組網(wǎng)要求：公司內(nèi)部有兩個部門，分別屬于VLAN 10和VLAN 20。VLAN 10主要是一些服務(wù)器，對帶寬要求比較高；VLAN 20只有公司員工上網(wǎng)，對帶寬要求不是很高。公司從運營商購買的是10Mbit/s的專線。要求VLAN 20中的員工上網(wǎng)的帶寬限制為2Mbit/s，最大不能超過4Mbit/s，超過4Mbit/s的流量全部丟棄。

一、主要知識點：

流策略中，可以按照ACL對報文進行分類?；贏CL規(guī)則定義方式，可以將ACL分為基本ACL、高級ACL、二層ACL等種類。基本ACL根據(jù)源IP地址、分片信息和生效時間段等信息來定義規(guī)則。對于匹配的流量，在流行為中配置流量監(jiān)管動作，可以實現(xiàn)限速。訪問控制列表ACL（Access Control List）是由一條或多條規(guī)則組成的集合。所謂規(guī)則，是指描述報文匹配條件的判斷語句，這些條件可以是報文的源地址、目的地址、端口號等。

二、配置思路：

1. 創(chuàng)建VLAN，配置各接口和路由協(xié)議，實現(xiàn)公司和外部網(wǎng)絡(luò)互通。

2. 在Core上配置ACL，匹配指定網(wǎng)段的流量。

3. 在Core上配置流分類，按照ACL對報文進行分類。

4. 在Core上配置流行為，對匹配的流量進行限速。

5. 在Core上配置流策略，綁定流分類和流行為，并應(yīng)用到與SwitchA相連的GE0/0/1接口的入方向，實現(xiàn)限速。

三、IP設(shè)置：

1、PC1：192.168.10.1/24,vlan10

PC2：192.168.20.1/24,vlan20

2、Core:vlanif10:192.168.10.254/24

Vlanif20:192.168.20.254/24

Vlanif30:10.0.0.1/24

3、Router：10.0.0.2/24

四、SwitchA交換機的主要配置文件：

#

sysname SwitchA

#

vlan batch 10 20

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20

#

interface GigabitEthernet0/0/3

port link-type trunk

port trunk allow-pass vlan 10 20

#

return

五、Core的主要配置文件：

#

sysname Core

#

vlan batch 10 20 30

#

acl number 3001

rule 5 permit ip source 192.168.20.0 0.0.0.255

#

traffic classifier c1 operator and

if-match acl 3001

#

traffic behavior b1

car cir 2048 pir 4096 cbs 256000 pbs 512000 green pass yellow pass red discard

statistic enable

#

traffic policy p1

classifier c1 behavior b1

#

interface Vlanif10

ip address 192.168.10.254 255.255.255.0

#

interface Vlanif20

ip address 192.168.20.254 255.255.255.0

#

interface Vlanif30

ip address 10.0.0.1 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 10 20

traffic-policy p1 inbound

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 30

#

ospf 1

area 0.0.0.0

network 192.168.10.0 0.0.0.255

network 192.168.20.0 0.0.0.255

network 10.0.0.0 0.0.0.255

#

user-interface con 0

user-interface vty 0 4

#

return

六、Router的主要配置文件：

#

sysname Router

#

interface Ethernet0/0/0

undo portswitch

ip address 10.0.0.2 255.255.255.0

#

ospf 1

area 0.0.0.0

network 10.0.0.0 0.0.0.255

#

return

七、驗證配置結(jié)果：

1、在Core上查看ACL規(guī)則的配置信息。

[Core]disp acl all

Total nonempty ACL number is 1

Advanced ACL 3001, 1 rule

Acl's step is 5

rule 5 permit ip source 192.168.20.0 0.0.0.255

2、查看流策略的配置信息。

[Core]display traffic policy user-defined

User Defined Traffic Policy Information:

Policy: p1

Classifier: c1

Operator: AND

Behavior: b1

Committed Access Rate:

CIR 2048 (Kbps), CBS 256000 (Byte)

PIR 4096 (Kbps), PBS 512000 (Byte)

Green Action : pass

Yellow Action : pass

Red Action : discard

Statistic: enable

Total policy number is 1

3、查看在接口上應(yīng)用的流策略信息。當(dāng)來自192.168.20.0/24網(wǎng)段的報文速率大于4Mbit/s時會出現(xiàn)丟包，該網(wǎng)段報文的速率被限制在4Mbit/s。

[Core]display traffic policy statistics interface GigabitEthernet 0/0/1 inbound

Interface: GigabitEthernet0/0/1

Traffic policy inbound: p1

Rule number: 1

Current status: OK!

---------------------------------------------------------------------

Board : 0

Item Packets Bytes

---------------------------------------------------------------------

Matched 0 0

+--Passed 0 0

+--Dropped 0 0

+--Filter 0 0

+--URPF - -

+--CAR 0 0

本實驗是通過華為模擬器eNSP1.3.00.100版（最新版）完成。該軟件還包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的設(shè)備IOS，可完成復(fù)雜網(wǎng)絡(luò)測試，需要該模擬器的朋友，可以轉(zhuǎn)發(fā)此文關(guān)注小編，私信小編【666】即可獲得。