Обзор
В политике трафика для классификации пакетов могут использоваться правила списка управления доступом (ACL). ACL классифицируются как базовые, расширенные и ACL уровня 2. Базовый ACL определяет правила на основе IP-адреса источника, флага фрагмента и временного диапазона. Ограничение трафика настраивается в поведении трафика, чтобы ограничить скорость соответствующих пакетов.
Список контроля доступа (ACL) состоит из одного или нескольких правил. Правила определяют, соответствуют ли пакеты условиям, таким как адреса источника, адреса назначения и номера портов пакетов.
Требования к сети
На схеме ниже показано что компания имеет два отделения, принадлежащих к VLAN 10 и VLAN 20 соответственно. Некоторые серверы развернуты в VLAN 10, и требуется высокая пропускная способность; сотрудники должны иметь доступ в Интернет только в VLAN 20, при этом нет высоких требований к пропускной способности. Компания имеет выделенную линию 10 Мбит/с. Компания требует, чтобы пропускная способность для доступа в Интернет в VLAN 20 составляла от 2 до 4 Мбит/с, а трафик, превышающий 4иМбит/с, был отброшен.
Схема настройки
Схема настройки выглядит следующим образом:
1. Создайте VLAN и настройте интерфейсы и протокол маршрутизации для реализации взаимодействия между компанией и внешней сетью.
2. Настройте ACL на Switch для сопоставления трафика из указанного сегмента сети.
3. Настройте классификатор трафика на Switch для классификации пакетов на основе ACL.
4. Настройте поведение трафика на Switch, чтобы ограничить скорость согласованного трафика.
5. Настройте политику трафика на Switch, привяжите политику трафика к классификатору трафика и поведению трафика и примените политику трафика к GE1/0/1, подключенному к SwitchA в входящем направлении, чтобы реализовать ограничение скорости.
Процедура
Шаг 1 Создайте VLAN и настройте интерфейсы и протокол маршрутизации.
# Настройте коммутатор. <HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 10 20 30 //Создайте VLAN 10, VLAN 20 и VLAN 30. [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk //Установите тип канала интерфейса на trunk. [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 //Добавьте интерфейс к VLAN 10 и VLAN 20. [Switch-GigabitEthernet1/0/1] quit [Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] port link-type access //Установите тип канала интерфейса на access. [Switch-GigabitEthernet1/0/2] port default vlan 30 //Добавьте интерфейс к VLAN 30. [Switch-GigabitEthernet1/0/2] quit [Switch] interface vlanif 10 //Создайте интерфейс VLANIF. [Switch-Vlanif10] ip address 192.168.1.1 255.255.255.0 //Настройте IP-адрес дляинтерфейса VLANIF. IP-адрес является адресом шлюза сегмента сети 192.168.1.0/24. [Switch-Vlanif10] quit [Switch] interface vlanif 20 [Switch-Vlanif20] ip address 192.168.2.1 255.255.255.0 [Switch-Vlanif20] quit [Switch] interface vlanif 30 //Создайте интерфейс VLANIF. [Switch-Vlanif30] ip address 10.1.20.2 255.255.255.0 //Настройте IP-адрес для интерфейса VLANIF для подключения к маршрутизатору. [Switch-Vlanif30] quit [Switch] ip route-static 0.0.0.0 0 10.1.20.1 //Настройте статический маршрут, указывающий на внешнюю сеть для реализации межсетевого взаимодействия. # Настройте SwitchA. <HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] vlan batch 10 20 //Создайте VLAN 10 и VLAN 20. [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port link-type access //Установите тип канала интерфейса на access. [SwitchA-GigabitEthernet1/0/1] port default vlan 10 //Добавьте интерфейс к VLAN 10. [SwitchA-GigabitEthernet1/0/1] quit [SwitchA] interface gigabitethernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-type access [SwitchA-GigabitEthernet1/0/2] port default vlan 20 [SwitchA-GigabitEthernet1/0/2] quit [SwitchA] interface gigabitethernet 1/0/3 [SwitchA-GigabitEthernet1/0/3] port link-type trunk //Установите тип канала интерфейса на trunk. [SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 10 20 //Добавьте интерфейс к VLAN 10 и VLAN 20. [SwitchA-GigabitEthernet1/0/3] quit # Настройте маршрутизатор. Настройте IP-адрес 10.1.20.1/24 для интерфейса маршрутизатора, подключенного к коммутатору.
Шаг 2 Настройте ACL.
Настройте ACL на Switch для сопоставления трафика из сегмента сети 192.168.2.0/24.
[Switch] acl 3000 [Switch-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 [Switch-acl-adv-3000] quit Шаг 3 Настройте классификатор трафика. # Настройте классификатор трафика на Switch для классификации пакетов на основе ACL. [Switch] traffic classifier c1 operator and [Switch-classifier-c1] if-match acl 3000 [Switch-classifier-c1] quit
Шаг 4 Настройте поведение трафика.
# Настройте поведение трафика на Switch, чтобы ограничить скорость согласованного трафика. [Switch] traffic behavior b1 [Switch-behavior-b1] car cir 2048 pir 4096 //Установите CIR до 2 Мбит/с и PIR до 4 Мбит/с. [Switch-behavior-b1] statistic enable [Switch-behavior-b1] quit
Шаг 5 Настройте политику трафика и примените политику трафика к интерфейсу.
# Создайте политику трафика на Switch, привяжите поведение трафика и классификатор трафика к политике трафика и примените политику трафика к входящему направлению GE1/0/1, подключенного к SwitchA. [Switch] traffic policy p1 [Switch-trafficpolicy-p1] classifier c1 behavior b1 [Switch-trafficpolicy-p1] quit [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] traffic-policy p1 inbound [Switch-GigabitEthernet1/0/1] quit
Шаг 6 Проверьте конфигурацию.
# Проверьте конфигурацию ACL. [Switch] display acl 3000 Advanced ACL 3000, 1 rule Acl's step is 5 rule 5 permit ip source 192.168.2.0 0.0.0.255 (match-counter 0) # Проверьте конфигурацию политики трафика. [Switch] display traffic policy user-defined p1 User Defined Traffic Policy Information: Policy: p1 Classifier: c1 Operator: AND Behavior: b1 Permit Committed Access Rate: CIR 2048 (Kbps), PIR 4096 (Kbps), CBS 256000 (byte), PBS 512000 (byte) Color Mode: color Blind Conform Action: pass Yellow Action: pass Exceed Action: discard Statistic: enable # Проверьте политику трафика, применяемую к интерфейсу. Если скорость пакетов из сегмента сети 192.168.2.0/24 превышает 4 Мбит/с, происходит потеря пакетов. Скорость пакетов из сегмента сети ограничена в пределах 4 Мбит/с. [Switch] display traffic policy statistics interface gigabitethernet 1/0/1 inbound Interface: GigabitEthernet1/0/1 Traffic policy inbound: p1 Rule number: 3 Current status: success Statistics interval: 300 --------------------------------------------------------------------- Board : 1 --------------------------------------------------------------------- Matched | Packets: 82,455 | Bytes: - | Rate(pps): 0 | Rate(bps): - --------------------------------------------------------------------- Passed | Packets: 53,385 | Bytes: - | Rate(pps): 0 | Rate(bps): - --------------------------------------------------------------------- Dropped | Packets: 29,070 | Bytes: - | Rate(pps): 0 | Rate(bps): - --------------------------------------------------------------------- Filter | Packets: 0 | Bytes: - --------------------------------------------------------------------- Car | Packets: 29,070 | Bytes: - ---------------------------------------------------------------------
