一、rate-limit 路由器限速
简介:
在Cisco设备中,只有支持思科快速转发(CEF,Cisco Express Forward)的路由器或交换机才能使用rate-limit来限制流量,具体设置分三步:
1. 在全局模式下开启cef: configure terminal Router(config)#ip cef 2. 定义标准或者扩展访问列表(定义一个方向就可以了): Router(config)#access-list 111 permit ip 192.168.1.0 0.0.0.255 any Router(config)#access-list 112 permit ip 192.168.1.1 0.0.0.0 any 3. 在希望**的端口上进行rate-limit: Router(config)#interface FastEthernet 0/1 Rounter(config-if)#rate-limit input access-group 112 2000000 40000 60000 conform-action transmit exceed-action drop 这样我们就对192.168.1.1进行了限速,速率为2Mbps。 Rounter(config-if)#rate-limit input access-group 111 4000000 80000 100000 conform-action transmit exceed-action drop 这样我们就对192.168.1.1进行了限速,速率为4Mbps。 ========== 关键: 你定义的ACL就是针对整个网段的,你的限速就对整个网段进行。比如:access-list 111; 你定义的ACL就是针对某个主机的,你的限速就对某个主机进行。比如:access-list 112 ========== 解释: rate-limit命令格式:#rate-limit {input|output} [access-group number] bps burst-normal burst-max conform-action action exceed-action action
input|output:这是定义数据流量的方向。
access-group number:定义的访问列表的号码。
bps:定义流量速率的上限,单位是bps。
burst-normal burst-max:定义的数据容量的大小,一般采用8000,16000,32000,单位是字节,当到达的数据超过此容量时,将触发某个动作,丢弃或转发等,从而达到限速的目的。
conform-action和exceed-action:分别指在速率**以下的流量和超过速率**的流量的处理策略。
action:是处理策略,包括drop和transmit等
案例1
在Cisco设备中,只有支持CEF快速转发(Cisco Express Forward)的路由器或交换机才能使用rate-limit来限制流量,我们在设置时分三步走。
1. 在全局模式下开启cef: Router(config)#ip cef 2. 定义标准或者扩展访问列表: Router(config)#access-list 2 permit 192.168.6.0 0.0.0.255 3. 在希望限制的端口上进行rate-limit: Rounter(config-if)#rate-limit output access-group 2 128000 16000 16000 conform-action transmit exceed-action drop 这样我们就对192.168.6.0网段进行了限速,速率为128kbps。 下面,重点介绍一下rate-limit的命令格式: #rate-limit {input|output} [access-group number] bps burst-normal burst-max conform-action action exceed-action action input|output:这是定义数据流量的方向。 access-group number:定义的访问列表的号码。 bps:定义流量速率的上限,单位是bps。 burst-normal burst-max:定义的数据容量的大小,一般采用8000,16000,32000,单位是字节,当到达的数据超过此容量时,将触发某个动作,丢弃或转发等,从而达到限速的目的。 conform-action和exceed-action:分别指在速率限制以下的流量和超过速率限制的流量的处理策略。 action:是处理策略,包括drop和transmit等。rate-limit是QOS(Quality of Service)即服务质量保证实现的主要命令 用*基本用为: rate-limit input 128000 8000 9000 conform-action transmit exceed-action drop rate-limit output 128000 8000 9000 conform-action transmit exceed-action drop 对于一条链路,input和output都要设置。 这句话的意思是,限制带宽为128kbps,对于一个连接普通突发速率8kBytes(即64kbps),最大突发9k(即72kbps)如在这个范围内,进行的*作是transmit(传输) 如果超出就是的*作(Exceed-action)是drop(丢弃) 在这里,最主要测参数是128000,限制带宽,后面2个是限制每个连接的突发带宽,这样保证不会因为一个人FTP而导致整个链路性能下降很多 在conform-action里,除了transmit以外,还有一个很好的做*,就是set-prec-transmit 5,即 rate-limit input 128000 8000 9000 conform-action set-prec-transmit 5 exceed-action drop rate-limit output 128000 8000 9000 conform-action set-prec-transmit 5 exceed-action drop 这个的含义是如果普通单连接突发速率在8kbytes(64kbps)以下时,正常传输 如果在8kbytes(64kbps)和9kbytes(72kbps)之间是,优先级变为5级(中级),如果超出9kbytes(72kbps)就drop
案例2
Cisco路由器限速第一步. 在全局模式下开启cef:
Router(config)#ip cef cisco
Cisco路由器限速第二步. 定义标准或者扩展访问列表:
注:定义一个方向就可以了,主要用于控制被限速的IP地址
