怎么低成本地管理企業(yè)內(nèi)網(wǎng)流量
隨著企業(yè)內(nèi)網(wǎng)絡(luò)交換機(jī)的升級,端口速率越來越高,網(wǎng)絡(luò)帶寬也隨之而增加,本來應(yīng)當(dāng)讓人感覺越來越快的網(wǎng)絡(luò),卻依然像蝸牛一樣慢。原因到底出在哪里呢?那么,下面YJBYS小編帶來好的辦法來解決這個(gè)問題!
借助交換機(jī)限制
Cisco交換機(jī)提供了簡單的對端口或用戶帶寬的限制,可以在某種程度上限制用戶對網(wǎng)絡(luò)的濫用。不過,由于Cisco設(shè)備只能限制端口而不能限制具體的網(wǎng)絡(luò)應(yīng)用協(xié)議,通常只是簡單地進(jìn)行帶寬限制,往往會在限制用戶濫用帶寬的同時(shí),也影響用戶正常網(wǎng)絡(luò)應(yīng)用和連接。
基于用戶的傳輸速率限制
基于用戶的傳輸速率限制(UBRL)采用Microflow策略功能,可以將每個(gè)流都作為唯一的流進(jìn)行控制。Cisco Catalyst 4500/E和Catalyst 6500/E都支持UBRL技術(shù),并支持高達(dá)85000 個(gè)流和511種速率,從而精確控制端口傳輸速率。
如圖1,辦公子網(wǎng)采用192.168.2.0地址段,銷售子網(wǎng)采用192.168.3.0地址段,來賓子網(wǎng)采用192.168.4.0地址段,子網(wǎng)掩碼均為255.255.255.0。辦公子網(wǎng)連接核心交換機(jī)的GigabitEthernet1/1端口,路由器連接至核心交換機(jī)的GigabitEthernet1/2端口。若欲將辦公子網(wǎng)、銷售子網(wǎng)和來賓子網(wǎng)中每個(gè)用戶訪問Internet的帶寬分別限制為5Mbps、2.5Mbps和1Mbps,可以在核心交換機(jī)上配置如下策略:
分別為不同的子網(wǎng)設(shè)置不同的IP訪問列表和class-map,指定欲限制的IP地址段并與class-map相匹配。
6500(config)# access-list 102 permit ip 192.168.2.0 0 0.0.0.255 any
6500(config)# access-list 103 permit ip 192.168.3.0 0.0.0.255 any
6500(config)# access-list 104 permit ip 192.168.4.0 0.0.0.255 any
6500(config)# class-map identify-OA-traffic
6500(config-cmap)# match access-group 102
6500(config)# class-map identify-SALES-traffic
6500(config-cmap)# match access-group 103
6500(config)# class-map identify-GUEST-traffic
6500(config-cmap)# match access-group 104
然后,再分別定義policy-map,并將之與相應(yīng)的IP訪問列表相匹配。允許最大帶寬為1Gbps,可用最大帶寬為5Mbps、2.5Mbps和1Mbps。
6500(config)# policy-map police-customer-traffic
6500(config-pmap)# class identify-OA-traffic
6500(config-pmap-c)# police flow mask src-only 10000000 5000 conform-action transmit exceed action drop
6500(config-pmap)# class identify-SALES-traffic
6500(config-pmap-c)# police flow mask src-only 5000000 2500 conform-action transmit exceed action drop
6500(config-pmap)# class identify-GUEST-traffic
6500(config-pmap-c)# police flow mask src-only 1000000 1000 conform-action transmit exceed action drop
最后,將該帶寬訪問控制應(yīng)用至Internet出口。
6500(config-pmap-c)# interface GigabitEthernet1/2
6500(config-if)# service-policy input police-customer-traffic
6500(config-if)#end
6500# # write memory
若欲將辦公子網(wǎng)中每個(gè)用戶訪問局域網(wǎng)和Internet的帶寬分別限制為5Mbps和1Mbps,可以在核心交換機(jī)上增加如下策略配置:
