 # interface Vlanif10 ip address 192.168.1.1 255.255.255.0 # interface Vlanif20 ip address 192.168.2.1 255.255.255.0 # interface Vlanif30 ip address 10.1.20.2 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 10 20 traffic-policy p1 inbound # interface GigabitEthernet1/0/2 port link-type access port default vlan 30 # ip route-static 0.0.0.0 0.0.0.0 10.1.20.1 # Return
Switch Файл конфигурации A
# sysname SwitchA # vlan batch 10 20 # interface GigabitEthernet1/0/1 port link-type access port default vlan 10 # interface GigabitEthernet1/0/2 port link-type access port default vlan 20 # interface GigabitEthernet1/0/3 port link-type trunk port trunk allow-pass vlan 10 20 # return