Router(config)#access-list 111 permit ip 192.168.1.0 0.0.0.255 any cisco
Cisco路由器限速第三步. 在希望限制的端口上进行
rate-limit:
Router(config)#interface FastEthernet 0/1
Rounter(config-if)#rate-limit input access-group 111 2000000 40000 60000 conform-action transmit exceed-action drop
这样我们就对192.168.1.0网段进行了限速,速率为2Mbps。
您可以根据实际情况,定义acl先控制被限速的电脑范围。 Cisco路由器的rate-limit命令格式:
#rate-limit [access-group number] bps burst-normal burst-max conform-action action exceed-action action input|output:这是定义数据流量的方向。
access-group number:定义的访问列表的号码。这个用来控制被限速的主机网段,本例中的acl 111。 bps:定义流量速率的上限,单位是bps。
burst-normal burst-max:定义的数据容量的大小,单位是字节,当到达的数据超过此容量时,将触发某个动作,丢弃或转发等,从而达到限速的目的。
conform-action和exceed-action:分别指在速率限制以下的流量和超过速率限制的流量的处理策略。 action:是处理策略,包括drop和transmit等
二、用service-policy进行端口限速
一、网络说明
PC1接在Cisco3550 F0/1上,速率为1M;
PC2接在Cisco3550 F0/2上,速率为2M;
Cisco3550的G0/1为出口。
二、详细配置过程
注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义在同一个策略(在本例子当中为policy-map user-down),而PC不同速率的区分是在Class-map分别定义。
1、在交换机上启动QOS
Switch(config)#mls qos //在交换机上启动QOS
2、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表
Switch(config)#access-list 10 permit 10.10.1.0 0.0.0.255 //控制pc1上行流量
Switch(config)#access-list 100 permit any 10.10.1.0 0.0.0.255 //控制pc1下行流量
Switch(config)#access-list 11 permit 10.10.2.0 0.0.0.255 //控制pc2上行流量
Switch(config)#access-list 111 permit any 10.10.2.0 0.0.0.255 //控制pc2下行流量
3、定义类,并和上面定义的访问控制列表绑定
Switch(config)# class-map user1-up //定义PC1上行的类,并绑定访问列表10
Switch(config-cmap)# match access-group 10
Switch(config-cmap)# exit
Switch(config)# class-map user2-up
Switch(config-cmap)# match access-group 11 //定义PC2上行的类,并绑定访问列表10
Switch(config-cmap)# exit
Switch(config)# class-map user1-down
Switch(config-cmap)# match access-group 100 //定义PC1下行的类,并绑定访问列表100
Switch(config-cmap)# exit
Switch(config)# class-map user2-down
Switch(config-cmap)# match access-group 111 //定义PC2下行的类,并绑定访问列表111
Switch(config-cmap)# exit
4、定义策略,把上面定义的类绑定到该策略
Switch(config)# policy-map user1-up //定义PC1上行的速率为1M
Switch(config-pmap)# class user1-up
Switch(config-pmap-c)# trust dscp 信任差分服务代码点,用来对每一类流量实施各种QOS策略,用户进来的数据包的DSCP缺省都为0)
Switch(config-pmap-c)# police 1024000 1024000 exceed-action drop 任何超过策略限制速率的通信流将会被丢弃(bits、bytes)
Switch(config)# policy-map user2-up //定义PC2上行的速率为2M
Switch(config-pmap)# class user2-up
Switch(config-pmap-c)# trust dscp
Switch(config-pmap-c)# police 2048000 1024000 exceed-action drop
Switch(config)# policy-map user-down
Switch(config-pmap)# class user1-down
Switch(config-pmap-c)# trust dscp
Switch(config-pmap-c)# police 1024000 1024000 exceed-action drop
Switch(config-pmap-c)# exit
Switch(config-pmap)# class user2-down
Switch(config-pmap-c)# trust dscp
Switch(config-pmap-c)# police 2048000 1024000 exceed-action drop
Switch(config-pmap-c)# exit
5、在接口上运用策略
Switch(config)# interface f0/1
Switch(config-if)# service-policy input user1-up
Switch(config)# interface f0/2
Switch(config-if)# service-policy input user2-up
Switch(config)# interface g0/1
Switch(config-if)# service-policy input user-down