基于QosACL的端口限速策略的應(yīng)用

1、基于Qos ACL的端口限速策略的應(yīng)用【摘要】端口限速是一種保障網(wǎng)絡(luò)通訊不受延遲或中斷,有效地防止無(wú)節(jié)制地占用網(wǎng)絡(luò)帶寬資源的技術(shù)策略。文章簡(jiǎn)單介紹了qos與acl的相關(guān)概念,從校園網(wǎng)絡(luò)管理實(shí)際出發(fā)引出問(wèn)題,然后確定解決問(wèn)題的方案,并詳細(xì)說(shuō)明了方案實(shí)施的過(guò)程與步驟,最后對(duì)本策略應(yīng)用進(jìn)行了簡(jiǎn)要總結(jié)?！娟P(guān)鍵詞】 qos;acl;端口限速;帶寬【 abstract 】 the technology of port rate limit is a technical strategy to ensure the network communication without delay or interru

2、ption, which can effectively avoid the uncontrolled using of the network bandwidth resources. firstly we introduced briefly some of the qos acl-related concepts, and posed some questions basing on the reality of campus network management, and then we provided aproblem-solving programme and elaborate

3、d on the process and steps of its implementation. in the end of the paper we gave a concise summary of the application of the port rate limit basing on the qos acl.【 keywords 】 qos; acl; port rate limit; bandwidth0 引言qos是quality of service(服務(wù)質(zhì)量的簡(jiǎn)稱,它是一種用來(lái)解決網(wǎng)絡(luò)延遲和網(wǎng)絡(luò)阻塞等問(wèn)題的網(wǎng)絡(luò)安全機(jī)制。在一般的web、email、ftp等網(wǎng)絡(luò)服務(wù)系統(tǒng)

4、中,并不需要qos,但在關(guān)鍵網(wǎng)絡(luò)應(yīng)用或多媒體應(yīng)用中則十分必要。當(dāng)網(wǎng)絡(luò)過(guò)載或擁塞時(shí),qos 能確保重要業(yè)務(wù)不被中斷或延遲,同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行。acl是access control lists(訪問(wèn)控制列表的簡(jiǎn)稱,它通過(guò)過(guò)濾網(wǎng)絡(luò)設(shè)備進(jìn)出端口的數(shù)據(jù)包,達(dá)到網(wǎng)絡(luò)資源不被非法訪問(wèn),異常流量不予通過(guò)的目的,實(shí)現(xiàn)網(wǎng)絡(luò)安全控制,提高網(wǎng)絡(luò)帶寬利用率。acl根據(jù)使用方式的不同主要分為安全acl和 qos acl兩大類型。本文結(jié)合校園網(wǎng)絡(luò)管理中遇到的實(shí)際問(wèn)題,利用交換機(jī)的qos acl安全控制技術(shù),成功實(shí)施了端口限速策略在接入交換機(jī)中的應(yīng)用。1 提出問(wèn)題學(xué)校網(wǎng)絡(luò)中心最近接到三號(hào)公寓許多網(wǎng)絡(luò)用戶的投訴,他們普遍抱

5、怨上網(wǎng)速度比以前慢了很多,有時(shí)還很不穩(wěn)定,甚至網(wǎng)頁(yè)也不能打開,網(wǎng)速慢的讓人無(wú)法忍受。于是,網(wǎng)管人員telnet登錄該公寓接入交換機(jī)查看交換機(jī)的工作狀態(tài),但多次嘗試竟然均告失敗。無(wú)奈,只好到公寓設(shè)備間,現(xiàn)場(chǎng)通過(guò)超級(jí)終端和sniffer抓包等手段,排除了arp欺騙,但發(fā)現(xiàn)交換機(jī)級(jí)聯(lián)端口的輸入輸出流量特別大,遠(yuǎn)遠(yuǎn)超出正常流量。接著又檢查了其他普通交換端口,發(fā)現(xiàn)有幾個(gè)端口的流量也很大,而且交換機(jī)的cpu資源消耗達(dá)90%以上。綜合各種情況最后分析得出,由于部分用戶的大流量無(wú)節(jié)制地消耗網(wǎng)絡(luò)帶寬,引起網(wǎng)絡(luò)擁塞,嚴(yán)重影響了網(wǎng)絡(luò)性能,造成網(wǎng)絡(luò)不能正常使用。于是,我們決定對(duì)該交換機(jī)進(jìn)行進(jìn)一步技術(shù)管制,以保障公寓網(wǎng)

