1.1 流量控制基本概念
流量管理,即网络为特定流量提供更高优先服务的同时控制抖动和延迟的能力,并且能够降低数据传输丢包率,当网络过载或拥塞时,Qos能够确保重要业务流量的正常传输。
1.2 管道控制基本概念
Hillstone设备通过配置管道来实现流量控制
管道,即带宽通道,是一个虚拟概念,系统以管道为单位对流量进行划分,所有流经设备的流量,都将按照预设的匹配条件进入虚拟管道,未匹配到的流量将进入系统预定义的默认管道,同时支持多级管道例如可对用户或IP限制带宽,然后下一级管道再对不同应用限制带宽,从而能优先保障重要用户或重要应用的带宽,并起到自如控制,管道最多支持四级嵌套,默认管道不可嵌套子管道,及2层8级。
注意:
用户可创建多个根管道,各个根管道之间是彼此独立的,每个根管道下均可嵌套三级子管道;
子管道的最小带宽之和不能大于其上一级管道的最小带宽,最大带宽也不能大于其上一级管道的最大带宽;
用户若在根管道上配置了正向或反向的流量管理动作后,该根管道下的所有子管道都必须继承根管道设定的流量方向;
仅配置了反向流量管理动作的管道不可用。
1.3 管道处理过程
系统支持两层流控,即第一层流控和第二层流控,在每层流控中,流量的具体控制通过管道来实现,经过第一层流控处理过的流量进入第二层流控,系统再根据第二层流控的管道设置对流量做进一步管控,默认第二层流控管道禁用,一般一层可以做四级调控,总成两层八级
以下为管道示意图:
1、流量在经过所有流程处理之后,在出设备时开始匹配Qos;
2、首先进入第一层流控,系统根据第一层流控中管道的匹配条件设置划分流量到不同的管道中,如果存在相同匹配条件的根管道,流量优先匹配靠前的根管道,流量进入根管道后,再根据子管道的匹配条件逐层匹配,不匹配任何管道的流量进入默认管道;
3、系统根据管道配置的流控动作对匹配到的流量进行管理;
4、经过第一层流控处理的流量进入第二层流控进行在此管控,系统在第二层流控中的管道匹配以及流量管控原理与第一层流控相同;
5、流控处理结束。
注意:被禁用的流空层级或者管道不参与流控处理,不可用的管道也不参与流控处理
1.4 管道组成
管道(除默认管道)包含两部分,分别是匹配条件和流控动作。
--匹配条件(pipe-map):定义设备需要匹配的流量,将流量进行区分,流经设备的流量会根据用户设置的条件分类,划入对应的管道。设备将为划入管道的流量提供流量控制;
--流控动作(pipe-rule):对已划分到管道中的流量所做的动作,设定带宽,动作分为正向控制和反向控制,取决于匹配条件中定义的条件的源和目,正向控制即对从源到目的方向的流量进行控制,反向控制即从目睹到源方向的流量进行控制。
注意:一个管道可以有多个流量匹配条件,各个匹配条件之间为“或”的关系,流量只要匹配到其中一个匹配条件,就会进入该管道。
1.4.1 匹配条件
每条map就是一个匹配条件,用来区分特定的流量,流量匹配时按照顺序(先配置的map在前)逐条匹配直到命中为止,map之间是或的关系(命中任何一条map便可匹配该管道)
匹配条件有:
--源/目安全域
--源/目接口
--源/目的地址
--用户/用户组(需要提前做认证)
--应用和应用组
--服务和服务组
--Vlan
--TOS字段:服务类型
precedence:指定先行位、delay:指定最小延迟、throughput::指定最大吞吐量、reliability:指定最高可靠性、cost:指定最小通信成本、reserved:指定普通服务
一条map中匹配条件是与的关系,匹配所有条件才能命中该条map
如果匹配条件只选择服务和应用,那么匹配就没有方向划分,正向和反向都会进行匹配
1.4.2 流控动作(pipe-rule)
1、流控模式分整形(大量数据转发时可用于对数据进行排列顺序)、管控(超过设定带宽值丢弃数据)和监控,监控是配置了只起到观察作用,不会对流量真正实施限制,也可以调用时间表
2、可设置的动作有:
--Forward/backward:正向or反向
--Bandwidth:管道带宽
--Min:最小贷款保证
--Max:最大带宽
--Per-ip-min:每IP最小带宽保证
--Per-ip-max:每ip最大带宽
--Per-ip-using:src-ip or dst-ip(per-ip后可配置)
--Per-user-min:每user最小带宽保证
--Per-user-max:每user最大带宽
--Priority:优先级
