RouterA部署在企業網的出口處,企業使用者透過2個不同的網段連線到RouterA從而訪問伺服器222.1.1.1/24。現要求控制企業網內部使用者192.168.10.0/24對伺服器的訪問,速率限制為64kbit/s。圖 配置基於內網IP進行限速的組網圖
操作步驟RouterA的配置#sysname RouterA#vlan batch 10 20#acl number 3001 //配置編號為3001的編號型訪問控制列表rule 5 permit ip source 192.168.10.0 0.0.0.255 //配置規則5,允許源地址為192.168.10.0網段的報文透過rule 10 permit ip source 192.168.20.0 0.0.0.255 //配置規則10,允許源地址為192.168.20.0網段的報文透過acl number 3002 //配置編號為3002的編號型訪問控制列表rule 5 permit ip source 192.168.10.0 0.0.0.255 //配置規則5,允許源地址為192.168.10.0網段的報文透過#qos queue-profile limit //建立佇列模板limit queue 3 gts cir 64 cbs 1600 //配置佇列3的承諾資訊速率為64kbit/s#traffic classifier c1 operator orif-match acl 3002 //配置流分類c1:匹配規則為ACL 3002#traffic behavior b1remark local-precedence af3 //配置流行為b1:對匹配流分類的報文重標記本地優先順序為AF3,不指定流行為為permit或deny時,預設為permit。#traffic policy p1classifier c1 behavior b1 //配置流策略p1:繫結流分類c1與流行為b1#interface Vlanif10ip address 192.168.10.1 255.255.255.0#interface Vlanif20ip address 192.168.20.1 255.255.255.0#interface Ethernet2/0/0port link-type trunk //配置介面的鏈路型別為Trunkport trunk allow-pass vlan 10 20 //配置Trunk型別介面加入vlan 10和vlan 20traffic-policy p1 inbound //在介面入方向上應用流策略p1#interface GigabitEthernet3/0/0ip address 222.0.1.1 255.255.255.0qos queue-profile limit //在介面上應用佇列模板limitnat outbound 3001 //在介面上對匹配ACL 3001的報文做NAT#ip route-static 0.0.0.0 0.0.0.0 222.0.1.2#驗證配置結果# 執行display qos queue statistics interface gigabitethernet 3/0/0命令檢查GE3/0/0介面上應用了佇列模板limit後的報文統計資訊,可以看到介面3號佇列的輸出速率被限制在規定範圍內,佇列滿後,無法快取的報文被丟棄。配置注意事項配置Switch與不同的網段使用者對接的介面為Access型別介面,並將其加入對應VLAN。配置Switch與RouterA對接的介面為Trunk型別介面,並加入對應VLAN。