华为防火墙在企业专业网QOS应用

小乔 · 发表于 2020-4-9 10:20:35

在企业专网连接Internet的接口处实施QoS，通过流分类识别出不同类型的流量，针对这些流量实施差异化的控制策略。
组网需求
如图1所示，某企业的总部和分支机构通过运营商网络提供的专线进行互联。分支机构和总部的网络出口分别部署了一台USG，使用2M的E1接口连接到运营商网络。
业务需求如下：
USG对语音/视频业务的流量进行确保转发，保证带宽和时延的要求。
USG对数据业务的流量进行加速转发。

配置思路
由于需要识别出不同类型的报文，并针对不同的报文实施差异化的队列处理机制，因此在USG_A和USG_B上配置基于类的WFQ（Class Based WFQ），配置思路如下：
1配置流分类，区分语音/视频业务和数据业务。
2配置流行为，使语音/视频业务的流量进入CBWFQ的EF队列进行处理，以对关键业务的带宽进行保证，同时限制语音/视频业务流量的带宽占接口带宽的百分比为50%；使数据业务的流量进入CBWFQ的AF队列进行处理，同时限制数据业务流量的带宽占接口带宽的百分比为30%。
3配置流量策略，将流分类和流行为关联起来。
4在E1接口的出方向上应用流量策略。

操作步骤
1 配置USG_A的基本数据。
# 配置GigabitEthernet 0/0/1的IP地址。
<USG_A> system-view
[USG_A] interface GigabitEthernet 0/0/1
[USG_A-GigabitEthernet0/0/1] ip address 192.168.1.1 24
[USG_A-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/2的IP地址。
[USG_A] interface GigabitEthernet 0/0/2
[USG_A-GigabitEthernet0/0/2] ip address 192.168.2.1 24
[USG_A-GigabitEthernet0/0/2] quit
# 配置E1接口的IP地址。
[USG_A] controller E1 4/0/0
[USG_A-E1 4/0/0] using e1
[USG_A-E1 4/0/0] quit
[USG_A] interface Serial4/0/0:0
[USG_A-Serial4/0/0:0] ip address 172.16.1.1 255.255.255.0
[USG_A-Serial4/0/0:0] quit
# 将GigabitEthernet 0/0/1和GigabitEthernet 0/0/2加入Trust区域。
[USG_A] firewall zone trust
[USG_A-zone-trust] add interface GigabitEthernet 0/0/1
[USG_A-zone-trust] add interface GigabitEthernet 0/0/2
[USG_A-zone-trust] quit
# 将Serial4/0/0:0加入Untrust区域。
[USG_A] firewall zone untrust
[USG_A-zone-untrust] add interface Serial4/0/0:0
[USG_A-zone-untrust] quit
# 配置Trust和Untrust域间的缺省包过滤。
[USG_A] firewall packet-filter default permit interzone trust untrust
# 配置缺省路由，此处假设下一跳为172.16.1.2。
[USG_A] ip route-static 0.0.0.0 0 172.16.1.2

2 配置USG_A的CBWFQ。
# 配置流分类。
[USG_A] acl 2000
[USG_A-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[USG_A-acl-basic-2000] quit
[USG_A] acl 2001
[USG_A-acl-basic-2001] rule permit source 192.168.2.0 0.0.0.255
[USG_A-acl-basic-2001] quit
[USG_A] traffic classifier class1
[USG_A-classifier-class1] if-match acl 2000
[USG_A-classifier-class1] quit
[USG_A] traffic classifier class2
[USG_A-classifier-class2] if-match acl 2001
[USG_A-classifier-class2] quit
# 配置流行为。
[USG_A] traffic behavior be1
[USG_A-behavior-be1] queue ef bandwidth pct 50
[USG_A-behavior-be1] quit
[USG_A] traffic behavior be2
[USG_A-behavior-be2] queue af bandwidth pct 30
[USG_A-behavior-be2] quit
# 配置流量策略。
[USG_A] qos policy policy1
[USG_A-qospolicy-policy1] classifier class1 behavior be1
[USG_A-qospolicy-policy1] classifier class2 behavior be2
[USG_A-qospolicy-policy1] quit
# 应用流量策略。
[USG_A] interface Serial4/0/0:0
[USG_A-Serial4/0/0:0] qos apply policy policy1 outbound
[USG_A-Serial4/0/0:0] quit

