40-華為 華三 銳捷 思科 tcp ip協(xié)議詳解 官方 手冊(cè)大全01-16 部署qos

1、 Huawei AR100&AR120&AR150&AR160&AR200&AR1200&AR1600&AR2200&AR3200&AR3600 系列企業(yè)路由器典型配置案例（命令行） 16 部署 QoS16 部署 QoS關(guān)于本章16.1 配置流量整形綜合示例 16.2 配置流量整形，對(duì)內(nèi)網(wǎng)IP限速的示例 16.3 配置流量監(jiān)管，對(duì)網(wǎng)段總流量限速的示例 16.4 配置流量監(jiān)管，對(duì)網(wǎng)段的每個(gè)IP單獨(dú)限速的示例 16.5 配置擁塞管理和擁塞避免的示例 16.6 配置禁止BT下載的示例 16.7 配置基于源MAC地址控制訪問(wèn)的示例 16.8 配置雙出口實(shí)現(xiàn)內(nèi)部互訪和重定向的示例 16.9 配置隊(duì)列模板

2、實(shí)現(xiàn)擁塞管理和擁塞避免的示例 16.10 配置CBQ綜合示例（V200R001C00、V200R001C01、V200R002C00、V200R002C01） 16.11 配置CBQ綜合示例（V200R002C02及其之后版本） 16.1 配置流量整形綜合示例規(guī)格適用于所有版本、所有形態(tài)的AR路由器。 組網(wǎng)需求如圖16-1所示，企業(yè)網(wǎng)內(nèi)部LAN側(cè)的語(yǔ)音、視頻和數(shù)據(jù)業(yè)務(wù)通過(guò)Switch連接到RouterA 的Eth2/0/0上，并通過(guò)RouterA的GE3/0/0連接到WAN側(cè)網(wǎng)絡(luò)。 文檔版本 V2.4 (2017-10-13)華為專(zhuān)有和保密信息版權(quán)所有 華為技術(shù)745不同業(yè)務(wù)的報(bào)文在LAN側(cè)使

3、用802.1p優(yōu)先級(jí)進(jìn)行標(biāo)識(shí)，在RouterA上根據(jù)報(bào)文的802.1p 優(yōu)先級(jí)入隊(duì)列，當(dāng)報(bào)文從GE3/0/0到達(dá)WAN側(cè)時(shí)可能會(huì)發(fā)生帶寬抖動(dòng)。為了減少帶寬抖動(dòng)，同時(shí)保證各類(lèi)業(yè)務(wù)帶寬要求，現(xiàn)要求如下： 端口保證帶寬為8000kbit/s。 語(yǔ)音保證帶寬為256kbit/s，承諾突發(fā)尺寸為6400byte。 視頻保證帶寬為4000kbit/s，承諾突發(fā)尺寸為100000byte。 數(shù)據(jù)保證帶寬為2000kbit/s，承諾突發(fā)尺寸為50000byte。 圖 16-1 配置流量整形的組網(wǎng)圖語(yǔ)音802.1p=6Eth2/0/0802.1p=2LANWANGE3/0/0SwitchRouterARoute

4、rB數(shù)據(jù)802.1p=5視頻操作步驟# sysname RouterA # vlan batch 10 # qos queue-profile qp1 /創(chuàng)建隊(duì)列模板qp1 queue 2 gts cir 2000 cbs 50000 /配置隊(duì)列2的承諾信息速率為2000kbit/s，承諾突發(fā)尺寸為50000byte queue 5 gts cir 4000 cbs 100000 /配置隊(duì)列5的承諾信息速率為4000kbit/s，承諾突發(fā)尺寸為100000byte queue 6 gts cir 256 cbs 6400 /配置隊(duì)列6的承諾信息速率為256kbit/s，承諾突發(fā)尺寸為6400b

5、yte schedule wfq 0 to 5 pq 6 to 7 /配置隊(duì)列05的調(diào)度方式為WFQ（加權(quán)公平調(diào)度模式），隊(duì)列67的調(diào)度方式為PQ（嚴(yán)格優(yōu)先級(jí)調(diào)度模式） # interface Vlanif10 ip address 192.168.1.1 255.255.255.0 # interface Ethernet2/0/0 port link-type trunk /配置接口的鏈路類(lèi)型為T(mén)runk port trunk allow-pass vlan 10 /配置Trunk類(lèi)型接口加入vlan 10 trust 8021p /配置接口信任報(bào)文的802.1p優(yōu)先級(jí) # interfa

6、ce GigabitEthernet3/0/0 ip address 192.168.4.1 255.255.255.0 步驟1 RouterA的配置 qos queue-profile qp1/在接口上應(yīng)用隊(duì)列模板qp1qos gts cir 8000 cbs 200000 /配置接口承諾信息速率為8000kbit/s，承諾突發(fā)尺寸為200000byte # 步驟2 驗(yàn)證配置結(jié)果 # 執(zhí)行display qos queue statistics interface gigabitethernet 3/0/0命令查看接口GE3/0/0下各隊(duì)列的統(tǒng)計(jì)信息，可以看到隊(duì)列的輸出速率被限制在規(guī)定范圍內(nèi)