6、絡(luò)的正常運(yùn)行。2 確定解決方案3 方案實(shí)施過(guò)程與操作步驟3.1 方案實(shí)施過(guò)程根據(jù)確定的解決方案和三號(hào)公寓網(wǎng)絡(luò)區(qū)域拓樸,網(wǎng)管人員對(duì)該公寓接入交換機(jī)(型號(hào)為rg-s2126進(jìn)行了基于qos acl的端口限速策略的部署。實(shí)施過(guò)程如下:(1定義訪問(wèn)控制列表(acl,設(shè)定需要限速的數(shù)據(jù)流。(2定義類(class,并在類上綁定定義的訪問(wèn)控制列表(acl。(3定義策略(policy,在策略上設(shè)定相應(yīng)的帶寬,并綁定定義的類(class。(4啟用qos,將定義的策略應(yīng)用到交換機(jī)相應(yīng)端口上。3.2 方案操作步驟(1定義訪問(wèn)控制列表acl,設(shè)定需要限速的數(shù)據(jù)流。switch(config# ip access-li

7、st extended up1switch(config-ext-nacl# deny ip any anyswitch(config-ext-nacl# exitswitch(config# ip access-list extended up2switch(config-ext-nacl# deny tcp any anyswitch(config-ext-nacl# exitswitch(config# ip access-list extended down1switch(config-ext-nacl# deny ip any anyswitch(config-ext-nacl# e

8、xitswitch(config# ip access-list extended down2switch(config-ext-nacl# deny tcp any anyswitch(config-ext-nacl# exit說(shuō)明:這一步非常重要,必須分別定義限速網(wǎng)絡(luò)號(hào)或主機(jī)的上行和下行兩個(gè)方向的acl訪問(wèn)控制列表,才能使得交換機(jī)端口在啟用qos后更好地實(shí)現(xiàn)對(duì)上網(wǎng)用戶上傳和下載雙向速率的控制。(2定義類(class,并在類上綁定定義的訪問(wèn)控制列表(acl。switch(config# class-map classmap_up1! 定義分類映射圖classmap_up1switch(con

9、fig-cmap# match access-group up1 !將分類映射圖classmap_up1綁定acl訪問(wèn)控制列表up1switch(config-cmap# exitswitch(config# class-map classmap_up2! 定義分類映射圖classmap_up2switch(config-cmap# match access-group up2 !將分類映射圖classmap_up2綁定acl訪問(wèn)控制列表up2switch(config-cmap# exitswitch(config# class-map classmap_down1! 定義分類映射圖clas

10、smap_down1switch(config-cmap# match access-group down1 !將分類映射圖classmap_down1綁定acl訪問(wèn)控制列表down1switch(config-cmap# exitswitch(config# class-map classmap_down2! 定義分類映射圖classmap_down2switch(config-cmap# match access-group down2 !將分類映射圖classmap_down2綁定acl訪問(wèn)控制列表down2switch(config-cmap# exit說(shuō)明:由于一個(gè)分類同時(shí)只能綁定一

11、個(gè)訪問(wèn)控制列表,所以必須分別定義多個(gè)分類映射圖,以實(shí)現(xiàn)與定義的控制雙向數(shù)據(jù)流acl的一一綁定。(3定義策略(policy,在策略上設(shè)定相應(yīng)的帶寬,并綁定定義的類(class。switch(config# policy-map up! 定義策略映射圖upswitch(config-pmap# class classmap_up1!將策略映射圖up綁定分類映射圖classmap_up1switch(config-pmap-c#police 1000000 65536 exceed-action drop!設(shè)置限制帶寬1mbps,猝發(fā)流量65536byteswitch(config-pmap# cl

