【赛迪网讯】简单地、无限制地增加网络带宽不能解决网络流量的根本问题。“擒贼先擒王”,我们要做的是对网络流量进行管理控制,找出影响网络带宽的症结所在。
随着企业内网络交换机的升级,端口速率越来越高,网络带宽也随之而增加,本来应当让人感觉越来越快的网络,却依然像蜗牛一样慢。原因到底出在哪里呢?主要原因有两个,一是各种网络病毒在网络内肆虐,二是对网络带宽的滥用(如大量BT下载以及视频)。尤其是后者,一直是在网络应用过程中最让企业头痛的问题。那么,有没有什么好的办法来解决这个问题呢?
借助交换机限制
Cisco交换机提供了简单的对端口或用户带宽的限制,可以在某种程度上限制用户对网络的滥用。不过,由于Cisco设备只能限制端口而不能限制具体的网络应用协议,通常只是简单地进行带宽限制,往往会在限制用户滥用带宽的同时,也影响用户正常网络应用和连接。
基于用户的传输速率限制
基于用户的传输速率限制(UBRL)采用Microflow策略功能,可以将每个流都作为唯一的流进行控制。Cisco Catalyst 4500/E和Catalyst 6500/E都支持UBRL技术,并支持高达85000 个流和511种速率,从而精确控制端口传输速率。
如图1,办公子网采用192.168.2.0地址段,销售子网采用192.168.3.0地址段,来宾子网采用192.168.4.0地址段,子网掩码均为255.255.255.0。办公子网连接核心交换机的GigabitEthernet1/1端口,路由器连接至核心交换机的GigabitEthernet1/2端口。若欲将办公子网、销售子网和来宾子网中每个用户访问Internet的带宽分别限制为5Mbps、2.5Mbps和1Mbps,可以在核心交换机上配置如下策略:
分别为不同的子网设置不同的IP访问列表和class-map,指定欲限制的IP地址段并与class-map相匹配。
6500(config)# access-list 102 permit ip 192.168.2.0 0 0.0.0.255 any
6500(config)# access-list 103 permit ip 192.168.3.0 0.0.0.255 any
6500(config)# access-list 104 permit ip 192.168.4.0 0.0.0.255 any
6500(config)# class-map identify-OA-traffic
6500(config-cmap)# match access-group 102
6500(config)# class-map identify-SALES-traffic
6500(config-cmap)# match access-group 103
6500(config)# class-map identify-GUEST-traffic
6500(config-cmap)# match access-group 104
然后,再分别定义policy-map,并将之与相应的IP访问列表相匹配。允许最大带宽为1Gbps,可用最大带宽为5Mbps、2.5Mbps和1Mbps。
6500(config)# policy-map police-customer-traffic
6500(config-pmap)# class identify-OA-traffic
6500(config-pmap-c)# police flow mask src-only 10000000 5000 conform-action transmit exceed action drop
6500(config-pmap)# class identify-SALES-traffic
6500(config-pmap-c)# police flow mask src-only 5000000 2500 conform-action transmit exceed action drop
6500(config-pmap)# class identify-GUEST-traffic
6500(config-pmap-c)# police flow mask src-only 1000000 1000 conform-action transmit exceed action drop
最后,将该带宽访问控制应用至Internet出口。
6500(config-pmap-c)# interface GigabitEthernet1/2
6500(config-if)# service-policy input police-customer-traffic
6500(config-if)#end
6500# # write memory
若欲将办公子网中每个用户访问局域网和Internet的带宽分别限制为5Mbps和1Mbps,可以在核心交换机上增加如下策略配置:
在IP访问列表中增加一条任何网络对该子网访问的限制,定义class-map并将之与IP访问列表相匹配。
6500(config)# access-list 105 permit ip any 192.168.2.0 0.0.0.255
6500(config)# class-map identify-inbound-student
6500(config-cmap)# match access-group 105
然后,再定义基于目的的访问控制策略,并将之最大可用带宽限制为1Mpbs。
6500(config)# policy-map police-OA-traffic-inbound
6500(config-pmap)# class identify-inbound-OA
6500(config-pmap-c)# police flow mask dest-only 1000000 1000 conform-action transmit exceed action drop
最后,将定义的带宽访问控制列表应用至该子网与核心交换机连接的接口。
6500(config-pmap-c)# interface GigabitEthernet1/1
6500(config-if)# service-policy input police-OA-traffic-inbound
其他子网的进出口带宽流量限制设置与办公子网类似,故不再赘述。
基于端口的传输速率限制
除此之外,还可以为每个端口设置所允许的最高传输速率和突发速率,从而避免个别用户对网络带宽的滥用,保证网络正常运行。基于端口的传输速率限制配置过程如下。
1
2
下一页>>
