隨著企業(yè)內(nèi)網(wǎng)絡(luò)交換機(jī)的升級(jí)，端口速率越來(lái)越高，網(wǎng)絡(luò)帶寬也隨之而增加，本來(lái)應(yīng)當(dāng)讓人感覺(jué)越來(lái)越快的網(wǎng)絡(luò)，卻依然像蝸牛一樣慢。原因到底出在哪里呢？主要原因有兩個(gè)，一是各種網(wǎng)絡(luò)病毒在網(wǎng)絡(luò)內(nèi)肆虐，二是對(duì)網(wǎng)絡(luò)帶寬的濫用（如大量BT下載以及視頻）。尤其是后者，一直是在網(wǎng)絡(luò)應(yīng)用過(guò)程中最讓企業(yè)頭痛的問(wèn)題。那么，有沒(méi)有什么好的辦法來(lái)解決這個(gè)問(wèn)題呢？

借助交換機(jī)限制

Cisco交換機(jī)提供了簡(jiǎn)單的對(duì)端口或用戶(hù)帶寬的限制，可以在某種程度上限制用戶(hù)對(duì)網(wǎng)絡(luò)的濫用。不過(guò)，由于Cisco設(shè)備只能限制端口而不能限制具體的網(wǎng)絡(luò)應(yīng)用協(xié)議，通常只是簡(jiǎn)單地進(jìn)行帶寬限制，往往會(huì)在限制用戶(hù)濫用帶寬的同時(shí)，也影響用戶(hù)正常網(wǎng)絡(luò)應(yīng)用和連接。

基于用戶(hù)的傳輸速率限制

基于用戶(hù)的傳輸速率限制（UBRL）采用Microflow策略功能，可以將每個(gè)流都作為唯一的流進(jìn)行控制。Cisco Catalyst 4500/E和Catalyst 6500/E都支持UBRL技術(shù)，并支持高達(dá)85000 個(gè)流和511種速率，從而精確控制端口傳輸速率。

如圖1，辦公子網(wǎng)采用192.168.2.0地址段，銷(xiāo)售子網(wǎng)采用192.168.3.0地址段，來(lái)賓子網(wǎng)采用192.168.4.0地址段，子網(wǎng)掩碼均為255.255.255.0。辦公子網(wǎng)連接核心交換機(jī)的GigabitEthernet1/1端口，路由器連接至核心交換機(jī)的GigabitEthernet1/2端口。若欲將辦公子網(wǎng)、銷(xiāo)售子網(wǎng)和來(lái)賓子網(wǎng)中每個(gè)用戶(hù)訪問(wèn)Internet的帶寬分別限制為5Mbps、2.5Mbps和1Mbps，可以在核心交換機(jī)上配置如下策略：

分別為不同的子網(wǎng)設(shè)置不同的IP訪問(wèn)列表和class-map，指定欲限制的IP地址段并與class-map相匹配。

6500(config)# access-list 102 permit ip 192.168.2.0 0 0.0.0.255 any  
6500(config)# access-list 103 permit ip 192.168.3.0 0.0.0.255 any  
6500(config)# access-list 104 permit ip 192.168.4.0 0.0.0.255 any  
6500(config)# class-map identify-OA-traffic  
6500(config-cmap)# match access-group 102  
6500(config)# class-map identify-SALES-traffic  
6500(config-cmap)# match access-group 103  
6500(config)# class-map identify-GUEST-traffic  
6500(config-cmap)# match access-group 104 

然后，再分別定義policy-map，并將之與相應(yīng)的IP訪問(wèn)列表相匹配。允許最大帶寬為1Gbps，可用最大帶寬為5Mbps、2.5Mbps和1Mbps。