7、，隊(duì)列滿(mǎn)后，無(wú)法緩存的報(bào)文被丟棄。 -結(jié)束 配置注意事項(xiàng) 請(qǐng)配置Switch與RouterA對(duì)接的接口為T(mén)runk類(lèi)型接口，并加入相應(yīng)的VLAN。 根據(jù)實(shí)際情況配置RouterB，確保RouterB與RouterA間路由可達(dá)。 接口整形的cir-value必須大于或等于接口上所有隊(duì)列整形的cir-value之和；否則可能會(huì)造成某些高優(yōu)先級(jí)隊(duì)列得不到及時(shí)調(diào)度。 16.2 配置流量整形，對(duì)內(nèi)網(wǎng) IP 限速的示例規(guī)格適用于所有版本、所有形態(tài)的AR路由器。 組網(wǎng)需求RouterA部署在企業(yè)網(wǎng)的出口處，企業(yè)用戶(hù)通過(guò)2個(gè)不同的網(wǎng)段連接到RouterA從而訪問(wèn)服務(wù)器222.1.1.1/24?，F(xiàn)要求控制企業(yè)網(wǎng)

8、內(nèi)部用戶(hù)192.168.10.0/24對(duì)服務(wù)器的訪問(wèn)，速率限制為64kbit/s。 圖 16-2 配置基于內(nèi)網(wǎng) IP 進(jìn)行限速的組網(wǎng)圖192.168.10.0/24Enterprise users222.0.1.2/24222.1.1.1/24WANEth2/0/0GE3/0/0SwitchRouterARouterServer192.168.20.0/24操作步驟# sysname RouterA # vlan batch 10 20 # acl number 3001 /配置編號(hào)為3001的編號(hào)型訪問(wèn)控制列表 rule 5 permit ip source 192.168.10.0 0.0

9、.0.255 /配置規(guī)則5，允許源地址為192.168.10.0網(wǎng)段的報(bào)文通過(guò) rule 10 permit ip source 192.168.20.0 0.0.0.255 /配置規(guī)則10，允許源地址為192.168.20.0網(wǎng)段的報(bào)文通過(guò) acl number 3002 /配置編號(hào)為3002的編號(hào)型訪問(wèn)控制列表 rule 5 permit ip source 192.168.10.0 0.0.0.255 /配置規(guī)則5，允許源地址為192.168.10.0網(wǎng)段的報(bào)文通過(guò) # qos queue-profile limit /創(chuàng)建隊(duì)列模板limit queue 3 gts cir 64 cbs

10、 1600 /配置隊(duì)列3的承諾信息速率為64kbit/s # traffic classifier c1 operator or if-match acl 3002 /配置流分類(lèi)c1：匹配規(guī)則為ACL 3002 # traffic behavior b1 remark local-precedence af3 /配置流行為b1：對(duì)匹配流分類(lèi)的報(bào)文重標(biāo)記本地優(yōu)先級(jí)為AF3，不指定流行為為permit或deny時(shí)，默認(rèn)為permit。 # traffic policy p1 classifier c1 behavior b1 /配置流策略p1:綁定流分類(lèi)c1與流行為b1 # interface V

11、lanif10 ip address 192.168.10.1 255.255.255.0 # interface Vlanif20 ip address 192.168.20.1 255.255.255.0 # interface Ethernet2/0/0 port link-type trunk /配置接口的鏈路類(lèi)型為T(mén)runk port trunk allow-pass vlan 10 20 /配置Trunk類(lèi)型接口加入vlan 10和vlan 20 traffic-policy p1 inbound /在接口入方向上應(yīng)用流策略p1 # interface GigabitEtherne

12、t3/0/0 ip address 222.0.1.1 255.255.255.0 qos queue-profile limit /在接口上應(yīng)用隊(duì)列模板limit nat outbound 3001 /在接口上對(duì)匹配ACL 3001的報(bào)NAT # ip route-static 0.0.0.0 0.0.0.0 222.0.1.2 # 步驟1 RouterA的配置 步驟2 驗(yàn)證配置結(jié)果 # 執(zhí)行display qos queue statistics interface gigabitethernet 3/0/0命令檢查GE3/0/0接口上應(yīng)用了隊(duì)列模板limit后的報(bào)文統(tǒng)計(jì)信息，可以看到接口

13、3號(hào)隊(duì)列的輸出速率被限制在規(guī)定范圍內(nèi)，隊(duì)列滿(mǎn)后，無(wú)法緩存的報(bào)文被丟棄。 -結(jié)束 配置注意事項(xiàng) 請(qǐng)配置Switch與不同的網(wǎng)段用戶(hù)對(duì)接的接口為Access類(lèi)型接口，并將其加入對(duì)應(yīng) VLAN。 請(qǐng)配置Switch與RouterA對(duì)接的接口為T(mén)runk類(lèi)型接口，并加入對(duì)應(yīng)VLAN。 相關(guān)資料視頻：配置基于接口的限速 16.3 配置流量監(jiān)管，對(duì)網(wǎng)段總流量限速的示例規(guī)格組網(wǎng)需求適用于ARV200R002C00及更高版本、所有形態(tài)的AR路由器。 RouterA部署在企業(yè)網(wǎng)的出口處，企業(yè)用戶(hù)通過(guò)2個(gè)不同的網(wǎng)段連接到RouterA從而訪問(wèn)互聯(lián)網(wǎng)?，F(xiàn)要求對(duì)192.168.1.0/24網(wǎng)段訪問(wèn)互聯(lián)網(wǎng)的總流量限制為