--Tos-marking:标记tos
3、流量匹配的方向由它的pipe-map(匹配条件)决定
--双向管道:与map方向相同的进forward,与map方向相反的进backword;
--单向管道:与map方向相同的进forward,与mao方向相反的不进管道;(可以只配正向或双向)
【若只配反向动作不可用,可以只配正向或双向均配置】
若参数为user、user-group、tos、vlan、application这些元素map不分方向,两个方向的流量都进匹配。
4、子管道的流控动作方向需要继承其父管道的流控动作方向,否则可能not used或者不能配置流控动作
1.5 流控模式
1、(新建管道的默认模式)Shape-整形模式(默认):限制数据传输速率,对超出最大带宽限制的流量进行缓存,使流量平滑地转发;
2、Police-管制模式:对超出最大带宽限制的流量进行丢弃,该模式不支持带宽借用,优先级调度,per-ip/user-min。管制模式不做最小带宽保障;
3、Stat-监控模式:仅对匹配到的流量进行监控和统计,不对流量进行任何控制。(默认管道模式)
2.1 配置管道举例
实例一:
链路带宽共100M,为不同的部门保证不同的带宽:
研发保证30M,生产保证30M,还剩40M作为共享带宽。根据ip地址来划分部门:地址薄addressA表示研发部,地址簿addressB表示生产部。
配置:
其中,Root-pipe 下bandwidth相当于给根管道具体大小的带宽。Pipe(子管道)区分min、max,min为pipe最小保证带宽,max为子管道占用最大带宽。如果父管道带宽有剩余时,可以借用到最大带宽。
实例二:
对全局的应用进行控制:限制p2p流量到10M,其中限制p2p下载到2M,限制p2p视频8M,保证http和电子邮件的应用每用户带宽在500K。
配置:
实例三:
用户需要做两个维度的QoS,需求一在第一维度实现对整体带宽的分配,需求二在第二维度实现对全局的Application进行控制
配置:
其中:P2P和HTTP &Email流量定义在两个不同的根管道中,当有HTTP & Email流量时,从第一层流控匹配后,流量进入第二层流控进行匹配,只要是HTTP & email就会进入root-pipe http&email,从而达到保障上网流量不受P2P影响。
2.2 根管道特性
1、根管道之间是没有带宽借用的;
2、系统默认创建了default root-pipe,default root-pipe默认流控模式是stat(监控形式),没有流控动作所以是not used状态,default root-pipe所匹配的流量不区分方向;
3、只用根管道能更改流控模式,也就是Qos-mode;
4、只有根管道可以配置白名单,即流量进入根管道后,对匹配上白名单的流量不做流控动作限制;
5、只有根管道下可以配置时间表,目前只支持一个时间表。
2.3 管道共性
1、Priority(0~7,数值越小优先级越高,默认值为7,根据优先级进行相应比例的带宽借用)
--所有管道都可以配置(默认管道除外);
--只有子管道该参数才生效;
--根据(8-priority)的比例去借用。
2、sequence:用来调整匹配顺序,每个管道再系统中开始时是按照配置的顺序保存的,匹配的时候从小到大开始匹配,第一个是Sequence 0,默认管道在最后,Web页面可通过拖曳来实现管道顺序的调整。
2.4 白名单(exception-map)
1、只能在根管道配置
2、可配置多条白名单,从上向下匹配,多条之间或的关系匹配,一条白名单内多个参数间与的关系,和匹配条件类似;
3、流控动作为双向时,白名单不区分方向;
4、流控方向是正向时,白名单与匹配条件一样区分方向,正向的通过,反向丢弃;
5、第一层流控的白名单只对第一层流控生效,第二层流控的白名单只对第二层流控生效
回顾:
1、哪些元素可以作为管道的过滤条件? 源/安全域、源/目接口、源/目地址、用户/用户组、应用/应用组、服务/服务组、VLAN、TOS(服务类型)
2、管道流量正反向分别代表什么意思?
正向是源到目的的访问,反向是目的到源的访问
3、每层管道一共可以创建几级管道?
4级,总共可以简述为2层8级
4、可以限制带宽的流控方式有哪两种?其中可以限制带宽的有哪几种?
Shape-整形模式(默认)和Police-管制模式,Stat-监控模式只是监控流量,不对流量进行处理
Shape和Police可以限制带宽。
