配置流量整形，对内网IP限速——企业出口带宽精细化管理

UID: 25503

【实战配置】配置流量整形，对内网IP限速——企业出口带宽精细化管理

一、背景与需求

在企业网络出口处，经常需要对不同内网网段或特定IP进行差异化限速，避免个别用户或业务占用过多带宽，影响整体网络体验。

本文通过一个典型配置示例，演示如何在华为路由器上通过队列模板（Queue Profile）+ 流策略（Traffic Policy）组合，实现对指定内网IP范围的精准限速。

二、组网拓扑说明

如图1所示，RouterA部署在企业网出口：
● 内网侧：通过Switch连接两个用户网段
  - VLAN 10：192.168.10.0/24
  - VLAN 20：192.168.20.0/24
● 外网侧：GE3/0/0接口连接公网，对端地址222.0.1.2/24

核心需求：
对内网用户192.168.10.0/24访问服务器（222.1.1.1/24）的流量进行限速，限制带宽为64kbit/s。
（192.168.20.0/24网段不受限速影响）



三、配置思路与原理

1. 识别目标流量：通过ACL 3002匹配需要限速的源IP网段（192.168.10.0/24）

2. 标记优先级：使用流策略为匹配的报文重标记本地优先级（如AF3），以便后续队列识别

3. 配置队列模板：创建队列模板limit，为指定队列（如队列3）配置承诺信息速率CIR=64kbit/s、承诺突发尺寸CBS=1600字节

4. 应用限速：在出接口GE3/0/0上应用队列模板，被标记为AF3优先级的流量将进入队列3，受到64kbit/s限制

四、配置命令详解

4.1 基础配置

# 设置设备名称
sysname RouterA

# 创建VLAN 10和20
vlan batch 10 20

4.2 配置ACL（访问控制列表）

# ACL 3001：用于NAT转换，允许两个网段访问外网
acl number 3001
rule 5 permit ip source 192.168.10.0 0.0.0.255
rule 10 permit ip source 192.168.20.0 0.0.0.255

# ACL 3002：匹配需要限速的网段（仅192.168.10.0/24）
acl number 3002
rule 5 permit ip source 192.168.10.0 0.0.0.255

4.3 配置队列模板（核心限速配置）

# 创建队列模板limit
qos queue-profile limit

# 配置队列3的限速参数
queue 3 gts cir 64 cbs 1600
# cir：承诺信息速率 64kbit/s
# cbs：承诺突发尺寸 1600字节（通常为cir的1~2倍）

4.4 配置流分类与流行为

# 流分类c1：匹配ACL 3002（需要限速的流量）
traffic classifier c1 operator or
if-match acl 3002

# 流行为b1：重标记本地优先级为AF3
traffic behavior b1
remark local-precedence af3
# 注：不指定permit/deny时，默认为permit

# 流策略p1：绑定流分类和流行为
traffic policy p1
classifier c1 behavior b1

4.5 接口配置

# 创建VLANIF接口并配置IP
interface Vlanif10
ip address 192.168.10.1 255.255.255.0

interface Vlanif20
ip address 192.168.20.1 255.255.255.0

# 连接交换机的Trunk接口
interface Ethernet2/0/0
port link-type trunk
port trunk allow-pass vlan 10 20
traffic-policy p1 inbound    # 在此接口入方向标记优先级

# 连接公网的出口接口
interface GigabitEthernet3/0/0
ip address 222.0.1.1 255.255.255.0
qos queue-profile limit        # 应用队列模板进行限速
nat outbound 3001                # 对两个网段做NAT

4.6 静态路由

ip route-static 0.0.0.0 0.0.0.0 222.0.1.2

五、配置验证

1. 查看队列统计信息：
display qos queue statistics interface GigabitEthernet 3/0/0

# 关注队列3的输出速率，应被限制在64kbit/s附近
# 队列满后，无法缓存的报文会被丢弃（Discard计数增加）

2. 实际速率测试：
# 在192.168.10.0/24网段的主机上，使用iperf或下载测试，实际带宽应不超过64kbit/s
# 在192.168.20.0/24网段的主机上测试，带宽不受限制

3. 查看流策略匹配情况：
display traffic-policy statistics interface Ethernet2/0/0 inbound

六、配置要点与扩展建议

关键注意事项

● 交换机侧配置配合：
  - Switch连接PC的接口需配置为Access类型，并加入对应VLAN
  - Switch连接RouterA的接口需配置为Trunk类型，并允许VLAN 10和20通过

● 限速方向理解：
  - 本配置在入方向标记优先级，在出接口应用队列模板
  - 实际限制的是从内网发往外网的流量速率（上行限速）

● 队列选择原则：
  - 不同本地优先级映射到不同队列（如AF3通常映射到队列3）
  - 确保队列模板中配置的队列编号与标记的优先级一致

扩展配置思路

需求场景	配置调整方法
限制多个不同网段	在ACL 3002中添加多条rule，或在流分类中关联多个ACL
同时限制上行和下行	需要在出口接口的出方向也应用队列模板（限下行），或结合入方向限速
按时间段限速	配置time-range，在ACL规则中引用，实现工作时间限速、非工作不限速
对不同业务限速	ACL匹配目的端口（如80、443），仅对Web流量限速

七、常见问题排查

Q1：限速不生效，怎么办？
- 检查ACL 3002是否正确匹配了源地址
- 确认流策略p1已正确应用到Ethernet2/0/0的入方向
- 确认队列模板已应用到GE3/0/0接口
- 使用display traffic-policy applied-record查看策略应用状态

Q2：限速数值不精确，波动较大？
- GTS（通用流量整形）采用令牌桶算法，短时突发是正常现象
- 可适当调整CBS（突发尺寸）值，CBS越小，限速越精确但丢包可能增加

Q3：能否对单个IP而非网段限速？
- 可以，将ACL 3002中的rule改为匹配具体主机IP即可，如：
  rule 5 permit ip source 192.168.10.100 0.0.0.0

八、总结

通过“ACL识别 → 流策略标记优先级 → 队列模板限速”的标准流程，华为路由器可以灵活实现对指定内网IP或网段的精准限速。本配置特别适用于企业出口带宽精细化管理、防止个别用户过度占用带宽的场景。

实际部署时，请根据设备型号、软件版本和实际带宽需求调整cir和cbs参数。



互动提问

各位网工朋友，你在工作中还遇到过哪些需要限速的场景？是用GTS、LR还是CAR实现的？欢迎留言分享你的经验！

--- 鸿鹄论坛，一路同行 ---