基于QosACL的端口限速策略的应用

1、基于Qos ACL的端口限速策略的应用【摘要】端口限速是一种保障网络通讯不受延迟或中断,有效地防止无节制地占用网络带宽资源的技术策略。文章简单介绍了qos与acl的相关概念,从校园网络管理实际出发引出问题,然后确定解决问题的方案,并详细说明了方案实施的过程与步骤,最后对本策略应用进行了简要总结。【关键词】 qos;acl;端口限速;带宽【 abstract 】 the technology of port rate limit is a technical strategy to ensure the network communication without delay or interru

2、ption, which can effectively avoid the uncontrolled using of the network bandwidth resources. firstly we introduced briefly some of the qos acl-related concepts, and posed some questions basing on the reality of campus network management, and then we provided aproblem-solving programme and elaborate

3、d on the process and steps of its implementation. in the end of the paper we gave a concise summary of the application of the port rate limit basing on the qos acl.【 keywords 】 qos; acl; port rate limit; bandwidth0 引言qos是quality of service(服务质量的简称,它是一种用来解决网络延迟和网络阻塞等问题的网络安全机制。在一般的web、email、ftp等网络服务系统

4、中,并不需要qos,但在关键网络应用或多媒体应用中则十分必要。当网络过载或拥塞时,qos 能确保重要业务不被中断或延迟,同时保证网络的高效运行。acl是access control lists(访问控制列表的简称,它通过过滤网络设备进出端口的数据包,达到网络资源不被非法访问,异常流量不予通过的目的,实现网络安全控制,提高网络带宽利用率。acl根据使用方式的不同主要分为安全acl和 qos acl两大类型。本文结合校园网络管理中遇到的实际问题,利用交换机的qos acl安全控制技术,成功实施了端口限速策略在接入交换机中的应用。1 提出问题学校网络中心最近接到三号公寓许多网络用户的投诉,他们普遍抱

5、怨上网速度比以前慢了很多,有时还很不稳定,甚至网页也不能打开,网速慢的让人无法忍受。于是,网管人员telnet登录该公寓接入交换机查看交换机的工作状态,但多次尝试竟然均告失败。无奈,只好到公寓设备间,现场通过超级终端和sniffer抓包等手段,排除了arp欺骗,但发现交换机级联端口的输入输出流量特别大,远远超出正常流量。接着又检查了其他普通交换端口,发现有几个端口的流量也很大,而且交换机的cpu资源消耗达90%以上。综合各种情况最后分析得出,由于部分用户的大流量无节制地消耗网络带宽,引起网络拥塞,严重影响了网络性能,造成网络不能正常使用。于是,我们决定对该交换机进行进一步技术管制,以保障公寓网

6、络的正常运行。2 确定解决方案3 方案实施过程与操作步骤3.1 方案实施过程根据确定的解决方案和三号公寓网络区域拓朴,网管人员对该公寓接入交换机(型号为rg-s2126进行了基于qos acl的端口限速策略的部署。实施过程如下:(1定义访问控制列表(acl,设定需要限速的数据流。(2定义类(class,并在类上绑定定义的访问控制列表(acl。(3定义策略(policy,在策略上设定相应的带宽,并绑定定义的类(class。(4启用qos,将定义的策略应用到交换机相应端口上。3.2 方案操作步骤(1定义访问控制列表acl,设定需要限速的数据流。switch(config# ip access-li

7、st extended up1switch(config-ext-nacl# deny ip any anyswitch(config-ext-nacl# exitswitch(config# ip access-list extended up2switch(config-ext-nacl# deny tcp any anyswitch(config-ext-nacl# exitswitch(config# ip access-list extended down1switch(config-ext-nacl# deny ip any anyswitch(config-ext-nacl# e

8、xitswitch(config# ip access-list extended down2switch(config-ext-nacl# deny tcp any anyswitch(config-ext-nacl# exit说明:这一步非常重要,必须分别定义限速网络号或主机的上行和下行两个方向的acl访问控制列表,才能使得交换机端口在启用qos后更好地实现对上网用户上传和下载双向速率的控制。(2定义类(class,并在类上绑定定义的访问控制列表(acl。switch(config# class-map classmap_up1! 定义分类映射图classmap_up1switch(con

9、fig-cmap# match access-group up1 !将分类映射图classmap_up1绑定acl访问控制列表up1switch(config-cmap# exitswitch(config# class-map classmap_up2! 定义分类映射图classmap_up2switch(config-cmap# match access-group up2 !将分类映射图classmap_up2绑定acl访问控制列表up2switch(config-cmap# exitswitch(config# class-map classmap_down1! 定义分类映射图clas