14、512kbit/s，對(duì)192.168.2.0/24網(wǎng)段訪問(wèn)互聯(lián)網(wǎng)的總流量限制為128kbit/s。 圖 16-3 配置流量監(jiān)管的組網(wǎng)圖192.168.1.0/24Enterprise usersEth2/0/0GE3/0/0WAANSwitchRouterARouterB192.168.2.0/24操作步驟# sysname RouterA # vlan batch 10 20 # acl number 2000 /配置編號(hào)為2000的編號(hào)型訪問(wèn)控制列表 rule 0 permit source 192.168.1.0 0.0.0.255 /配置規(guī)則0，允許源地址為192.168.1.0網(wǎng)段的

15、報(bào)文通過(guò)acl number 2001 /配置編號(hào)為2001的編號(hào)型訪問(wèn)控制列表 rule 0 permit source 192.168.2.0 0.0.0.255 /配置規(guī)則0，允許源地址為192.168.2.0網(wǎng)段的報(bào)文通過(guò)# interface Vlanif10 ip address 192.168.1.1 255.255.255.0 # interface Vlanif20 ip address 192.168.2.1 255.255.255.0 # interface Ethernet2/0/0 port link-type trunk /配置接口的鏈路類(lèi)型為T(mén)runk 步驟1 R

16、outerA的配置 port trunk allow-pass vlan 10 20 /配置Trunk類(lèi)型接口加入vlan 10和vlan 20 # interface GigabitEthernet3/0/0 ip address 1.2.0.2 255.255.255.0 qos car outbound acl 2000 cir 512 cbs 96256 pbs 160256 green pass yellow pass red discard /配置在接口出方向?qū)Ψ螦CL 2000規(guī)則的報(bào)流量監(jiān)管，指 定承 諾信息速率為512kbit/s qos car outbound acl

17、2001 cir 128 cbs 24064 pbs 40064 green pass yellow pass red discard /配置在接口出方向?qū)Ψ螦CL 2001規(guī)則的報(bào)流量監(jiān)管，指定 承諾信 息速率為128kbit/s # 步驟2 驗(yàn)證配置結(jié)果 # 執(zhí)行display qos car statistics interface GigabitEthernet 3/0/0 outbound命令檢查GE3/0/0接口上應(yīng)用了流量監(jiān)管后的報(bào)文統(tǒng)計(jì)信息，可以看到接口的輸出速率被限制在規(guī)定范圍內(nèi)，超出部分流量被丟棄。 -結(jié)束 配置注意事項(xiàng)相關(guān)資料 請(qǐng)配置Switch與不同的網(wǎng)段用戶(hù)對(duì)接的接

18、口為Access類(lèi)型接口，并將其加入對(duì)應(yīng) VLAN。 請(qǐng)配置Switch與RouterA對(duì)接的接口為T(mén)runk類(lèi)型接口，并加入對(duì)應(yīng)VLAN。 根據(jù)實(shí)際情況配置RouterB，確保RouterB與RouterA間路由可達(dá)。 在本例中的案例是在路由器上行接入WAN的接口的出方向上配置流量監(jiān)管，也可 以根據(jù)需要在路由器下行接入LAN接口的入方向配置流量監(jiān)管。 視頻：配置基于某網(wǎng)段的限速 16.4 配置流量監(jiān)管，對(duì)網(wǎng)段的每個(gè) IP 單獨(dú)限速的示例規(guī)格組網(wǎng)需求適用于ARV200R002C00及更高版本、所有形態(tài)的AR路由器。 RouterA部署在企業(yè)網(wǎng)的出口處，企業(yè)用戶(hù)通過(guò)2個(gè)不同的網(wǎng)段連接到Route

19、rA從而訪問(wèn)互聯(lián)網(wǎng)?，F(xiàn)要求對(duì)192.168.1.0/24網(wǎng)段每個(gè)IP地址訪問(wèn)互聯(lián)網(wǎng)流量限制為64kbit/s，對(duì)192.168.2.0/24網(wǎng)段每個(gè)IP地址訪問(wèn)互聯(lián)網(wǎng)流量限制為128kbit/s。 圖 16-4 配置流量監(jiān)管的組網(wǎng)圖Enterprise usersEth2/0/0GE3/0/0WAANSwitchRouterARouterB192.168.1.0/24192.168.2.0/24操作步驟# sysname RouterA # vlan batch 10 20 # interface Vlanif10 ip address 192.168.1.1 255.255.255.0 qo

20、s car inbound source-ip-address range 192.168.1.2 to 192.168.1.254 per-address cir 64 cbs 12032 pbs 20032 green pass yellow pass red discard /配置在接口入方向?qū)υ吹刂窞?92.168.1.2到192.168.1.254范圍內(nèi)的報(bào)流量監(jiān)管，指定各IP地址發(fā)送報(bào)文的承諾信息速率為64kbit/s # interface Vlanif20 ip address 192.168.2.1 255.255.255.0 qos car inbound source-i

