【RG-NPE】RG-NPE高教环境流控模板（基于IP限速）

发布时间：2013-09-18

点击量：5675

一、组网需求

1、学校师生需要通过NPE上网。

2、外网带宽是100M，内网用户数加起来有1000多人。外网口地址为192.168.33.56/24，外网网关为192.168.33.1，内网为192.168.1.0/24网段。

3、需要通过NPE的流控功能，实现对内网每个用户的流量做带宽限制。

a、所有领导共享10兆带宽（上下行一样），同时限制每个领导最大上行为2兆、下行为4M.

b、所有老师共享20兆带宽（上下行一样），同时限制每个普通老师上网的最大上行带宽为800kb，下行为2M。

c、所有学生共享70兆带宽（上下行一样），同时限制每个学生上网的最大上行带宽为500kb，下行为1.5M。

二、配置要点

“高教”的流控方案的特点是：不区分各种应用优先级，在带宽充裕时充分利用带宽，带宽紧张时基于用户（用户组）分配带宽。

1、由于流控效果与客户的实际出口带宽大小是紧密联系的，所以客户的实际出口带宽需要确认。

2、选择系统自带的“高教”流控方案，系统会下发默认的流控配置参数：默认每用户的最大上行和下行都为总出口带宽的10%（如果10%流量超过10M，则统一设置为分配给每IP 10M带宽）。这些参数不一定符合客户的实际需求，所以需要与客户沟通后，再进一步调整配置。

3、由于流量策略的匹配顺序是从上往下，内网用户访问外网的数据如何匹配了某条策略后就不会再往下继续匹配。如果需要调整策略的先后顺序，需要在“高级流控”里调整。

4、目前4B8流控配置后将每条线路的流控阀值自动设置为线路带宽的80%，会造成该线路流量在高峰期时也只能在线路总流量的80%上下浮动，造成带宽浪费，如要调整，需进入菜单：

流控/行为/安全 > 流控策略 > 流控高级，选择线路带宽和阀值进行调整：

5、流控策略状态显示为“未生效”的可能原因：

①策略里面某一个对象被删除不存在了；

②基于时间的策略中，设备当前时间不在此时间对象生效范围内；

③该流控策略未被启用（在菜单流控策略 > 进入流控高级可以看到策略是否开启）

三、配置步骤

1、如果最开始配置时选择的是快速配置，请选择“基于用户分配带宽”（高校）的流控方案

如果最开始不是使用WEB快速配置完成，则进入web管理后，

a、在系统首页，查看应用、IP、流量是否识别正常：

如果全为“正在识别的应用”、“any”的应用，说明应用识别功能未开启，此时需要到命令行下开启识别：

Ruijie(config)#flow-audit enable //开启流量统计

Ruijie(config)#layer23 classify enable //开启二三层识别

Ruijie(config)#identify-application enable //开启应用识别

b、进入菜单流控/行为/安全 > 流控策略，选择“流控马上体验”：

配置需要配置流控的接口实际的上下行带宽、流控模板：

单击确定后提示：

由于该接口原本无流控配置，直接选择确定即可。

2、配置流控策略

a、选择“高校”模板，默认生成的策略，如下图所示：

查看命令行下生成的命令为：

Ruijie#show flow-control Gi0/1 //本例启用的是接口Gi0/1，命令行下将会生成名字为Gi0/1的流控配置

flow-control Gi0/1 // 命名为Gi0/1的流控配置

comment tpl-college //说明使用的是高校的模板（tpl-college）

channel-tree inbound // 下载方向的通道设置

no auto-pir enable //未开启阀值限制

channel-group root parent null cir 200000 pir 200000 pri 4 schedule-type per-net per-mask 32 per-cir 200 per-pir 2000 limit 1000 //设置根通道，名称为root，通道的流量下限(cir)为200M，通道的上限(pir)为200M，流控类型为基于IP，每用户设置的保证带宽为200k，最大带宽为2000，限制的IP数为1000，超过的IP数将不被保证带宽，对于内网用户数超过1000的客户，此设置需要调整；

channel-group key parent root cir 160000 pir 200000 pri 3 schedule-type per-net per-mask 32 per-cir 100 per-pir 5000 limit 1000 // 设置通道名为key的通道，其父通道为root，通道流量下限为160M，通道流量上限为200M，流控类型为基于IP，每用户设置的保证带宽为200k，最大带宽为2000，限制的IP数为1000，超过的IP数将不被保证带宽，对于内网用户数超过1000的客户，此设置需要调整；

channel-group vpn parent root cir 20000 pir 200000 pri 1 schedule-type per-net per-mask 32 per-cir 20 per-pir 5000 limit 1000 auto reverse //设置通道名为vpn的通道，用于对拨入NPE的VPN用户IP，总共保证20M带宽，每IP上传保证20k，最大不超过5M（设备外网口的下载方向对于VPN用户来说是上传方向）

channel-group default parent root pir 200000 pri 3 schedule-type per-net per-mask 32 per-cir 20 per-pir 10000 limit 1000 auto //设置通道名为default的通道，未匹配中策略的用户流量会进入默认通道

channel-default default //设置default通道为默认通道

channel-tree outbound // 上传方向的通道设置

no auto-pir enable

channel-group root parent null cir 200000 pir 200000 pri 4 schedule-type per-net per-mask 32 per-cir 200 per-pir 2000 limit 1000

channel-group key parent root cir 160000 pir 200000 pri 3 schedule-type per-net per-mask 32 per-cir 100 per-pir 5000 limit 1000

channel-group vpn parent root cir 20000 pir 200000 pri 1 schedule-type per-net per-mask 32 per-cir 20 per-pir 5000 limit 1000 auto reverse

channel-group default parent root pir 200000 pri 3 schedule-type per-net per-mask 32 per-cir 20 per-pir 10000 limit 1000 auto

channel-default default

! //说明：通道设置后，需要被策略调用才能起效果；未被策略调用的通道除了默认通道，其余通道都是不生效的

flow-rule 1000 time-range any vpn //策略ID为1000的策略，生效时间为any ，应用于vpn流量

flow-rule 1000 action pass in-channel vpn out-channel vpn comment 区分VPN流量 //匹配该ID为1000的策略，上行的流量(out-channel)和下行的流量都将放通并进入通道名为vpn的通道，该策略备注名为”区分VPN流量“

flow-rule 999 time-range any