10、smap_down1switch(config-cmap# match access-group down1 !将分类映射图classmap_down1绑定acl访问控制列表down1switch(config-cmap# exitswitch(config# class-map classmap_down2! 定义分类映射图classmap_down2switch(config-cmap# match access-group down2 !将分类映射图classmap_down2绑定acl访问控制列表down2switch(config-cmap# exit说明:由于一个分类同时只能绑定一

11、个访问控制列表,所以必须分别定义多个分类映射图,以实现与定义的控制双向数据流acl的一一绑定。(3定义策略(policy,在策略上设定相应的带宽,并绑定定义的类(class。switch(config# policy-map up! 定义策略映射图upswitch(config-pmap# class classmap_up1!将策略映射图up绑定分类映射图classmap_up1switch(config-pmap-c#police 1000000 65536 exceed-action drop!设置限制带宽1mbps,猝发流量65536byteswitch(config-pmap# cl

12、ass classmap_up2!将策略映射图up绑定分类映射图classmap_up2switch(config-pmap-c#police 1000000 65536 exceed-action drop!设置限制带宽1mbps,猝发流量65536byteswitch(config-pmap-c# endswitch(config# policy-map down! 定义策略映射图downswitch(config-pmap# class classmap_down1!将策略映射图down绑定分类映射图classmap_down1switch(config-pmap-c#police 10

13、00000 65536 exceed-action drop!设置限制带宽1mbps,猝发流量65536byteswitch(config-pmap# class classmap_down2!将策略映射图down绑定分类映射图classmap_down2switch(config-pmap-c#police 1000000 65536 exceed-action drop!设置限制带宽1mbps,猝发流量65536byteswitch(config-pmap-c# end说明:由于一个策略可同时绑定多个类,所以只需要定义上行和下行两个策略映射图就可以绑定已经定义的多个分类映射图。限制上行和下

14、行带宽速率均为1mbps,猝发数据量为64k/8usec,超过限制值则丢弃数据包。(4启用qos,将定义的策略应用到交换机相应端口上。switch(config# interface range f 0/1-23switch(config-if-range# mls qos trust cos!启用qos,设置接口的qos信任模式为cosswitch(config-if-range# service-policy input up !应用带宽限制策略upswitch(config-if-range# exitswitch(config# interface f 0/24switch(confi

15、g-if# switch mode trunk!配置上联端口为干道模式trunkswitch(config-if# mls qos trust cos!启用qos,设置接口的qos信任模式为cosswitch(config-if# service-policy input down!应用带宽限制策略downswitch(config-if# exit说明:启用交换机端口的qos,将上行策略应用于所有接入端口f0/1-23,下行策略应用于交换机上联端口f0/24。限速策略只对端口的input方向有效,而且每个端口只支持一个策略,需要分别在交换机普通接入端口和上联端口分别应用策略才能实现双向限速控

16、制。(5查看定义的acl,验证其配置的正确性。switch# show access-listsextended ip access list: up1deny ip any anyextended ip access list: up2deny tcp any anyextended ip access list: down1deny ip any anyextended ip access list: down2deny tcp any any说明:查看定义的访问控制列表是否正确。(6查看定义的类与策略,验证其配置的正确性。switch# show class-map !查看分类映射图cl

17、ass map name: classmap_down1match access-group name: down1class map name: classmap_down2match access-group name: down2class map name: classmap_up1match access-group name: up1class map name: classmap_up2match access-group name: up2switch#show policy-map !查看策略映射图policy map name: downclass map name: cl

18、assmap_down1rate bps limit(bps: 1000000burst byte limit(byte: 65536exceed-action: dropclass map name: classmap_down2rate bps limit(bps: 1000000burst byte limit(byte: 65536exceed-action: droppolicy map name: upclass map name: classmap_up1 rate bps limit(bps: 1000000 burst byte limit(byte: 65536 excee

19、d-action: drop class map name: classmap_up2 rate bps limit(bps: 1000000 burst byte limit(byte: 65536 exceed-action: drop 说明：查看定义的类、策略及带宽限制值是否正确。 （7）查验交换机端口 qos 策略应用的正确性。 switch# show mls qos interface f0/10 !查验任一普通端口的 qos 策略应用 interface: fa0/10 attached policy-map: up trust state: cos default cos: 0 switch# show mls q