21、p-address range 192.168.2.2 to 192.168.2.254 per-address cir 128 cbs 24064 pbs 40064 green pass yellow pass red discard /配置在接口入方向?qū)υ吹刂窞?92.168.2.2到192.168.2.254范圍內(nèi)的報(bào)流量監(jiān)管，指定各IP地址發(fā)送報(bào)文承諾信息速率為128kbit/s # interface Ethernet2/0/0 port link-type trunk /配置接口的鏈路類(lèi)型為T(mén)runk port trunk allow-pass vlan 10 20 /配置Tru

22、nk類(lèi)型接口加入VLAN 10和VLAN 20 # interface GigabitEthernet3/0/0 ip address 1.2.0.2 255.255.255.0 # 步驟1 RouterA的配置 步驟2 驗(yàn)證配置結(jié)果 # 執(zhí)行display qos car statistics interface Vlanif 10 inbound和display qos car statistics interface Vlanif 20 inbound命令檢查接口上應(yīng)用了流量監(jiān)管后的報(bào)文統(tǒng)計(jì)信息，可以看到接口的輸出速率被限制在規(guī)定范圍內(nèi)，超出部分流量被丟棄。 -結(jié)束 配置注意事項(xiàng) 請(qǐng)配置

23、Switch與不同的網(wǎng)段用戶(hù)對(duì)接的接口為Access類(lèi)型接口，并將其加入對(duì)應(yīng) VLAN。 相關(guān)資料 請(qǐng)配置Switch與RouterA對(duì)接的接口為T(mén)runk類(lèi)型接口，并加入對(duì)應(yīng)VLAN。 根據(jù)實(shí)際情況配置RouterB，確保RouterB與RouterA間路由可達(dá)。 若在qos car命令中不配置per-address參數(shù)，則對(duì)源IP在指定范圍內(nèi)的所有報(bào)文聚合起來(lái)做流量監(jiān)管，即對(duì)該地址段發(fā)送報(bào)文的總流量做流量監(jiān)管。 視頻：配置基于IP地址的限速 16.5 配置擁塞管理和擁塞避免的示例規(guī)格組網(wǎng)需求適用于所有版本、所有形態(tài)的AR路由器(以8個(gè)隊(duì)列的接口舉例)。 如圖16-5所示，企業(yè)網(wǎng)內(nèi)部LAN側(cè)

24、的語(yǔ)音、視頻和數(shù)據(jù)業(yè)務(wù)通過(guò)SwitchA和SwitchB連接到RouterA的Eth2/0/0和Eth2/0/1上，并通過(guò)RouterA的GE3/0/0接口連接到WAN側(cè)網(wǎng)絡(luò)。 各類(lèi)報(bào)文被SwitchA和SwitchB打上不同的DSCP優(yōu)先級(jí)，語(yǔ)音、視頻和數(shù)據(jù)分別為ef（46）、af43(38)、af32（28）和af31（26），在RouterA上根據(jù)報(bào)文的DSCP優(yōu)先級(jí)入隊(duì)列，由于上行服務(wù)商提供的帶寬有限，在接口GE3/0/0出方向處可能會(huì)發(fā)生擁塞。為了減輕網(wǎng)絡(luò)擁塞造成的影響，保證用戶(hù)對(duì)于高優(yōu)先級(jí)、低延遲業(yè)務(wù)的服務(wù)要求，配置需求如下表所述： 表 16-1 擁塞避免配置參數(shù)業(yè)務(wù)類(lèi)型DSCP優(yōu)

25、先級(jí)隊(duì)列索引調(diào)度方式丟棄方式語(yǔ)音 465PQ尾丟棄 視頻 384WFQWRED： 閾值下限(%)：60 閾值上限(%)：80 丟棄概率(%)：20數(shù)據(jù) 28263WFQWRED： DSCP=28 閾值下限(%)：50 閾值上限(%)：70 丟棄概率(%)：30 DSCP=26 閾值下限(%)：40 閾值上限(%)：60 丟棄概率(%)：40視頻DSCP=38語(yǔ)音DSCP=46SwitchALAN數(shù)據(jù)DS語(yǔ)CP音=26 DSCP=268Eth2/0/0 Eth2/0/1GE3/0/0WAN視頻DSCP=38SwitchBRouterARouterB語(yǔ)音DSCP=46數(shù)據(jù)DSCP=26DSCP=2

26、8圖 16-5 配置擁塞避免和擁塞管理的組網(wǎng)圖操作步驟# sysname RouterA # vlan batch 20 30 # drop-profile data /創(chuàng)建WRED丟棄模板data wred dscp /配置當(dāng)前WRED丟棄模板基于DSCP優(yōu)先級(jí)進(jìn)行丟棄 dscp af31 low-limit 40 high-limit 60 discard-percentage 40 /配置對(duì)DSCP優(yōu)先級(jí)為26的報(bào)文的丟棄下限為40%， 丟棄上限為60%，最大丟棄概率為40% dscp af32 low-limit 50 high-limit 70 discard-percentage