6500(config)# policy-map police-customer-traffic  
6500(config-pmap)# class identify-OA-traffic  
6500(config-pmap-c)# police flow mask src-only 10000000 5000 conform-action transmit exceed action drop  
6500(config-pmap)# class identify-SALES-traffic  
6500(config-pmap-c)# police flow mask src-only 5000000 2500 conform-action transmit exceed action drop  
6500(config-pmap)# class identify-GUEST-traffic  
6500(config-pmap-c)# police flow mask src-only 1000000 1000 conform-action transmit exceed action drop 

最后，將該帶寬訪問(wèn)控制應(yīng)用至Internet出口。

6500(config-pmap-c)# interface GigabitEthernet1/2  
6500(config-if)# service-policy input police-customer-traffic  
6500(config-if)#end  
6500# # write memory 

若欲將辦公子網(wǎng)中每個(gè)用戶(hù)訪問(wèn)局域網(wǎng)和Internet的帶寬分別限制為5Mbps和1Mbps，可以在核心交換機(jī)上增加如下策略配置：

在IP訪問(wèn)列表中增加一條任何網(wǎng)絡(luò)對(duì)該子網(wǎng)訪問(wèn)的限制，定義class-map并將之與IP訪問(wèn)列表相匹配。

6500(config)# access-list 105 permit ip any 192.168.2.0 0.0.0.255  
6500(config)# class-map identify-inbound-student  
6500(config-cmap)# match access-group 105 

然后，再定義基于目的的訪問(wèn)控制策略，并將之最大可用帶寬限制為1Mpbs。

6500(config)# policy-map police-OA-traffic-inbound  
6500(config-pmap)# class identify-inbound-OA  
6500(config-pmap-c)# police flow mask dest-only 1000000 1000 conform-action transmit exceed action drop 

最后，將定義的帶寬訪問(wèn)控制列表應(yīng)用至該子網(wǎng)與核心交換機(jī)連接的接口。

6500(config-pmap-c)# interface GigabitEthernet1/1  
6500(config-if)# service-policy input police-OA-traffic-inbound 

其他子網(wǎng)的進(jìn)出口帶寬流量限制設(shè)置與辦公子網(wǎng)類(lèi)似，故不再贅述。

基于端口的傳輸速率限制

除此之外，還可以為每個(gè)端口設(shè)置所允許的最高傳輸速率和突發(fā)速率，從而避免個(gè)別用戶(hù)對(duì)網(wǎng)絡(luò)帶寬的濫用，保證網(wǎng)絡(luò)正常運(yùn)行。基于端口的傳輸速率限制配置過(guò)程如下。

進(jìn)入欲設(shè)置的接口，使用“rate-limit”命令限制該端口的傳輸速率。

Switch（config-if）# rate-limit input｜output access-group acl-index] bps burst-normal burst-max conform-action exceed-action 

其中，input/output表明在輸入和輸出方向應(yīng)用該帶寬限制，通常情況下，應(yīng)當(dāng)進(jìn)行雙向限制。access-group acl-index用于定義使用該帶寬限制的訪問(wèn)列表。bps用于定義限制帶寬，以bps為單位，并采用8Kbps的增量。burst-normal用于定義所允許的普通突發(fā)速率，burst-max用于定義所允許的最大突發(fā)速率。conform-action用于指定在規(guī)定最大帶寬時(shí)所執(zhí)行的操作。exceed-action則用于指定在規(guī)定最大帶寬時(shí)所執(zhí)行的操作。返回特權(quán)EXEC模式，并保存當(dāng)然配置即可。

借助流控設(shè)備限制

除以上方法以外，流量控制設(shè)備具有強(qiáng)大的應(yīng)用識(shí)別能力，其七層透視能力能夠識(shí)別各種動(dòng)態(tài)端口或端口跳變的應(yīng)用（如P2P），且能提供適合行業(yè)特點(diǎn)的帶寬優(yōu)化解決方案，既可為關(guān)鍵業(yè)務(wù)流量分配適當(dāng)?shù)膸挿蓊~，又能控制未經(jīng)批準(zhǔn)的應(yīng)用流量，防止網(wǎng)絡(luò)出現(xiàn)擁塞和中斷，保證業(yè)務(wù)的連續(xù)性，抑制網(wǎng)絡(luò)攻擊的蔓延。