在IP訪問列表中增加一條任何網(wǎng)絡(luò)對該子網(wǎng)訪問的限制,定義class-map并將之與IP訪問列表相匹配。
6500(config)# access-list 105 permit ip any 192.168.2.0 0.0.0.255
6500(config)# class-map identify-inbound-student
6500(config-cmap)# match access-group 105
然后,再定義基于目的.的訪問控制策略,并將之最大可用帶寬限制為1Mpbs。
6500(config)# policy-map police-OA-traffic-inbound
6500(config-pmap)# class identify-inbound-OA
6500(config-pmap-c)# police flow mask dest-only 1000000 1000 conform-action transmit exceed action drop
最后,將定義的帶寬訪問控制列表應(yīng)用至該子網(wǎng)與核心交換機(jī)連接的接口。
6500(config-pmap-c)# interface GigabitEthernet1/1
6500(config-if)# service-policy input police-OA-traffic-inbound
其他子網(wǎng)的進(jìn)出口帶寬流量限制設(shè)置與辦公子網(wǎng)類似,故不再贅述。
基于端口的傳輸速率限制
除此之外,還可以為每個(gè)端口設(shè)置所允許的最高傳輸速率和突發(fā)速率,從而避免個(gè)別用戶對網(wǎng)絡(luò)帶寬的濫用,保證網(wǎng)絡(luò)正常運(yùn)行。基于端口的傳輸速率限制配置過程如下。
進(jìn)入欲設(shè)置的接口,使用“rate-limit”命令限制該端口的傳輸速率。
Switch(config-if)# rate-limit input|output access-group acl-index] bps burst-normal burst-max conform-action exceed-action
其中,input/output表明在輸入和輸出方向應(yīng)用該帶寬限制,通常情況下,應(yīng)當(dāng)進(jìn)行雙向限制。access-group acl-index用于定義使用該帶寬限制的訪問列表。bps用于定義限制帶寬,以bps為單位,并采用8Kbps的增量。burst-normal用于定義所允許的普通突發(fā)速率,burst-max用于定義所允許的最大突發(fā)速率。conform-action用于指定在規(guī)定最大帶寬時(shí)所執(zhí)行的操作。exceed-action則用于指定在規(guī)定最大帶寬時(shí)所執(zhí)行的操作。返回特權(quán)EXEC模式,并保存當(dāng)然配置即可。
借助流控設(shè)備限制
除以上方法以外,流量控制設(shè)備具有強(qiáng)大的應(yīng)用識別能力,其七層透視能力能夠識別各種動態(tài)端口或端口跳變的應(yīng)用(如P2P),且能提供適合行業(yè)特點(diǎn)的帶寬優(yōu)化解決方案,既可為關(guān)鍵業(yè)務(wù)流量分配適當(dāng)?shù)膸挿蓊~,又能控制未經(jīng)批準(zhǔn)的應(yīng)用流量,防止網(wǎng)絡(luò)出現(xiàn)擁塞和中斷,保證業(yè)務(wù)的連續(xù)性,抑制網(wǎng)絡(luò)攻擊的蔓延。
流量控制設(shè)備不僅可以借助網(wǎng)絡(luò)協(xié)議和端口號限制具體的Internet應(yīng)用,而且還可以限制用戶的Internet連接帶寬,甚至為用戶設(shè)置流量配額,從而提供了更高的靈活性。流量控制設(shè)備通常串連于Internet總出口,用于限制整個(gè)網(wǎng)絡(luò)的Internet應(yīng)用和帶寬(如圖2)。流控設(shè)備的配置大致分為兩個(gè)步驟,即先定義IP群組,然后,再為不同的IP群組指定不同的帶寬限制策略。
另外,借助Microsoft ISA實(shí)現(xiàn)Internet共享時(shí),雖可限制用戶的并發(fā)連接數(shù),但卻無法限制用戶使用的帶寬。借助交換機(jī)雖可限制用戶的使用帶寬,但卻無法限制用戶的并發(fā)連接數(shù)。因此,采用LAN方式實(shí)現(xiàn)Internet接入時(shí),可以將兩者有效地結(jié)合在一起。
總之,流控設(shè)備具有較高的網(wǎng)絡(luò)帶寬控制能力,但設(shè)備價(jià)格相對較高,資金不太雄厚的中小型企業(yè)可能無法承受。交換機(jī)雖然帶寬控制能力相對較弱,但也在一定程度上限制用戶對網(wǎng)絡(luò)的濫用,并且無需另外投資,可作為近期應(yīng)急的用戶限制解決方案。
【怎么低成本地管理企業(yè)內(nèi)網(wǎng)流量】相關(guān)文章: