Ограничение скорости – это одно из первых действий, которое нужно сделать в сетевом экране при его внедрении в работу. Если какой-то пользователь вдруг начнет скачивать большие объемы данных и займет весь доступный канал, то у остальных пользователей доступ в Интернет будет тормозить и зависать, или вообще его не будет. Поэтому нужно принимать меры заранее. Рассмотрены два варианта настройки ограничения: попроще и посложнее.
Базовая настройка сетевого экрана представлена тут. Она должна быть выполнена перед работой с управление полосой пропускания (Bandwidth Management) и политиками трафика чтоб был доступ в Интернет.
На данной странице представлено простое ограничение. Не самый лучший вариант. Несколько отдельных не связанных правил для админов (серверов, руководства) и для простых пользователей. Преимущество метода в простоте и быстрой настройке. Недостаток – нет приоритета и взаимодействия между правилами. Нормально работает, пока нет конкуренции за канал.
Порядок действий такой: создадим одну привилегированную группу (руководство, сервера, админы, конференц-зал и тп) с конкретным указанием IP-адресов и добавим в политику. В этой группе будет высокая скорость для трафика. Далее создадим еще одну политику, в которой не будем конкретно указывать IP-адреса, т.е. туда попадут все остальные. Это будет более ограниченная группа. Лимиты для политик настраиваются в профиле. В данном случае тариф 100/50Мбит/сек. В группу с админами определено 90/45Мбит/сек, юзерам в два раза меньше. Каждый делит свой траффик как хочет, на цифры ориентироваться не нужно, это просто пример последовательности действий. Переходим к настройке.
Объект IP-адреса.
Добавляем объекты для администраторов, серверов и всех остальных, кому планируется повышенная скорость.
Через CLI.
|
1 2 |
ip address-set ADMIN type object address 0 192.168.100.2 mask 32 |
Группа IP-адресов.
Объединяем все созданные объекты IP-адресов в группу, чтоб потом применить ее в политике.
Через CLI.
|
1 2 |
ip address-set ADMINS-LIMIT-GROUP type group address 0 address-set ADMIN |
Профиль для трафика админов.
В разделе Bandwidth Management создаем профиль для трафика – шаблон, определяющий максимальную и гарантированную полосу пропускания, а так же некоторые другие настройки.
Name — любое понятное название.
Global Traffic Limiting – глобальное ограничение трафика. Устанавливает общие ограничения на пропускную способность для всего трафика. Кроме глобального есть выделенное ограничение на IP или пользователя (Per-IP/User).
Upstream Bandwidth — исходящая пропускная способность (от локальной сети к внешней).
Maximum: 45Mbps – предельное значение полосы пропускания для исходящего трафика.
Guaranteed: 10 Mbps – гарантированная пропускная способность исходящего трафика.
Downstream Bandwidth — входящая пропускная способность (из внешней сети в локальную).
Maximum: 90Mbps – предельное значение полосы пропускания для входящего трафика
Guaranteed:10 – гарантированная пропускная способность входящего трафика.
Для данного профиля трафика зарезервировано минимум 10 Мбит/с для загрузки и скачивания. Даже при высокой нагрузке устройство будет обеспечивать такой резерв полосы пропускания для этого трафика, если он требуется. Ниже чем это значение у админов скорость никогда не опустится. Гарантированная полоса пропускания всегда должна выбираться меньше максимальной полосы пропускания.
При достижении максимальных указанных значений дальнейшая передача данных может быть отброшена или задержана.
Через CLI.
|
1 2 3 4 5 6 7 8 |
system-view traffic-policy profile ADMINS-TRAFFIC-PROFILE bandwidth maximum-bandwidth whole upstream 45000 bandwidth guaranteed-bandwidth whole upstream 10000 bandwidth maximum-bandwidth whole downstream 95000 bandwidth guaranteed-bandwidth whole downstream 10000 quit |
Политика трафика админов.
Создаем новую политику трафика.
Name — любое понятное название.
Inbound Interface – входящий интерфейс.
Outbound Interface – исходящий интерфейс.
Source Address/Region – источник трафика (созданная группа).
Action:
Limit – применяет ограничения, заданные в Traffic Profile.