27、30 /配置對(duì)DSCP優(yōu)先級(jí)為28的報(bào)文的丟棄下 限為50%， 丟棄上限為70%，最大丟棄概率為30% # drop-profile video /創(chuàng)建WRED丟棄模板video wred dscp /配置當(dāng)前WRED丟棄模板基于DSCP優(yōu)先級(jí)進(jìn)行丟棄 dscp af43 low-limit 60 high-limit 80 discard-percentage 20 /配置對(duì)DSCP優(yōu)先級(jí)為38的報(bào)文的丟棄下限為60%，丟棄上限為80%，最大丟棄概率為20% # qos queue-profile queue-profile1 /創(chuàng)建隊(duì)列模板queue-profile1 queue 3 dr

28、op-profile data /配置隊(duì)列3綁定名稱(chēng)為data的丟棄模板queue 4 drop-profile video /配置隊(duì)列4綁定名稱(chēng)為video的丟棄模板 schedule wfq 3 to 4 pq 5 /配置隊(duì)列34的調(diào)度模式為wfq，隊(duì)列5的調(diào)度模式為pq # interface Vlanif20 ip address 192.168.2.1 255.255.255.0 步驟1 RouterA的配置 # interface Vlanif30 ip address 192.168.3.1 255.255.255.0 # interface Ethernet2/0/0 port

29、 link-type trunk port trunk allow-pass vlan 20 trust dscp /配置接口信任報(bào)文的dscp優(yōu)先級(jí)# interface Ethernet2/0/1 port link-type trunk port trunk allow-pass vlan 30 trust dscp /配置接口信任報(bào)文的dscp優(yōu)先級(jí)# interface GigabitEthernet3/0/0 ip address 192.168.4.1 255.255.255.0 qos queue-profile queue-profile1 /在接口下應(yīng)用隊(duì)列模板queue-

30、profile1 # 步驟2 驗(yàn)證配置結(jié)果 # 執(zhí)行display qos queue statistics interface gigabitethernet 3/0/0命令查看接口GE3/0/0下各隊(duì)列的統(tǒng)計(jì)信息，執(zhí)行display qos queue statistics interface gigabitethernet 3/0/0 queue 3命令查看接口GE3/0/0下隊(duì)列3的統(tǒng)計(jì)信息，可以看到不同DSCP優(yōu)先級(jí)報(bào)文通過(guò)和丟棄的統(tǒng)計(jì)信息。 -結(jié)束 配置注意事項(xiàng) 請(qǐng)配置SwitchA、SwitchB與RouterA對(duì)接的接口為T(mén)runk類(lèi)型接口，并加入對(duì)應(yīng) VLAN。 請(qǐng)配置Rou

31、terB，確保RouterB與RouterA間路由可達(dá)。 使用隊(duì)列模板時(shí)，通過(guò)trust命令指定對(duì)報(bào)文按照其自身攜帶的某類(lèi)優(yōu)先級(jí)進(jìn)行優(yōu)先級(jí)映射，并根據(jù)映射后的本地優(yōu)先級(jí)值進(jìn)入不同的隊(duì)列。若不配置此命令報(bào)文按照端口優(yōu)先級(jí)入隊(duì)列。 使用CBQ時(shí)，設(shè)備根據(jù)IP優(yōu)先級(jí)或者DSCP優(yōu)先級(jí)、輸入接口、IP報(bào)文的五元組等規(guī)則來(lái)對(duì)報(bào)文進(jìn)行分類(lèi)，然后讓匹配流分類(lèi)規(guī)則的報(bào)文進(jìn)入對(duì)應(yīng)的EF、AF隊(duì)列。對(duì)于不匹配任何類(lèi)別的報(bào)文，送入系統(tǒng)定義的缺省類(lèi)，并按照按流的“會(huì)話(huà)”信息進(jìn)入BE隊(duì)列。 AR路由器不同接口支持不同的調(diào)度模式： 表 16-2 各接口支持的調(diào)度模式接口調(diào)度模式LAN接口 PQ DRR WRR PQ+DR

32、R PQ+WRR說(shuō)明 AR150&200系列設(shè)備上的二層FE接口不支持DRR調(diào)度模式，僅支持PQ、WRR和PQ+WRR模式。 AR160（AR161、AR161W、AR169、AR169EW、AR169CVW、AR169CVW-4B4S、AR169EGW-L、AR161G-L、AR161EW、AR161EW- M1、AR161G-Lc、AR161G-U、AR169G-L、AR169W-P-M9、AR169RW-P-M9和AR169-P-M9除外） 系列設(shè)備上的二層GE接口不支持DRR 調(diào)度模式，僅支持PQ、WRR和PQ+WRR模式。 AR1200系列（AR1220E、AR1220EV和AR12

33、20EVW除外）主控板上的FE接口不支持DRR調(diào)度模式，僅支持PQ、WRR和PQ+WRR模式。 二層VE接口僅支持WAN接口的調(diào)度模式，即PQ、WFQ和PQ+WFQ。 WAN接口 PQ WFQ PQ+WFQ AR150&200的二層FE接口、AR1200主控板上的FE接口出方向僅有4條隊(duì)列，其余接口出方向上都擁有8個(gè)隊(duì)列。 16.6 配置禁止 BT 下載的示例規(guī)格組網(wǎng)需求適用于ARV200R002C00及更高版本、所有形態(tài)的AR路由器。 說(shuō)明SAC功能使用License授權(quán)，缺省情況下，設(shè)備的SAC功能受限無(wú)法使用。如果需要使用SAC功能，請(qǐng)根據(jù)設(shè)備款型聯(lián)系華為辦事處申請(qǐng)并購(gòu)買(mǎi)License。