3 配置USG_B的基本数据。
# 配置GigabitEthernet 0/0/1的IP地址。
<USG_B> system-view
[USG_B] interface GigabitEthernet 0/0/1
[USG_B-GigabitEthernet0/0/1] ip address 192.168.3.1 24
[USG_B-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/2的IP地址。
[USG_B] interface GigabitEthernet 0/0/2
[USG_B-GigabitEthernet0/0/2] ip address 192.168.4.1 24
[USG_B-GigabitEthernet0/0/2] quit
# 配置E1接口的IP地址。
[USG_B] controller E1 4/0/0
[USG_B-E1 4/0/0] using e1
[USG_B-E1 4/0/0] quit
[USG_B] interface Serial4/0/0:0
[USG_B-Serial4/0/0:0] ip address 172.16.2.1 255.255.255.0
[USG_B-Serial4/0/0:0] quit
# 将GigabitEthernet 0/0/1和GigabitEthernet 0/0/2加入Trust区域。
[USG_B] firewall zone trust
[USG_B-zone-trust] add interface GigabitEthernet 0/0/1
[USG_B-zone-trust] add interface GigabitEthernet 0/0/2
[USG_B-zone-trust] quit
# 将Serial4/0/0:0加入Untrust区域。
[USG_B] firewall zone untrust
[USG_B-zone-untrust] add interface Serial4/0/0:0
[USG_B-zone-untrust] quit
# 配置Trust和Untrust域间的缺省包过滤。
[USG_B] firewall packet-filter default permit interzone trust untrust
# 配置缺省路由，此处假设下一跳为172.16.2.2。
[USG_B] ip route-static 0.0.0.0 0 172.16.2.2

4 配置USG_B的CBWFQ。
# 配置流分类。
[USG_B] acl 2000
[USG_B-acl-basic-2000] rule permit source 192.168.3.0 0.0.0.255
[USG_B-acl-basic-2000] quit
[USG_B] acl 2001
[USG_B-acl-basic-2001] rule permit source 192.168.4.0 0.0.0.255
[USG_B-acl-basic-2001] quit
[USG_B] traffic classifier class1
[USG_B-classifier-class1] if-match acl 2000
[USG_B-classifier-class1] quit
[USG_B] traffic classifier class2
[USG_B-classifier-class2] if-match acl 2001
[USG_B-classifier-class2] quit
# 配置流行为。
[USG_B] traffic behavior be1
[USG_B-behavior-be1] queue ef bandwidth pct 50
[USG_B-behavior-be1] quit
[USG_B] traffic behavior be2
[USG_B-behavior-be2] queue af bandwidth pct 30
[USG_B-behavior-be2] quit
# 配置流量策略。
[USG_B] qos policy policy1
[USG_B-qospolicy-policy1] classifier class1 behavior be1
[USG_B-qospolicy-policy1] classifier class2 behavior be2
[USG_B-qospolicy-policy1] quit
# 应用流量策略。
[USG_B] interface Serial4/0/0:0
[USG_B-Serial4/0/0:0] qos apply policy policy1 outbound
[USG_B-Serial4/0/0:0] quit

结果验证
在USG_A或USG_B上使用display qos policy interface Serial 4/0/0:0命令，可以观察到出接口处各流量所占的带宽比例和入队列情况：

  Interface: Serial4/0/0:0

  Direction: Outbound

  Policy: policy1
Classifier: default-class
   Matched : 0/0 (Packets/Bytes)
   Rule(s) : if-match any
   Behavior: be
   Default Queue:
   Flow Based Weighted Fair Queuing
      Max number of hashed queues: 256
      Matched  : 0/0 (Packets/Bytes)
      Enqueued : 0/0 (Packets/Bytes)
      Discarded: 0/0 (Packets/Bytes)
      Discard Method: Tail
Classifier: class1
   Matched : 0/0 (Packets/Bytes)
   Offered rate : 7344746 bps, drop rate : 232352 bps
   Operator: AND
   Rule(s) : if-match acl 2000
   Behavior: be1
   Expedited Forwarding:
      Bandwidth 480 (Kbps), CBS 12000 (Bytes)
      Matched  : 0/0 (Packets/Bytes)
      Enqueued : 0/0 (Packets/Bytes)
      Discarded: 0/0 (Packets/Bytes)
Classifier: class2
   Matched : 0/0 (Packets/Bytes)
   Offered rate : 7244746 bps, drop rate : 132352 bps
   Operator: AND
   Rule(s) : if-match acl 2001
   Behavior: be2
   Assured Forwarding:
      Bandwidth 800 (Kbps)
      Matched  : 0/0 (Packets/Bytes)
      Enqueued : 0/0 (Packets/Bytes)
      Discarded: 0/0 (Packets/Bytes)
在分支机构的网络中使用语音/视频业务与总部进行通信，发现语音/视频业务通信流畅，无延迟现象。

账号		自动登录	找回密码
密码			论坛注册

[分享] 华为防火墙在企业专业网QOS应用

客服中心

投诉建议