流量控制設(shè)備不僅可以借助網(wǎng)絡(luò)協(xié)議和端口號(hào)限制具體的Internet應(yīng)用，而且還可以限制用戶(hù)的Internet連接帶寬，甚至為用戶(hù)設(shè)置流量配額，從而提供了更高的靈活性。流量控制設(shè)備通常串連于Internet總出口，用于限制整個(gè)網(wǎng)絡(luò)的Internet應(yīng)用和帶寬（如圖2）。流控設(shè)備的配置大致分為兩個(gè)步驟，即先定義IP群組，然后，再為不同的IP群組指定不同的帶寬限制策略。

另外，借助Microsoft ISA實(shí)現(xiàn)Internet共享時(shí)，雖可限制用戶(hù)的并發(fā)連接數(shù)，但卻無(wú)法限制用戶(hù)使用的帶寬。借助交換機(jī)雖可限制用戶(hù)的使用帶寬，但卻無(wú)法限制用戶(hù)的并發(fā)連接數(shù)。因此，采用LAN方式實(shí)現(xiàn)Internet接入時(shí)，可以將兩者有效地結(jié)合在一起。

總之，流控設(shè)備具有較高的網(wǎng)絡(luò)帶寬控制能力，但設(shè)備價(jià)格相對(duì)較高，資金不太雄厚的中小型企業(yè)可能無(wú)法承受。交換機(jī)雖然帶寬控制能力相對(duì)較弱，但也在一定程度上限制用戶(hù)對(duì)網(wǎng)絡(luò)的濫用，并且無(wú)需另外投資，可作為近期應(yīng)急的用戶(hù)限制解決方案。

圖1內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)圖

圖2流控設(shè)備管理流量示意圖

排障小貼士

良好的流量管理策略應(yīng)有對(duì)網(wǎng)絡(luò)故障、服務(wù)器系統(tǒng)故障、應(yīng)用服務(wù)故障的檢測(cè)方式和能力。

1、ping偵測(cè)：通過(guò)ping的方式檢測(cè)服務(wù)器及網(wǎng)絡(luò)系統(tǒng)狀況。此種方式簡(jiǎn)單快速，但只能大致檢測(cè)出網(wǎng)絡(luò)及服務(wù)器上的操作系統(tǒng)是否正常，對(duì)服務(wù)器上的應(yīng)用服務(wù)檢測(cè)就無(wú)能為力了。

2、TCPOpen偵測(cè)：每個(gè)服務(wù)都會(huì)開(kāi)放某個(gè)通過(guò)TCP連接，檢測(cè)服務(wù)器上某個(gè)TCP端口（如Telnet的23端口，HTTP的80端口等）是否開(kāi)放來(lái)判斷服務(wù)是否正常。

3、HTTP URL偵測(cè)：比如向HTTP服務(wù)器發(fā)出一個(gè)對(duì)main.html文件的訪問(wèn)請(qǐng)求，如果收到錯(cuò)誤信息，則認(rèn)為服務(wù)器出現(xiàn)故障。

4、借助監(jiān)控軟件：如將Snffier安裝后接入中心交換機(jī)的鏡像端口，通過(guò)嗅探的方法，監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)流量，確定異常數(shù)據(jù)源及其流向;或者借助國(guó)內(nèi)使用最普遍的局域網(wǎng)流量監(jiān)控軟件——“聚生網(wǎng)管”(百度搜索“聚生網(wǎng)管”，隨便一個(gè)地址下載就可以了)，實(shí)時(shí)查看局域網(wǎng)電腦流量占用情況，實(shí)時(shí)限制局域網(wǎng)各個(gè)電腦的流量。