隨著企業內網路交換機的升級,埠速率越來越高,網路頻寬也隨之而增加,本來應當讓人感覺越來越快的網路,卻依然像蝸牛一樣慢。原因到底出在哪裡呢?那麼,下面YJBYS小編帶來好的辦法來解決這個問題!
藉助交換機限制
Cisco交換機提供了簡單的對埠或使用者頻寬的限制,可以在某種程度上限制使用者對網路的濫用。不過,由於Cisco裝置只能限制埠而不能限制具體的網路應用協議,通常只是簡單地進行頻寬限制,往往會在限制使用者濫用頻寬的同時,也影響使用者正常網路應用和連線。
基於使用者的傳輸速率限制
基於使用者的傳輸速率限制(UBRL)採用Microflow策略功能,可以將每個流都作為唯一的流進行控制。Cisco Catalyst 4500/E和Catalyst 6500/E都支援UBRL技術,並支援高達85000 個流和511種速率,從而精確控制埠傳輸速率。
如圖1,辦公子網採用地址段,銷售子網採用地址段,來賓子網採用地址段,子網掩碼均為。辦公子網連線核心交換機的GigabitEthernet1/1埠,路由器連線至核心交換機的GigabitEthernet1/2埠。若欲將辦公子網、銷售子網和來賓子網中每個使用者訪問Internet的頻寬分別限制為5Mbps、2.5Mbps和1Mbps,可以在核心交換機上配置如下策略:
分別為不同的子網設定不同的IP訪問列表和class-map,指定欲限制的IP地址段並與class-map相匹配。
6500(config)# access-list 102 permit ip 0 any
6500(config)# access-list 103 permit ip any
6500(config)# access-list 104 permit ip any
6500(config)# class-map identify-OA-traffic
6500(config-cmap)# match access-group 102
6500(config)# class-map identify-SALES-traffic
6500(config-cmap)# match access-group 103
6500(config)# class-map identify-GUEST-traffic
6500(config-cmap)# match access-group 104
然後,再分別定義policy-map,並將之與相應的`IP訪問列表相匹配。允許最大頻寬為1Gbps,可用最大頻寬為5Mbps、2.5Mbps和1Mbps。
6500(config)# policy-map police-customer-traffic
6500(config-pmap)# class identify-OA-traffic
6500(config-pmap-c)# police flow mask src-only 10000000 5000 conform-action transmit exceed action drop
6500(config-pmap)# class identify-SALES-traffic
6500(config-pmap-c)# police flow mask src-only 5000000 2500 conform-action transmit exceed action drop
6500(config-pmap)# class identify-GUEST-traffic
6500(config-pmap-c)# police flow mask src-only 1000000 1000 conform-action transmit exceed action drop
最後,將該頻寬訪問控制應用至Internet出口。
6500(config-pmap-c)# interface GigabitEthernet1/2
6500(config-if)# service-policy input police-customer-traffic
6500(config-if)#end
6500# # write memory
若欲將辦公子網中每個使用者訪問區域網和Internet的頻寬分別限制為5Mbps和1Mbps,可以在核心交換機上增加如下策略配置:
在IP訪問列表中增加一條任何網路對該子網訪問的限制,定義class-map並將之與IP訪問列表相匹配。
6500(config)# access-list 105 permit ip any
6500(config)# class-map identify-inbound-student
6500(config-cmap)# match access-group 105
然後,再定義基於目的的訪問控制策略,並將之最大可用頻寬限制為1Mpbs。
6500(config)# policy-map police-OA-traffic-inbound
6500(config-pmap)# class identify-inbound-OA
6500(config-pmap-c)# police flow mask dest-only 1000000 1000 conform-action transmit exceed action drop
最後,將定義的頻寬訪問控制列表應用至該子網與核心交換機連線的介面。
6500(config-pmap-c)# interface GigabitEthernet1/1
6500(config-if)# service-policy input police-OA-traffic-inbound
其他子網的進出口頻寬流量限制設定與辦公子網類似,故不再贅述。
基於埠的傳輸速率限制
除此之外,還可以為每個埠設定所允許的最高傳輸速率和突發速率,從而避免個別使用者對網路頻寬的濫用,保證網路正常執行。基於埠的傳輸速率限制配置過程如下。
進入欲設定的介面,使用“rate-limit”命令限制該埠的傳輸速率。
Switch(config-if)# rate-limit input|output access-group acl-index] bps burst-normal burst-max conform-action exceed-action
其中,input/output表明在輸入和輸出方向應用該頻寬限制,通常情況下,應當進行雙向限制。access-group acl-index用於定義使用該頻寬限制的訪問列表。bps用於定義限制頻寬,以bps為單位,並採用8Kbps的增量。burst-normal用於定義所允許的普通突發速率,burst-max用於定義所允許的最大突發速率。conform-action用於指定在規定最大頻寬時所執行的操作。exceed-action則用於指定在規定最大頻寬時所執行的操作。返回特權EXEC模式,並儲存當然配置即可。
藉助流控裝置限制
除以上方法以外,流量控制裝置具有強大的應用識別能力,其七層透視能力能夠識別各種動態埠或埠跳變的應用(如P2P),且能提供適合行業特點的頻寬優化解決方案,既可為關鍵業務流量分配適當的頻寬份額,又能控制未經批准的應用流量,防止網路出現擁塞和中斷,保證業務的連續性,抑制網路攻擊的蔓延。
流量控制裝置不僅可以藉助網路協議和埠號限制具體的Internet應用,而且還可以限制使用者的Internet連線頻寬,甚至為使用者設定流量配額,從而提供了更高的靈活性。流量控制裝置通常串連於Internet總出口,用於限制整個網路的Internet應用和頻寬(如圖2)。流控裝置的配置大致分為兩個步驟,即先定義IP群組,然後,再為不同的IP群組指定不同的頻寬限制策略。
另外,藉助Microsoft ISA實現Internet共享時,雖可限制使用者的併發連線數,但卻無法限制使用者使用的頻寬。藉助交換機雖可限制使用者的使用頻寬,但卻無法限制使用者的併發連線數。因此,採用LAN方式實現Internet接入時,可以將兩者有效地結合在一起。
總之,流控裝置具有較高的網路頻寬控制能力,但裝置價格相對較高,資金不太雄厚的中小型企業可能無法承受。交換機雖然頻寬控制能力相對較弱,但也在一定程度上限制使用者對網路的濫用,並且無需另外投資,可作為近期應急的使用者限制解決方案。