None – пропускает трафик без ограничений.
Traffic Profile — выбираем созданный ранее профиль трафика для админов.
После этой настройки политика начнет ограничивать скорость у пользователей в выбранной группе согласно лимитам в профиле.
Через CLI.
|
1 2 3 4 5 6 7 8 |
system-view traffic-policy rule name ADMINS-TRAFFIC-POLICY ingress-interface GigabitEthernet0/0/1 egress-interface GigabitEthernet0/0/9 source-address address-set ADMINS-LIMIT-GROUP action qos profile ADMINS-TRAFFIC-PROFILE quit |
Профиль для пользователей.
Аналогично создается профиль для пользователей.
Разница с профилем админов в уменьшенных значениях максимальной и гарантированной полосы пропускания.
Через CLI.
|
1 2 3 4 5 6 7 |
traffic-policy profile USERS-TRAFFIC-PROFILE bandwidth maximum-bandwidth whole upstream 20000 bandwidth guaranteed-bandwidth whole upstream 10000 bandwidth maximum-bandwidth whole downstream 40000 bandwidth guaranteed-bandwidth whole downstream 10000 quit |
Политика для USERS.
После этой настройки у всех остальных пользователей скорость ограничится согласно лимитам в профиле.
Через CLI.
|
1 2 3 4 5 6 |
traffic-policy rule name USERS-TRAFFIC-POLICY ingress-interface GigabitEthernet0/0/1 egress-interface GigabitEthernet0/0/9 action qos profile USERS-TRAFFIC-PROFILE quit |
Политика для конкретного пользователя.
Если нужно кого-то особо ограничить, то в самом верху списка политик трафика нужно создать еще одно правило с указанием конкретного IP-адреса, в профиле указать разрешенные скорости (по минимуму).
Через CLI.
|
1 2 3 4 5 6 7 |
Traffic-policy profile USER1-LIMIT-PROFILE bandwidth maximum-bandwidth whole upstream 5000 bandwidth guaranteed-bandwidth whole upstream 1000 bandwidth maximum-bandwidth whole downstream 5000 bandwidth guaranteed-bandwidth whole downstream 1000 quit |
|
1 2 3 4 5 6 7 |
traffic-policy rule name USER1-LIMIT-POLICY ingress-interface GigabitEthernet0/0/1 egress-interface GigabitEthernet0/0/9 source-address address-set USER1 action qos profile USER1-LIMIT-PROFILE quit |
Расположение.
|
1 |
display traffic-policy rule all |
Как это работает.
Правила применяются сверху вниз. В каждом правиле проверяются условия (интерфейс входа и выхода, источник, и тп). Правила срабатывают при первом совпадении – выполняется действие. После совпадения дальнейшие правила не проверяются.
USER1 подключается в Интернет и начинает скачивать. Проверяется первая по порядку политика USER1-LIMIT-POLICY и согласно настройкам в профиле этой политики USER1-LIMIT-PROFILE скорость ограничивается. Дальше по политикам проверка не производится.
ADMIN подключается в Интернет. Проверяется политика 1 – нет совпадения. Проверяется политика 2 – есть совпадение (ADMIN в группе, указанной в поле источника). Разрешена максимальная скорость.
Произвольный пользователь подключается в Интернет. Проверяется политика 1 и 2 – нет совпадения. Остается политика 3 где все остальные возможные пользователи any. Пользователь подходит под условия политики. Скорость ограничивается.
Default-политика разрешает все без ограничений. В нее попадает остальной трафик, не подошедший к другим политикам. Но по факту такого трафика нет, потому что USERS-TRAFFIC-POLICY очень широкого охвата и применяется ко всему остальному трафику. Это именно тот путь, который и предлагают разработчики Huawei. Default-политику отключить или отредактировать нельзя.
В итоге скорости лимитируются. Например тест скорости от произвольного пользователя.
Канал предоставляется для всех без равномерного распределения и приоритетов. Это главный недостаток. Такой вариант подходит для небольшой сети или как временное решение. В нашей сети такой вариант первоначально работал, пока не было возможности разобраться с иерархическими политиками. Это лучше чем ничего.
Переходим к более совершенному варианту. (ССЫЛКА)