34、 如圖16-6所示，企業(yè)內(nèi)部用戶(hù)通過(guò)交換機(jī)連接到RouterA的Eth2/0/0，并通過(guò)RouterA的 GE0/0/1接口連接到WAN側(cè)網(wǎng)絡(luò)。 現(xiàn)在要求在RouterA上通過(guò)配置基于智能應(yīng)用控制SAC（Smart Application Control）的流分類(lèi)，禁止企業(yè)用戶(hù)進(jìn)行BT下載。 圖 16-6 配置禁止 BT 下載的組網(wǎng)圖Enterprise usersEth2/0/0GE0/0/1WANSwitchRouterARouterBBT Server操作步驟# sysname RouterA # vlan batch 20 # # traffic classifier c1 opera

35、tor or /創(chuàng)建流分類(lèi)c1 # traffic behavior b1 /創(chuàng)建流行為b1 deny /禁止匹配指定規(guī)則的報(bào)文流通過(guò)# traffic policy p1 /創(chuàng)建流策略p1 classifier c1 behavior b1 /將流分類(lèi)和對(duì)應(yīng)的流行為進(jìn)行綁定# interface Vlanif20 ip address 192.168.2.1 255.255.255.0 traffic-policy p1 inbound /將流策略p1應(yīng)用到接口入方向# interface Ethernet2/0/0 port link-type trunk /配置接口的鏈路類(lèi)型為T(mén)runk

36、 port trunk allow-pass vlan 20 /配置Trunk類(lèi)型接口加入vlan 20 # interface GigabitEthernet0/0/1 ip address 192.168.4.1 255.255.255.0 traffic-policy p1 inbound /將流策略p1應(yīng)用到接口入方向# 步驟1 RouterA的配置 步驟2 驗(yàn)證配置結(jié)果 -結(jié)束 配置注意事項(xiàng) 請(qǐng)配置Switch與RouterA對(duì)接的接口為T(mén)runk類(lèi)型接口，并加入對(duì)應(yīng)VLAN。 請(qǐng)配置RouterB，確保RouterB與RouterA間路由可達(dá)。 指定特征庫(kù)名稱(chēng)時(shí)，一般要求用戶(hù)輸入完

37、整的路徑和名稱(chēng)，防止恢復(fù)配置時(shí)出錯(cuò)。 16.7 配置基于源 MAC 地址控制訪問(wèn)的示例規(guī)格組網(wǎng)需求適用于所有版本、所有形態(tài)的AR路由器。 如圖16-7所示，Router為企業(yè)網(wǎng)關(guān)，企業(yè)內(nèi)部用戶(hù)通過(guò)Router訪問(wèn)互聯(lián)網(wǎng)?，F(xiàn)要求限制局域網(wǎng)內(nèi)某些主機(jī)訪問(wèn)互聯(lián)網(wǎng)，但是由于這些主機(jī)可以變換IP地址，所以通過(guò) 限制不能有效防范，最合適的做法是基于源MAC地址進(jìn)行限制。在本例中可以實(shí)現(xiàn)限制某些主機(jī)訪問(wèn)互聯(lián)網(wǎng)，但是可以訪問(wèn)網(wǎng)關(guān)。 圖 16-7 配置組網(wǎng)圖0015-c50d-00010015-c50d-0002LANSwitchEth2/0/0 VLANIF 10 10.1.1.1/24RouterWAN00

38、15-c50d-0003操作步驟# sysname Router # vlan batch 10 # acl number 3001 /配置編號(hào)為3001的編號(hào)型訪問(wèn)控制列表 rule 1 permit ip destination 10.1.1.0 0.0.0.255 /配置規(guī)則1，指定匹配目的地址為10.1.1.1/24（即網(wǎng)關(guān)地址） # traffic classifier gate operator and if-match acl 3001 /配置流分類(lèi)gate，指定匹配ACL 3001 traffic classifier mac1 operator and if-match so

39、urce-mac 0015-c50d-0001 /配置流分類(lèi)mac1，指定匹配源地址為0015-c50d-0001 traffic classifier mac2 operator and if-match source-mac 0015-c50d-0002 /配置流分類(lèi)mac2，指定匹配源地址為0015-c50d-0002 traffic classifier mac3 operator and if-match source-mac 0015-c50d-0003 /配置流分類(lèi)mac3，指定匹配源地址為0015-c50d-0003 # traffic behavior p1 permit /

40、配置流行為p1為允許通過(guò) 步驟1 Router的配置 traffic behavior d1 deny /配置流行為d1為拒絕并丟棄# traffic policy myqos /配置流策略myqos classifier gate behavior p1 /綁定流分類(lèi)gate與流行為p1 classifier mac1 behavior d1 /綁定流分類(lèi)mac1與流行為d1 classifier mac2 behavior d1 /綁定流分類(lèi)mac2與流行為d1 classifier mac3 behavior d1 /綁定流分類(lèi)mac3與流行為d1 # interface Vlanif1

