华为防火墙园区网接入Internet QoS应用

小乔 · 发表于 2020-4-2 13:38:13

综合配置流量监管、流量整形和接口限速，实现对企业、小区接入Internet流量的控制功能。
组网需求
如图1所示，运营商为某公司分配了10M带宽，公司的内网PC和Server可经由USG访问Internet。
业务需求如下：
公司内网的PC和Server与Internet上的主机通信时，限制PC和Server向外发送数据的带宽均为6M。
在USG的出接口上匹配运营商分配的10M带宽，对于超出的流量以比较均匀的速度向运营商网络发送，避免因为报文被直接丢弃而导致的重传。

配置思路1 由于运营商为公司分配了10M带宽，因此需要在USG的出接口GigabitEthernet 0/0/2上配置流量整形功能，使超出和突发的流量以比较均匀的速度向外发送。这样有利于网络上下游之间的带宽匹配，避免了报文因直接丢弃而导致的大量重传。
2 为了实现带宽的划分和流量的限制，需要在USG的GigabitEthernet 0/0/1和GigabitEthernet 0/0/3接口上配置流量监管功能，将来自PC的流量限制为6000Kbits/s；将来自Server的总流量限制为6000Kbits/s。

操作步骤
1 配置USG的基本数据。
# 配置GigabitEthernet 0/0/1的IP地址。
<USG> system-view
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 192.168.0.1 24
[USG-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/2的IP地址。
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 202.1.1.1 24
[USG-GigabitEthernet0/0/2] quit
# 配置GigabitEthernet 0/0/3的IP地址。
[USG] interface GigabitEthernet 0/0/3
[USG-GigabitEthernet0/0/3] ip address 10.1.1.1 24
[USG-GigabitEthernet0/0/3] quit
# 将GigabitEthernet 0/0/1加入Trust区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/1
[USG-zone-trust] quit
# 将GigabitEthernet 0/0/2加入Untrust区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/2
[USG-zone-untrust] quit
# 将GigabitEthernet 0/0/3加入DMZ区域。
[USG] firewall zone dmz
[USG-zone-dmz] add interface GigabitEthernet 0/0/3
[USG-zone-dmz] quit
# 配置Trust和Untrust域间以及DMZ和Untrust域间的缺省包过滤。
[USG] firewall packet-filter default permit interzone trust untrust
[USG] firewall packet-filter default permit interzone dmz untrust
# 配置缺省路由，此处假设下一跳为202.1.1.2。
[USG] ip route-static 0.0.0.0 0 202.1.1.2

2 配置流量监管，限制内网PC和Server的带宽。
<USG> system-view
[USG] acl number 2001
[USG-acl-basic-2001] rule permit source 192.168.0.0 0.0.0.255
[USG-acl-basic-2001] quit
[USG] acl number 2002
[USG-acl-basic-2002] rule permit source 10.1.1.10 0.0.0.0
[USG-acl-basic-2002] quit
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] qos car inbound acl 2001 cir 6000 cbs 6000 green pass red discard
[USG-GigabitEthernet0/0/1] quit
[USG] interface GigabitEthernet 0/0/3
[USG-GigabitEthernet0/0/3] qos car inbound acl 2002 cir 6000 cbs 6000 green pass red discard
[USG-GigabitEthernet0/0/3] quit

3在USG的GigabitEthernet0/0/2接口上配置流量整形，对该接口发送的超过10000Kbits/s的报文进行流量整形。
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] qos gts any cir 10000 cbs 10000
[USG-GigabitEthernet0/0/2] quit

结果验证
在USG上执行命令display qos car interface [ interface-type interface-number ]，
可以观察到流量监管的配置情况，如下所示：
[USG] display qos car interface GigabitEthernet 0/0/1
Interface: GigabitEthernet0/0/1
Direction: Inbound
  Rule(s): If-match ACL  2001
  CIR 6000 (Kbps),  CBS 6000 (Kbit)
  Conform Action: pass
  Exceed Action : discard
  Conformed: 1740/149640 (Packets/Bytes)
  Exceeded : 6147/528642 (Packets/Bytes)
[USG] display qos car interface GigabitEthernet 0/0/3
Interface: GigabitEthernet0/0/3
Direction: Inbound
  Rule(s): If-match ACL  2002
  CIR 6000 (Kbps),  CBS 6000 (Kbit)
  Conform Action: pass
  Exceed Action : discard
  Conformed: 268/23048 (Packets/Bytes)
  Exceeded : 7590/652740 (Packets/Bytes)
在USG上执行命令display qos gts interface [ interface-type interface-number ]，
可以观察到流量整形的配置情况，如下所示：
[USG] display qos gts interface GigabitEthernet 0/0/2
Interface: GigabitEthernet0/0/2
Rule(s): If-match Any
CIR 10000 (Kbps)
CBS 10000 (Kbit)
Queue Length: 50 (Packet)
Queue Size  : 50 (Packet)
Passed : 15745/1354070 (Packets/Bytes)
Discarded: 316751/27240586 (Packets/Bytes)
Delayed  : 15365/132139  (Packets/Bytes)

misaka1 · 发表于 2020-4-2 14:45:37

Thank you for sharing!

坚持Persist · 发表于 2020-4-9 10:46:18

学习学习

账号		自动登录	找回密码
密码			论坛注册

[分享] 华为防火墙园区网接入Internet QoS应用

客服中心

投诉建议