基于Qos ACL的端口限速策略的应用

【 摘 要 】 端口限速是一种保障网络通讯不受延迟或中断，有效地防止无节制地占用网络带宽资源的技术策略。文章简单介绍了Qos与ACL的相关概念，从校园网络管理实际出发引出问题，然后确定解决问题的方案，并详细说明了方案实施的过程与步骤，最后对本策略应用进行了简要总结。

【 关键词 】 Qos；ACL；端口限速；带宽

The Application of the Port Rate Limit Strategy Basing on the Qos ACL

Zhu Xi-jiang

(Network Management Center Zibo Normal College ShandongZibo 255130)

【 Abstract 】 The technology of Port Rate Limit is a technical strategy to ensure the network communication without delay or interruption, which can effectively avoid the uncontrolled using of the network bandwidth resources. Firstly we introduced briefly some of the Qos ACL-related concepts, and posed some questions basing on the reality of campus network management, and then we provided a problem-solving programme and elaborated on the process and steps of it’s implementation. In the end of the paper we gave a concise summary of the application of the Port Rate Limit basing on the Qos ACL.

【 Keywords 】 Qos; ACL; port rate limit; bandwidth

0 引言

Qos是Quality of Service（服务质量）的简称，它是一种用来解决网络延迟和网络阻塞等问题的网络安全机制。在一般的Web、Email、FTP等网络服务系统中，并不需要QoS，但在关键网络应用或多媒体应用中则十分必要。当网络过载或拥塞时，QoS 能确保重要业务不被中断或延迟，同时保证网络的高效运行。ACL是Access Control Lists（访问控制列表）的简称，它通过过滤网络设备进出端口的数据包，达到网络资源不被非法访问，异常流量不予通过的目的，实现网络安全控制，提高网络带宽利用率。ACL根据使用方式的不同主要分为安全ACL和 QoS ACL两大类型。本文结合校园网络管理中遇到的实际问题，利用交换机的Qos ACL安全控制技术，成功实施了端口限速策略在接入交换机中的应用。

1 提出问题

学校网络中心最近接到三号公寓许多网络用户的投诉，他们普遍抱怨上网速度比以前慢了很多，有时还很不稳定，甚至网页也不能打开，网速慢的让人无法忍受。于是，网管人员telnet登录该公寓接入交换机查看交换机的工作状态，但多次尝试竟然均告失败。无奈，只好到公寓设备间，现场通过超级终端和Sniffer抓包等手段，排除了ARP欺骗，但发现交换机级联端口的输入输出流量特别大，远远超出正常流量。接着又检查了其他普通交换端口，发现有几个端口的流量也很大，而且交换机的CPU资源消耗达90%以上。综合各种情况最后分析得出，由于部分用户的大流量无节制地消耗网络带宽，引起网络拥塞，严重影响了网络性能，造成网络不能正常使用。于是，我们决定对该交换机进行进一步技术管制，以保障公寓网络的正常运行。

2 确定解决方案

要解决上述问题，通常有两种方案可供选择：一是扩大现有网络带宽，让用户在更高带宽的网络上自由驰骋；二是保持现有网络带宽不变，对交换机端口进行速率限制，确保每个上网用户不能过度占用带宽资源。显然，第一种方案会增加网络成本，而且并不能从根本上避免用户无节制占用带宽资源的问题，而第二种方案既不用改变现有组网结构，也不用额外增加网络成本。因此，通过对以上两种方案的综合权衡，网管人员决定采用第二种方案，从优化网络配置入手，启用交换机的Qos ACL端口限速功能来解决问题，这样交换机受到大流量数据包冲击的几率就大大降低了，以此确保网络的稳定运行。网络拓朴如图1：（F0/24端口为交换机上联端口，用户IP段为172.16.3.0/24）。