41、0 ip address 10.1.1.1 255.255.255.0 traffic-policy myqos inbound /在接口入方向應(yīng)用流策略myqos # interface Ethernet2/0/0 port link-type trunk /配置接口的鏈路類(lèi)型為T(mén)runk port trunk allow-pass vlan 10 /配置Trunk類(lèi)型接口加入vlan 10 # 步驟2 驗(yàn)證配置結(jié)果 # 執(zhí)行display traffic policy user-defined 命令查看配置的流策略信息。 在被限制的主機(jī)上可以成功Ping通網(wǎng)關(guān)地址，但不能Ping通非LAN

42、內(nèi)的IP地址。 -結(jié)束 配置注意事項(xiàng)相關(guān)資料 請(qǐng)配置Switch與Router對(duì)接的接口為T(mén)runk類(lèi)型接口，并加入VLAN10。 由于在接口下應(yīng)用流策略后，報(bào)文依次匹配流策略中的流分類(lèi)，所以在配置流策略myqos時(shí)，必須先配置允許訪問(wèn)網(wǎng)關(guān)的流分類(lèi)和流行為，再配置禁止訪問(wèn)互聯(lián)網(wǎng)的流分類(lèi)和流行為。 視頻：通過(guò)配置MAC地址過(guò)濾，限制指定用戶(hù)上網(wǎng) 16.8 配置雙出口實(shí)現(xiàn)內(nèi)部互訪和重定向的示例規(guī)格組網(wǎng)需求適用于所有版本、所有形態(tài)的AR路由器。 RouterA部署在企業(yè)網(wǎng)的出口處，企業(yè)網(wǎng)中有2個(gè)不同的網(wǎng)段連接到RouterA從而訪問(wèn)兩臺(tái)服務(wù)器ServerA（222.1.1.1/24）和ServerB

43、（111.1.1.1/24）?，F(xiàn)要求將來(lái)自192.168.10.0/24用戶(hù)組的數(shù)據(jù)流強(qiáng)制通過(guò)ServerB訪問(wèn)WAN，并實(shí)現(xiàn)企業(yè)網(wǎng)內(nèi)部用戶(hù)組 192.168.10.0/24與192.168.20.0/24的互訪。 圖 16-8 雙出口實(shí)現(xiàn)內(nèi)部互訪及重定向的組網(wǎng)圖WAN222.1.1.1/24ServerA111.1.1.1/24ServerBGE2/0/0Eth2/0/0GE1/0/0RouterASwitchEnterprise users192.168.10.0/24192.168.20.0/24操作步驟# sysname RouterA # vlan batch 10 20 # acl

44、 number 3001 /配置編號(hào)為3001的編號(hào)型訪問(wèn)控制列表 rule 5 permit ip source 192.168.10.0 0.0.0.255 /配置規(guī)則5，允許源地址為192.168.10.0網(wǎng)段的報(bào)文通過(guò) rule 10 permit ip source 192.168.20.0 0.0.0.255 /配置規(guī)則10，允許源地址為192.168.20.0網(wǎng)段的報(bào)文通過(guò) acl number 3002 /配置編號(hào)為3002的編號(hào)型訪問(wèn)控制列表 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.

45、20.0 0.0.0.255 /配置規(guī)則5，允許源地址為192.168.10.0網(wǎng)段且目的地址為192.168.20.0網(wǎng)段的報(bào)文通過(guò) rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 /配置規(guī)則10， 允許源/目的地址均為192.168.10.0網(wǎng)段的報(bào)文通過(guò) acl number 3003 /配置編號(hào)為3003的編號(hào)型訪問(wèn)控制列表 rule 5 permit ip source 192.168.10.0 0.0.0.255 /配置規(guī)則5，允許源地址為192.168.10.0網(wǎng)

46、段的報(bào)文通過(guò) 步驟1 RouterA的配置 # traffic classifier c2 operator or if-match acl 3003 /配置流分類(lèi)c2：匹配規(guī)則為ACL 3003 traffic classifier c1 operator or if-match acl 3002 /配置流分類(lèi)c1：匹配規(guī)則為ACL 3002 # traffic behavior b2 redirect ip-nexthop 111.1.1.1 /配置流行為b2：對(duì)匹配流分類(lèi)的報(bào)文重定向到111.1.1.1，實(shí)現(xiàn)重定向traffic behavior b1 /配置流行為b1：默認(rèn)為允許通過(guò)，

47、實(shí)現(xiàn)部門(mén)內(nèi)互訪 # traffic policy pp classifier c1 behavior b1 classifier c2 behavior b2 /配置流策略pp：綁定流分類(lèi)c1與流行為b1，流分類(lèi)c2與流行為b2 # interface Vlanif10 ip address 192.168.10.1 255.255.255.0 # interface Vlanif20 ip address 192.168.20.1 255.255.255.0 # interface Ethernet2/0/0 port link-type trunk /配置接口的鏈路類(lèi)型為T(mén)runk por