12、ass classmap_up2!將策略映射圖up綁定分類映射圖classmap_up2switch(config-pmap-c#police 1000000 65536 exceed-action drop!設(shè)置限制帶寬1mbps,猝發(fā)流量65536byteswitch(config-pmap-c# endswitch(config# policy-map down! 定義策略映射圖downswitch(config-pmap# class classmap_down1!將策略映射圖down綁定分類映射圖classmap_down1switch(config-pmap-c#police 10

13、00000 65536 exceed-action drop!設(shè)置限制帶寬1mbps,猝發(fā)流量65536byteswitch(config-pmap# class classmap_down2!將策略映射圖down綁定分類映射圖classmap_down2switch(config-pmap-c#police 1000000 65536 exceed-action drop!設(shè)置限制帶寬1mbps,猝發(fā)流量65536byteswitch(config-pmap-c# end說(shuō)明:由于一個(gè)策略可同時(shí)綁定多個(gè)類,所以只需要定義上行和下行兩個(gè)策略映射圖就可以綁定已經(jīng)定義的多個(gè)分類映射圖。限制上行和下

14、行帶寬速率均為1mbps,猝發(fā)數(shù)據(jù)量為64k/8usec,超過(guò)限制值則丟棄數(shù)據(jù)包。(4啟用qos,將定義的策略應(yīng)用到交換機(jī)相應(yīng)端口上。switch(config# interface range f 0/1-23switch(config-if-range# mls qos trust cos!啟用qos,設(shè)置接口的qos信任模式為cosswitch(config-if-range# service-policy input up !應(yīng)用帶寬限制策略u(píng)pswitch(config-if-range# exitswitch(config# interface f 0/24switch(confi

15、g-if# switch mode trunk!配置上聯(lián)端口為干道模式trunkswitch(config-if# mls qos trust cos!啟用qos,設(shè)置接口的qos信任模式為cosswitch(config-if# service-policy input down!應(yīng)用帶寬限制策略downswitch(config-if# exit說(shuō)明:啟用交換機(jī)端口的qos,將上行策略應(yīng)用于所有接入端口f0/1-23,下行策略應(yīng)用于交換機(jī)上聯(lián)端口f0/24。限速策略只對(duì)端口的input方向有效,而且每個(gè)端口只支持一個(gè)策略,需要分別在交換機(jī)普通接入端口和上聯(lián)端口分別應(yīng)用策略才能實(shí)現(xiàn)雙向限速控

16、制。(5查看定義的acl,驗(yàn)證其配置的正確性。switch# show access-listsextended ip access list: up1deny ip any anyextended ip access list: up2deny tcp any anyextended ip access list: down1deny ip any anyextended ip access list: down2deny tcp any any說(shuō)明:查看定義的訪問(wèn)控制列表是否正確。(6查看定義的類與策略,驗(yàn)證其配置的正確性。switch# show class-map !查看分類映射圖cl

17、ass map name: classmap_down1match access-group name: down1class map name: classmap_down2match access-group name: down2class map name: classmap_up1match access-group name: up1class map name: classmap_up2match access-group name: up2switch#show policy-map !查看策略映射圖policy map name: downclass map name: cl

18、assmap_down1rate bps limit(bps: 1000000burst byte limit(byte: 65536exceed-action: dropclass map name: classmap_down2rate bps limit(bps: 1000000burst byte limit(byte: 65536exceed-action: droppolicy map name: upclass map name: classmap_up1 rate bps limit(bps: 1000000 burst byte limit(byte: 65536 excee

19、d-action: drop class map name: classmap_up2 rate bps limit(bps: 1000000 burst byte limit(byte: 65536 exceed-action: drop 說(shuō)明：查看定義的類、策略及帶寬限制值是否正確。 （7）查驗(yàn)交換機(jī)端口 qos 策略應(yīng)用的正確性。 switch# show mls qos interface f0/10 !查驗(yàn)任一普通端口的 qos 策略應(yīng)用 interface: fa0/10 attached policy-map: up trust state: cos default cos: 0 switch# show mls q