3 方案实施过程与操作步骤

3.1 方案实施过程

根据确定的解决方案和三号公寓网络区域拓朴，网管人员对该公寓接入交换机（型号为RG-S2126）进行了基于Qos ACL的端口限速策略的部署。实施过程如下：

（1）定义访问控制列表(ACL)，设定需要限速的数据流。

（2）定义类(CLASS)，并在类上绑定定义的访问控制列表(ACL)。

（3）定义策略(POLICY)，在策略上设定相应的带宽，并绑定定义的类（CLASS）。

（4）启用Qos，将定义的策略应用到交换机相应端口上。

3.2 方案操作步骤

（1）定义访问控制列表ACL，设定需要限速的数据流。

1）定义ACL，控制进入端口源地址为172.16.3.0/24的上行数据流。

Switch(config)# ip access-list extended up1

Switch(config-ext-nacl)# permit ip 172.16.3.0 0.0.0.255 any

Switch(config-ext-nacl)# deny ip any any

Switch(config-ext-nacl)# exit

Switch(config)# ip access-list extended up2

Switch(config-ext-nacl)# permit tcp 172.16.3.0 0.0.0.255 any

Switch(config-ext-nacl)# deny tcp any any

Switch(config-ext-nacl)# exit

2）定义ACL，控制进入端口目标地址为172.16.3.0/24的下行数据流。

Switch(config)# ip access-list extended down1

Switch(config-ext-nacl)# permit ip any 172.16.3.0 0.0.0.255

Switch(config-ext-nacl)# deny ip any any

Switch(config-ext-nacl)# exit

Switch(config)# ip access-list extended down2

Switch(config-ext-nacl)# permit tcp any 172.16.3.0 0.0.0.255

Switch(config-ext-nacl)# deny tcp any any

Switch(config-ext-nacl)# exit

说明：这一步非常重要，必须分别定义限速网络号或主机的上行和下行两个方向的ACL访问控制列表，才能使得交换机端口在启用Qos后更好地实现对上网用户上传和下载双向速率的控制。

（2）定义类(CLASS)，并在类上绑定定义的访问控制列表(ACL)。

Switch(config)# class-map classmap_up1

! 定义分类映射图classmap_up1

Switch(config-cmap)# match access-group up1 !将分类映射图classmap_up1绑定ACL访问控制列表up1

Switch(config-cmap)# exit

Switch(config)# class-map classmap_up2

! 定义分类映射图classmap_up2

Switch(config-cmap)# match access-group up2 !将分类映射图classmap_up2绑定ACL访问控制列表up2

Switch(config-cmap)# exit

Switch(config)# class-map classmap_down1

! 定义分类映射图classmap_down1

Switch(config-cmap)# match access-group down1 !将分类映射图classmap_down1绑定ACL访问控制列表down1

Switch(config-cmap)# exit

Switch(config)# class-map classmap_down2

! 定义分类映射图classmap_down2

Switch(config-cmap)# match access-group down2 !将分类映射图classmap_down2绑定ACL访问控制列表down2

Switch(config-cmap)# exit

说明：由于一个分类同时只能绑定一个访问控制列表，所以必须分别定义多个分类映射图，以实现与定义的控制双向数据流ACL的一一绑定。

（3）定义策略(POLICY)，在策略上设定相应的带宽，并绑定定义的类（CLASS）。

Switch(config)# policy-map up

! 定义策略映射图up

Switch(config-pmap)# class classmap_up1

!将策略映射图up绑定分类映射图classmap_up1

Switch(config-pmap-c)#police 1000000 65536 exceed-action drop

!设置限制带宽1Mbps，猝发流量65536byte

Switch(config-pmap)# class classmap_up2

!将策略映射图up绑定分类映射图classmap_up2

Switch(config-pmap-c)#police 1000000 65536 exceed-action drop

!设置限制带宽1Mbps，猝发流量65536byte

Switch(config-pmap-c)# end

Switch(config)# policy-map down

! 定义策略映射图down

Switch(config-pmap)# class classmap_down1

!将策略映射图down绑定分类映射图classmap_down1

Switch(config-pmap-c)#police 1000000 65536 exceed-action drop

!设置限制带宽1Mbps，猝发流量65536byte

Switch(config-pmap)# class classmap_down2

!将策略映射图down绑定分类映射图classmap_down2

Switch(config-pmap-c)#police 1000000 65536 exceed-action drop

!设置限制带宽1Mbps，猝发流量65536byte

Switch(config-pmap-c)# end

说明：由于一个策略可同时绑定多个类，所以只需要定义上行和下行两个策略映射图就可以绑定已经定义的多个分类映射图。限制上行和下行带宽速率均为1Mbps，猝发数据量为64k/8usec，超过限制值则丢弃数据包。