48、t trunk allow-pass vlan 10 20 /配置Trunk類(lèi)型接口加入vlan 10和vlan 20 traffic-policy pp inbound /在接口入方向上應(yīng)用流策略pp # interface GigabitEthernet2/0/0 ip address 222.1.1.2 255.255.255.0 nat outbound 3001 /在接口上對(duì)匹配ACL 3001的報(bào)# interface GigabitEthernet1/0/0 ip address 111.1.1.2 255.255.255.0 nat outbound 3001 /在接口上對(duì)匹配

49、ACL 3001的報(bào)# ip route-static 0.0.0.0 0.0.0.0 222.1.1.1 # NAT NAT 步驟2 驗(yàn)證配置結(jié)果 # 執(zhí)行display traffic policy user-defined命令查看配置的流策略信息，執(zhí)行display traffic-policy applied-record命令查看流策略是否應(yīng)用成功。 # 企業(yè)內(nèi)192.168.10.0/24網(wǎng)段的用戶(hù)組之間可以互訪并且可以與192.168.20.0/24的用戶(hù)組互訪。 -結(jié)束 配置注意事項(xiàng)相關(guān)資料 請(qǐng)配置Switch與不同的網(wǎng)段用戶(hù)對(duì)接的接口為Access類(lèi)型接口，并將其加入對(duì)應(yīng) VL

50、AN。 請(qǐng)配置Switch與RouterA對(duì)接的接口為T(mén)runk類(lèi)型接口，并加入對(duì)應(yīng)VLAN。 由于在接口下應(yīng)用流策略后，報(bào)文依次匹配流策略中的流分類(lèi)，所以在配置流策略pp時(shí)，必須先配置內(nèi)部互訪的流分類(lèi)與流行為，再配置重定向的流分類(lèi)和流行為。 視頻： 配置雙出口的重定向 配置通過(guò)ACL禁止兩個(gè)網(wǎng)段互訪 16.9 配置隊(duì)列模板實(shí)現(xiàn)擁塞管理和擁塞避免的示例規(guī)格組網(wǎng)需求適用于所有版本、所有形態(tài)的AR路由器。 企業(yè)網(wǎng)內(nèi)部的語(yǔ)音、視頻和數(shù)據(jù)業(yè)務(wù)通過(guò)Switch連接到RouterA的Eth2/0/0上，并通過(guò)RouterA的GE3/0/0接口連接到WAN側(cè)網(wǎng)絡(luò)。各類(lèi)報(bào)文以源IP地址進(jìn)行區(qū)分，語(yǔ)音報(bào)文來(lái)自1

51、92.168.10.2/24，視頻報(bào)文來(lái)自192.168.20.2/24，數(shù)據(jù)報(bào)文來(lái)自192.168.30.2/24，現(xiàn)在用戶(hù)希望對(duì)三類(lèi)報(bào)文分別進(jìn)行帶寬保證，語(yǔ)音報(bào)文占接口實(shí)際可用帶寬的50%，視頻報(bào)文占接口實(shí)際可用帶寬的40%，數(shù)據(jù)報(bào)文占接口實(shí)際可用帶寬的5%。 圖 16-9 配置隊(duì)列實(shí)現(xiàn)擁塞避免與擁塞管理的組網(wǎng)圖視頻192.168.20.2/24數(shù)據(jù)192.168.30.2/24語(yǔ)音SwitchEth2/0/0GE3/0/0WAN RouterA192.168.10.2/24操作步驟# sysname RouterA # vlan batch 10 20 30 # acl number 3

52、001 /配置編號(hào)3001的編號(hào)型訪問(wèn)控制列表 rule 5 permit ip source 192.168.10.0 0.0.0.255 /配置規(guī)則5，允許源地址為192.168.10.0網(wǎng)段的報(bào)文通過(guò) rule 10 permit ip source 192.168.20.0 0.0.0.255 /配置規(guī)則10，允許源地址為192.168.20.0網(wǎng)段的報(bào)文通過(guò) rule 15 permit ip source 192.168.30.0 0.0.0.255 /配置規(guī)則15，允許源地址為192.168.30.0網(wǎng)段的報(bào)文通過(guò) acl number 3002 /配置編號(hào)3002的編號(hào)型訪問(wèn)控

53、制列表 rule 5 permit ip source 192.168.10.0 0.0.0.255 /配置規(guī)則5，允許源地址為192.168.10.0網(wǎng)段的報(bào)文通過(guò) acl number 3003 /配置編號(hào)3003的編號(hào)型訪問(wèn)控制列表 rule 5 permit ip source 192.168.20.0 0.0.0.255 /配置規(guī)則5，允許源地址為192.168.20.0網(wǎng)段的報(bào)文通過(guò) acl number 3004 /配置編號(hào)3004的編號(hào)型訪問(wèn)控制列表 rule 5 permit ip source 192.168.30.0 0.0.0.255 /配置規(guī)則5，允許源地址為192.168.30.0網(wǎng)段的報(bào)文通過(guò) # 步驟1 RouterA的配置 traffic classifier c3 operator or if-match acl 3004 /配置流分類(lèi)c3：匹配規(guī)則為ACL 3004 traffic classifier c2 operator or if-match acl 3003 /配置流分類(lèi)c2：匹配規(guī)則為ACL