（4）启用Qos，将定义的策略应用到交换机相应端口上。

Switch(config)# interface range f 0/1-23

Switch(config-if-range)# mls qos trust cos

!启用QoS，设置接口的Qos信任模式为cos

Switch(config-if-range)# service-policy input up !应用带宽限制策略up

Switch(config-if-range)# exit

Switch(config)# interface f 0/24

Switch(config-if)# switch mode trunk

!配置上联端口为干道模式trunk

Switch(config-if)# mls qos trust cos

!启用QoS，设置接口的Qos信任模式为cos

Switch(config-if)# service-policy input down

!应用带宽限制策略down

Switch(config-if)# exit

说明：启用交换机端口的Qos，将上行策略应用于所有接入端口F0/1-23，下行策略应用于交换机上联端口F0/24。限速策略只对端口的Input方向有效，而且每个端口只支持一个策略，需要分别在交换机普通接入端口和上联端口分别应用策略才能实现双向限速控制。

（5）查看定义的ACL，验证其配置的正确性。

Switch# show access-lists

Extended IP access list: up1

permit ip 172.16.3.0 0.0.0.255 any

deny ip any any

Extended IP access list: up2

permit tcp 172.16.3.0 0.0.0.255 any

deny tcp any any

Extended IP access list: down1

permit ip any 172.16.3.0 0.0.0.255

deny ip any any

Extended IP access list: down2

permit tcp any 172.16.3.0 0.0.0.255

deny tcp any any

说明：查看定义的访问控制列表是否正确。

（6）查看定义的类与策略，验证其配置的正确性。

Switch# show class-map !查看分类映射图

Class Map Name: classmap_down1

Match access-group name: down1

Class Map Name: classmap_down2

Match access-group name: down2

Class Map Name: classmap_up1

Match access-group name: up1

Class Map Name: classmap_up2

Match access-group name: up2

Switch#show policy-map !查看策略映射图

Policy Map Name: down

Class Map Name: classmap_down1

Rate bps limit(bps): 1000000

Burst byte limit(byte): 65536

Exceed-action: drop

Class Map Name: classmap_down2

Rate bps limit(bps): 1000000

Burst byte limit(byte): 65536

Exceed-action: drop

Policy Map Name: up

Class Map Name: classmap_up1

Rate bps limit(bps): 1000000

Burst byte limit(byte): 65536

Exceed-action: drop

Class Map Name: classmap_up2

Rate bps limit(bps): 1000000

Burst byte limit(byte): 65536

Exceed-action: drop

说明：查看定义的类、策略及带宽限制值是否正确。

（7）查验交换机端口Qos策略应用的正确性。

Switch# show mls qos interface f0/10

!查验任一普通端口的Qos策略应用

Interface: Fa0/10

Attached policy-map: up

Trust state: cos

Default COS: 0

Switch# show mls qos interface f0/24

!查验上联端口的Qos策略应用

Interface: Fa0/24

Attached policy-map: down

Trust state: cos

Default COS: 0

说明：分别查验普通接入端口和上联端口的Qos策略应用是否准确。

4 结束语

以前，端口限速策略通常用在三层交换机上，但近几年国内厂商新出的大多数标准二层交换机也能支持Qos端口限速，而且限速粒度能达到1Mbps，如锐捷、H3C、中兴的标准二层交换机都可以实现。正源于此，我们才能对三号公寓的锐捷S2126交换机成功应用Qos ACL端口限速策略，在既没有改变现有网络结构也没有增加网络管理维护成本的情况下，有效地解决了用户无节制占用带宽、严重影响网络性能的问题，经过一段时间的运行证实，这一策略运用于像公寓网络这类中小规模、拓朴结构简单的网络中是非常稳定可靠的。

参考文献

[1] 张巍娜.QoS与ACL的配置及应用[J].赤峰学院学报,2009,(2).

[2] 李娟.Ad Hoc 网络中基于 DSR 的 QoS 路由协议研究[J].计算机与现代化,2008,(1).

[3] 关天敏.ACL应用技术与配置实例[J].中国教育网络,2011,(12).

[4] 李瑞祥,崔冬梅.主流三层交换机端口限速设置方法总结[J].中国有线电视,2011,(3).

[5] 高峡,陈智罡.网络设备互连学习指南[M].北京:科学出版社,2009.

作者简介：

朱西讲（1975-），男，山东沂源人，硕士，淄博师范高等专科学校网管中心副主任，讲师；研究方向：计算机网络与应用。